Gestion des API fédérées avec des espaces de travail

S’APPLIQUE À : Essentiel v2 | Standard v2 | Premium | Premium v2

Cet article fournit une vue d’ensemble des espaces de travail Gestion des API, et comment ils permettent aux équipes de développement d’API décentralisées de gérer et de mettre en production leurs API dans une infrastructure de service commune.

Pourquoi les organisations doivent-elles fédérer la gestion des API ?

Aujourd’hui, les organisations sont de plus en plus confrontées à des défis pour gérer la prolifération des API. Plus le nombre d’API et d’équipes de développement d’API augmente, plus leur gestion est complexe. Cette complexité peut entraîner un pic de surcharge opérationnelle, des risques de sécurité et une agilité réduite. D’un côté, les organisations souhaitent établir une infrastructure d’API centralisée pour garantir la gouvernance, la sécurité et la conformité des API. De l’autre, elles veulent que leurs équipes d’API innovent et répondent rapidement aux besoins de l’entreprise, tout en évitant la surcharge de gestion que représente une plateforme d’API.

Un modèle fédéré de gestion des API répond à ces besoins. La gestion fédérée des API permet une gestion décentralisée des API par les équipes de développement avec un isolement approprié des plans de contrôle et de données, tout en centralisant la gouvernance, le monitoring et la découverte d’API sous la responsabilité d’une équipe de plateforme d’API. Ce modèle dépasse les limitations des approches alternatives comme la gestion des API entièrement centralisée par l’équipe de plateforme ou la gestion des API en silo par chaque équipe de développement.

La gestion fédérée des API fournit :

• Gouvernance et observabilité centralisées des API
• Portail des développeurs unifié pour une découverte et une intégration efficaces des API
• Autorisations administratives séparées entre les équipes d’API, pour augmenter la productivité et la sécurité
• Runtime d’API séparé entre les équipes d’API, pour augmenter la fiabilité, la résilience et la sécurité

Comment les espaces de travail permettent une gestion fédérée des API

Dans Gestion des API Azure, utilisez des espaces de travail pour implémenter la gestion fédérée des API. Les espaces de travail fonctionnent comme des « dossiers » au sein d’un service Gestion des API :

• Chaque espace de travail contient des API, des produits, des abonnements, des valeurs nommées et des ressources associées. Consultez la référence d’API REST de Gestion des API pour obtenir la liste complète des ressources et opérations prises en charge dans les espaces de travail.
• L’accès des équipes aux ressources au sein d’un espace de travail est géré avec le contrôle d’accès en fonction du rôle (RBAC) d’Azure, avec des rôles intégrés ou personnalisés pouvant être attribués aux comptes Microsoft Entra et limités à un espace de travail.
• Chaque espace de travail est associé à une ou plusieurs passerelles pour le routage du trafic d’API vers les services principaux d’API dans l’espace de travail. Selon le niveau de service et vos besoins, un espace de travail peut utiliser la passerelle managée par défaut du service ou une ou plusieurs passerelles d’espace de travail.
• L’équipe de plateforme peut appliquer des stratégies couvrant des API et des produits dans les espaces de travail pour régir le runtime d’API au sein de l’organisation. Une définition Azure Policy intégrée (API Management policies should inherit parent scope policies using <base/>) vous permet d’auditer ou d’appliquer ces stratégies sur toutes les ressources de l’espace de travail.
• L’équipe de plateforme peut implémenter une expérience de découverte d’API centralisée avec un portail des développeurs.
• Chaque équipe d’espace de travail peut collecter et analyser les journaux des ressources de passerelle pour surveiller ses propres API d’espace de travail, tandis que l’équipe de plateforme dispose d’un accès fédéré aux journaux d’activité sur tous les espaces de travail du service Gestion des API, en fournissant une supervision, une sécurité et une conformité dans son écosystème d’API.

Bien que les espaces de travail sont gérés indépendamment du service Gestion des API et d’autres espaces de travail, ils peuvent référencer des ressources de niveau de service sélectionnées. Consultez Espaces de travail et autres fonctionnalités de Gestion des API plus loin dans cet article.

Vue d'ensemble des exemples de scénario

Une organisation qui gère les API à l’aide de Gestion des API Azure peut avoir plusieurs équipes de développement qui développent, définissent, gèrent et productisent différents ensembles d’API. En utilisant des espaces de travail, ces équipes peuvent utiliser gestion des API pour gérer, accéder et sécuriser leurs API séparément et indépendamment de la gestion de l’infrastructure de service.

Le flux de travail suivant montre un exemple de processus de création et d’utilisation d’un espace de travail.

1. Une équipe de plateforme d’API centrale qui gère l’instance Gestion des API crée un espace de travail et affecte des autorisations aux collaborateurs de l’espace de travail à l’aide de rôles RBAC. Par exemple, attribuez des autorisations pour créer ou lire des ressources dans l’espace de travail. L’équipe crée ou associe une passerelle API à l’espace de travail pour acheminer le trafic d’API.

2. Une équipe de plateforme d’API centrale utilise les outils DevOps pour créer un pipeline DevOps pour les API dans cet espace de travail.

3. Les membres de l’espace de travail développent, publient, mettent en production et gèrent des API dans l’espace de travail.

4. L’équipe centrale de la plateforme d’API gère l’infrastructure du service, comme la surveillance, la résilience et l’application des stratégies de toutes les API.

Passerelle d’espace de travail

Chaque espace de travail est configuré avec une ou plusieurs passerelles pour activer le runtime des API gérées dans l’espace de travail. Selon le niveau de service et vos besoins, vous pouvez utiliser la passerelle managée par défaut du service et/ou une ou plusieurs passerelles d’espace de travail (ressources de passerelle distinctes).

Passerelle managée par défaut

Dans les niveaux v2, vous pouvez configurer un espace de travail pour acheminer le trafic d’API via la passerelle managée par défaut du service, en plus d’une ou plusieurs ressources distinctes de passerelle d’espace de travail. Lorsqu’un espace de travail utilise la passerelle managée par défaut :

• Le trafic d’API est acheminé via le nom d’hôte par défaut du service (par exemple, <service-name>.azure-api.net).
• L’espace de travail partage la capacité et la configuration de la passerelle avec d’autres espaces de travail et les API de niveau service.

Passerelle d’espace de travail

Une passerelle d’espace de travail est une ressource de Azure autonome (workspace gateway Premium) avec les mêmes fonctionnalités principales que la passerelle gérée par défaut.

Vous gérez les passerelles d’espace de travail indépendamment du service Gestion des API et les unes des autres. Ils permettent l’isolation du runtime entre les espaces de travail ou les cas d’usage, ce qui augmente la fiabilité de l’API, la résilience et la sécurité. Ils permettent également l’attribution de problèmes d’exécution aux espaces de travail.

• Pour plus d’informations sur le coût des passerelles d’espace de travail, consultez la tarification de Gestion des API.
• Pour obtenir une comparaison détaillée des passerelles Gestion des API, consultez vue d’ensemble des passerelles de Gestion des API.

Associer des espaces de travail à une passerelle d’espace de travail

Selon les besoins de votre organisation, vous pouvez associer un espace de travail ou plusieurs espaces de travail à une passerelle d’espace de travail.

• Une passerelle d’espace de travail a certains paramètres de configuration, tels que le réseau virtuel, la mise à l’échelle et le nom d’hôte, ainsi que les ressources informatiques allouées, notamment l’UC, la mémoire et les ressources réseau.
• Tous les espaces de travail déployés sur une passerelle partagent les ressources de configuration et de calcul.
• Les bogues dans une API ou un trafic anormal peuvent entraîner l’épuisement de ces ressources, ce qui affecte tous les espaces de travail sur cette passerelle. En d’autres termes, plus vous déployez d’espaces de travail sur une passerelle, plus l’API d’un espace de travail rencontre des problèmes de fiabilité causés par une API d’un autre espace de travail.
• Surveillez les performances de votre passerelle d’espace de travail à l’aide de métriques intégrées pour l’utilisation du processeur et de la mémoire.

Prenez en compte la fiabilité, la sécurité et le coût lors du choix d’un modèle de déploiement pour les espaces de travail.

• Affectez un espace de travail à sa propre passerelle d’espace de travail dédiée pour les charges de travail stratégiques : pour optimiser la fiabilité et la sécurité de l’API, affectez à chaque espace de travail stratégique sa propre passerelle, ce qui évite l’utilisation partagée avec d’autres espaces de travail.
• Équilibrer la fiabilité, la sécurité et le coût : associez plusieurs espaces de travail à une passerelle d’espace de travail (ou, le cas échéant, la passerelle managée par défaut) pour équilibrer la fiabilité, la sécurité et le coût des charges de travail non critiques. Distribuez des espaces de travail sur au moins deux passerelles pour empêcher les problèmes, tels que l’épuisement des ressources ou les erreurs de configuration, d’affecter toutes les API au sein de l’organisation.
• Utilisez des passerelles distinctes pour différents cas d’usage : regroupez des espaces de travail sur une passerelle d’espace de travail en fonction d’un cas d’usage ou d’une configuration réseau requise. Par exemple, vous pouvez faire la distinction entre les API internes et externes en les affectant à des passerelles distinctes, chacune avec sa propre configuration réseau.
• Prepare pour mettre en quarantaine des espaces de travail problématiques : utilisez un proxy, tel que Azure Application Gateway ou Azure Front Door, devant les passerelles d'espace de travail partagées pour simplifier le déplacement d'un espace de travail qui provoque l'épuisement des ressources vers une autre passerelle. Cette approche empêche l’impact sur d’autres espaces de travail partageant la passerelle.

Nom d’hôte de la passerelle de l’espace de travail

Chaque passerelle d’espace de travail fournit un nom d’hôte unique pour les API gérées dans un espace de travail associé. Les noms d’hôte par défaut suivent le modèle <gateway-name>-<hash>.gateway.<region>.azure-api.net. Utilisez le nom d’hôte de passerelle pour router les demandes d’API vers les API de votre espace de travail.

Actuellement, les passerelles d’espace de travail ne prennent pas en charge les noms d’hôte personnalisés. Vous pouvez configurer Azure Application Gateway ou Azure Front Door avec un nom d’hôte personnalisé devant une passerelle d’espace de travail.

Isolation du réseau des passerelles d’espace de travail

Vous pouvez éventuellement configurer une ressource de passerelle d’espace de travail dans un réseau virtuel privé pour isoler le trafic entrant et sortant. Si vous configurez cette isolation, la passerelle d’espace de travail doit utiliser un sous-réseau dédié dans le réseau virtuel.

Pour connaître les exigences détaillées, consultez Exigences de ressource réseau pour les passerelles d’espace de travail.

Capacité de mise à l’échelle pour les passerelles d’espace de travail

Gérez la capacité d’une passerelle d’espace de travail en ajoutant ou en supprimant des unités d’échelle, comme les unités que vous pouvez ajouter à l’instance Gestion des API dans certains niveaux de service. Les coûts d’une passerelle d’espace de travail sont basés sur le nombre d’unités que vous sélectionnez.

Disponibilité régionale des passerelles d’espace de travail

Pour obtenir la liste actuelle des régions où les passerelles d’espace de travail sont disponibles, consultez Disponibilité des niveaux v2 et des passerelles d’espace de travail.

Contraintes de l’espace de travail et de sa passerelle

Contraintes des espaces de travail

• Un espace de travail ne peut pas être associé à une passerelle auto-hébergée
• Les API dans les espaces de travail ne sont pas couvertes par Defender pour les API
• Les espaces de travail ne prennent pas en charge le gestionnaire d’identifiants
• Les espaces de travail prennent uniquement en charge le cache interne ; le cache externe n’est pas pris en charge
• Les espaces de travail ne prennent pas en charge les API GraphQL synthétiques
• Les espaces de travail ne prennent pas en charge la création d'API directement à partir de ressources Azure telles que Azure OpenAI Service, App Service, Function Apps, etc. dans le portail Azure
• Les espaces de travail ne prennent pas en charge les serveurs MCP
• Les métriques de requête ne peuvent pas être fractionnées par espace de travail dans Azure Monitor ; toutes les métriques d’espace de travail sont agrégées au niveau du service
• Les espaces de travail ne prennent pas en charge les certificats d’AC
• Les espaces de travail ne prennent pas en charge les identités managées, notamment les fonctionnalités associées telles que le stockage des secrets dans Azure Key Vault et l'utilisation de la stratégie authentication-managed-identity

Contraintes de la passerelle de l’espace de travail

Les contraintes suivantes s’appliquent à la ressource de passerelle d’espace de travail managé. Ils ne s’appliquent pas lors de l’utilisation d’espaces de travail sur la passerelle managée par défaut du service.

• Les passerelles d’espace de travail ne prennent pas en charge les points de terminaison privés entrants
• Les passerelles d’espace de travail ne prennent pas en charge les noms d’hôte personnalisés
• Les espaces de travail ne peuvent être associés qu’aux passerelles d’espace de travail situées dans la même région et dans le même abonnement que la ressource Gestion des API

Héritage de politique globale dans les passerelles de l'espace de travail

Les passerelles d’espace de travail exécutent l'intégralité de la chaîne de politiques, y compris la politique globale au niveau du service (global.policy.xml). Ce comportement signifie que toutes les stratégies définies à l’étendue globale sont évaluées et exécutées pour les appels d’API traités par les passerelles d’espace de travail, tout comme pour la passerelle par défaut. Ce comportement est intentionnel et cohérent avec le modèle d’évaluation des stratégies de gestion des API, dans lequel vous appliquez les stratégies de manière hiérarchique aux niveaux de portée suivants : global (service) > espace de travail > produit > API > opération.

Recommandations relatives aux stratégies globales avec les passerelles d’espace de travail

• Passez en revue votre stratégie globale pour vous assurer qu’elle contient uniquement des stratégies destinées à s’appliquer sur toutes les passerelles, y compris les passerelles d’espace de travail.

• Si vous avez besoin d’un comportement différent par passerelle, utilisez la stratégie de choix avec context.Deployment.Gateway.Id laquelle exécuter des stratégies de manière conditionnelle en fonction du traitement de la demande par passerelle.

• Si vous définissez une identité managée par l’authentification à l’étendue globale, mais que le jeton ne doit pas être disponible pour les API délimitées à l’espace de travail, déplacez la stratégie vers une étendue plus étroite (par exemple, au niveau du produit ou de l’API) au lieu de la stratégie globale.

Rôles RBAC pour les espaces de travail

Azure RBAC est utilisé pour configurer les autorisations des collaborateurs de l’espace de travail pour lire et modifier des entités dans l’espace de travail. Pour obtenir la liste des rôles, consultez Guide pratique pour utiliser le contrôle d’accès en fonction du rôle dans Gestion des API.

Pour gérer les API et d’autres ressources de l’espace de travail, attribuez des rôles aux membres de l’espace de travail (ou des autorisations équivalentes via des rôles personnalisés) qui sont limités au service Gestion des API et à l’espace de travail. Le rôle délimité au service permet de référencer certaines ressources au niveau du service depuis des ressources au niveau de l’espace de travail. Par exemple, organisez un utilisateur en groupe au niveau de l’espace de travail pour contrôler la visibilité de l’API et du produit.

Si l’espace de travail utilise une passerelle d’espace de travail dédiée, les membres qui gèrent la passerelle doivent également être affectés à un rôle délimité à la ressource de passerelle d’espace de travail.

Espaces de travail et autres fonctionnalités de Gestion des API

Les espaces de travail sont autonomes pour optimiser la séparation des accès administratifs et du runtime d’API. Pour garantir une productivité accrue et permettre une gouvernance à l’échelle de la plateforme, une observabilité, une réutilisation et une découverte d’API, plusieurs exceptions existent.

• Références de ressources : les ressources d’un espace de travail peuvent référencer d’autres ressources de l’espace de travail et les ressources sélectionnées au niveau du service, comme les utilisateurs, les serveurs d’autorisation ou les groupes d’utilisateurs intégrés. Elles ne peuvent pas référencer les ressources d’un autre espace de travail.

  Pour des raisons de sécurité, vous ne pouvez pas référencer les ressources au niveau du service à partir de stratégies au niveau de l’espace de travail (par exemple, des valeurs nommées) ou par des noms de ressources, comme backend-id dans la stratégie set-backend-service .

  Important

  Toutes les ressources d’un service Gestion des API (par exemple les API, les produits, les étiquettes ou les abonnements) doivent avoir des noms uniques, même si elles sont dans différents espaces de travail. Vous ne pouvez pas avoir de ressources du même type et avec le même nom de ressource Azure dans le même espace de travail, dans d'autres espaces de travail ou au niveau du service.

• Portail des développeurs : les espaces de travail sont un concept administratif et ne sont pas exposés en tant que tels pour les consommateurs du portail des développeurs, notamment via l’interface utilisateur du portail des développeurs et l’API sous-jacente. Vous pouvez publier des API et des produits au sein d’un espace de travail sur le portail des développeurs, tout comme les API et les produits au niveau du service.

  Note

  Gestion des API prend en charge l’attribution de serveurs d’autorisation définis au niveau du service aux API au sein des espaces de travail.

Migration depuis des espaces de travail en préversion

Si vous avez créé des espaces de travail en préversion dans Azure Gestion des API et que vous souhaitez continuer à les utiliser, migrez vos espaces de travail vers la version en disponibilité générale en associant une passerelle d’espace de travail à chaque espace de travail.

Pour plus d’informations et pour en savoir plus sur les autres modifications susceptibles d’affecter vos espaces de travail en préversion, consultez Changements majeurs des espaces de travail (mars 2025).

Supprimer un espace de travail

Lorsque vous supprimez un espace de travail à l’aide de l’interface du portail Azure, vous supprimez également toutes ses ressources enfants (API, produits, et ainsi de suite) et une passerelle d’espace de travail dédiée si celle-ci est associée. Elle ne supprime pas l’instance Gestion des API ou d’autres espaces de travail.

Contenu connexe

• Créer un espace de travail
• Changements cassants des espaces de travail – juin 2024
• Changements majeurs des espaces de travail (mars 2025)
• Limites - Espaces de travail Gestion des API