API 管理登陸區域加速器的身分識別和存取管理考慮
本文提供使用API 管理登陸區域加速器時身分識別和存取管理的設計考慮和建議。 身分識別和存取管理涵蓋多個層面,包括管理API 管理實例、API 開發人員存取,以及對 API 的用戶端存取。
深入瞭解身 分識別和存取管理 設計區域。
設計考量
- 透過所有可能的通道決定API 管理服務的存取管理,包括入口網站、ARM REST API、DevOps 等。
- 決定API 管理實體的存取管理。
- 決定如何註冊和授權開發人員帳戶。
- 決定如何使用訂用帳戶。
- 決定開發人員入口網站上產品和 API 的可見度。
- 決定存取撤銷原則。
- 決定存取控制的報告需求。
設計建議
- 使用內建角色來委派跨小組的責任來管理API 管理實例。
- 使用以 API 管理RBAC 作業為基礎的自訂角色,設定API 管理實體的精細存取權。 範例:API 開發人員、備份操作員、DevOps 自動化等。
- 在適當的範圍建立訂用帳戶的關聯,例如產品。
- 建立適當的 群組 來控制產品的可見度。
- 使用 Azure Active Directory B2C管理開發人員入口網站的存取權。
- 報告:
- 使用內建 分析。
- 整合API 管理與Application Insights。
- 檢閱 診斷記錄。
- 建立自訂報表。