Introduction à l’API Management

API Management
API Management

Sous l’impulsion de la transformation digitale imposant de nouveaux usages comme le mobile, le multicanal, le temps réel et l’API Economy/écosystème, ou sous contraintes réglementaires* les échanges de données et services au sein des entreprises ou avec leurs partenaires se multiplient d’une façon importante et implique la mise en place de nouveaux outils et organisations plus adaptés.

L’un de ces concepts, mêlant outils techniques et gouvernances, est l’API Management.

C’est quoi l’API Management ?

L’API Management est un sujet assez nouveau pour certains alors qu’il a fait son apparition il y a déjà une dizaine d’années. Comme son nom l’indique, il traite d’ensemble des questions liées à la gestion des API en permettant de

  • D’exposer et sécuriser les API d’une façon simple et rapide
  • Gérer la communauté de développeurs à l’aide de processus d’onboarding
  • Promouvoir les API en facilitant leur découverte et prise en main (catalogue d’API, documentation,…)
  • Maîtriser et suivre la consommation des API (analytics, Throttling,…)
  • Gérer le cycle de vie des API

Mais concrètement, qu’est ce qui se cache derrière l’API Management ?

La gestion d’API se fait sur 2 phases distinctes :

  • Le build : phase de construction permettant de gérer le cycle de vie des API et la gestion des consommateurs
  • Le run : phase de « production » qui permet de gérer la sécurisation des API (authentification, SLA,…)

Ces fonctionnalités sont en général offertes par 3 briques techniques différentes:

Gateway : Expose des proxy d’API et exécute tous les traitements de médiation notamment la gestion des accès et le contrôle des autorisations.

Portail fournisseur : point central de gestion du cycle de vie des API et d’administration des gateway.

Portail développeur : Point central de communication entre fournisseurs d’API et consommateurs. Il doit être réfléchi pour soigner au mieux l’expérience développeur.

Il n’est pas rare que les 2 portails soient regroupés dans un seul, les accès aux différentes fonctionnalités sont gérés par les rôle/habilitations.

Le schémas ci-dessous explique le fonctionnement et les interconnexions entres les briques.

API Management

Comment sécuriser les API

L’un des rôles principaux des solutions d’API Management est de décharger en partie les développeurs backend des aspects sécurité afin de leur permettre de se concentrer uniquement sur les fonctionnalités métier qu’ils doivent mettre en place.

Ainsi lorsqu’on envisage de mettre une brique d’API Management au sein de l’entreprise, il faut immédiatement se poser la question de comment sécuriser les API et gérer les accès des applications consommatrices et des utilisateurs finaux.

Malgré la particularité de chaque entreprise notamment dans sa gestion des identités, des standards et normes existent et il est utile de les adopter au plus vite.

Les méthodes décrites ci-dessous sont les plus courantes :

  • Basic authentification : basée sur un login/mot de passe. Elle convient à sécuriser les API ayant un niveau de sécurité moyen et ne nécessitant pas l’authentification de l’utilisateur final.
  • Authentification par API Key : basée sur une chaine de caractère identifiant d’une manière unique l’application consommatrice. Elle convient à sécuriser les API ayant un niveau de sécurité moyen et ne nécessitant pas l’authentification de l’utilisateur final.
  • Authentification par certificat : basée sur un certificat client et convient aux API ne nécessitant pas l’authentification de l’utilisateur final mais ayant besoin de sécuriser fortement l’échange entre le fournisseur et l’application consommatrice.
  • Authentification par Token JWT : Il permet l’échange sécurisé de jetons (tokens) entre plusieurs parties. C’est la méthode qui convient le mieux aux API Rest en raison des standards qui en découle comme OAuth2 et OpenId Connect.

La gouvernance des API

Historiquement les API (pour Application Programming Interface, ou interface de programmation) sont un moyen de communication entre deux logiciels. L’API Windows est un exemple, elle permet à des développeurs de créer des logiciels ayant accès aux fichiers et services du système (On parlait alors de Librairie et moins d’API).

Mais depuis quelque temps, chez les acteurs le plus avertis comme les géants du web, elles dépassent le cadre technique et constitue un véritable système névralgique en offrant des nouveaux business models et des sources de revenu supplémentaires. Par exemple, sur l’année 2018 et rien qu’avec Uber, l’Api de Google Maps a rapporté 58 millions de dollars à la maison mère Alphabet.

Il est donc primordial d’aborder le sujet API Management de 2 points de vue :

  • Technique : pour les aspects techniques et sécurités (autorisation, authentification,…)
  • Gouvernance

Ce 2e point mérite une attention particulière en raison de sa complexité et surtout de son importance. Il nécessite en général une organisation particulière impliquant des acteurs matures sur les API et ayant des compétences fonctionnelles et organisationnelles.

Cette gouvernance doit gérer les points principaux suivants :

  • Le suivi du cycle de vie de chaque API de sa conception jusqu’à sa mise en œuvre.
  • Le suivi des consommateurs des API et de leurs souscriptions à celles-ci.
  • La définition des normes et bonnes pratiques des API.
  • La gestion du patrimoine API de l’entreprise de sa cohérence.
  • L’acculturation et l’accompagnement au changement des différents acteurs de l’entreprise

Nous reviendrons plus en détail sur ce sujet dans un article dédié.

Conclusion

L’API Management joue un rôle important dans la transformation digitale. Sa mise en place peut être complexe en raison des aspects techniques qu’il faut absolument appréhender. Elle est aussi complexe en raison de la multitude d’acteurs impliqués.

Nous allons essayer de vous aider à voir plus clair à l’aide d’autres articles à venir. Nous reviendrons entre autres sur les sujets suivants:

  • Les critères à prendre en compte pour bien choisir sa solution d’API Management
  • La démarche d’APIsation du SI
  • L’API économie et les modèles économiques
  • Les rôles et acteurs de l’API Management

* La DSP2 oblige les banques à mettre en place une API qui permet aux prestataires de services tiers d’avoir accès aux données des clients

Publié le 06/01/20

 


Partagez cet article :