Le modèle de cahier des charges "Plateforme de gestion des API" répertorie plus de 250 critères techniques pour faciliter la préparation de votre cahier des charges et comparer les solutions de gestion des API disponibles sur le marché. Ce document vous guidera dans votre réflexion stratégique et vous aidera à comparer les fonctionnalités des différentes plateformes visant à sécuriser les accès et à assurer la gestion des API tout au long de leur cycle de vie.
TÉLÉCHARGER CE CAHIER DES CHARGES
Sommaire du cahier des charges Plateforme de gestion des API
PARTIE I – Contexte technologique et définition du projet : les questions à se poser
PARTIE II – Les questions à poser à l’éditeur
1 – Niveau de maturité de la solution
1.1. Expérience de l’éditeur
1.2. Accompagnement à la mise en place d’une stratégie d’API
2 – Infrastructure et niveau de performance de la plateforme
2.1. Infrastructure
2.2. Performances et gestion du trafic
2.3. Scalabilité
2.4. Support et Monitoring
3 – Sécurité et gestion des identités
3.1. Niveau de protection offert par la plateforme
3.2. Authentification
3.3. Autorisations
3.4. Confidentialité
3.5. Cryptographie
3.6. Gestion des identités et des accès
4 – Fonctionnalités de gestion de l’API
4.1. Management des accès
4.2. Gestion de la plateforme
4.3. Packaging d’APIs, création de produits et de plans
4.4. Accessibilité de la plateforme
4.5. Reporting et analytique
4.6. Traduction des protocoles et filtrage des contenus
4.7. Gestion des erreurs
5 – API pour l’internet des objets et les application mobiles
5.1. Applications mobiles
5.2. Internet des objets
TÉLÉCHARGER CE CAHIER DES CHARGES
Sécuriser les accès et gérer le cycle de vie des API
Interfaces de programmation d’applications permettant de faire dialoguer différents services en ligne, les API jouent un rôle grandissant dans notre économie connectée.
Ces interfaces de programmation sont utilisées pour apporter des fonctionnalités supplémentaires à un programme en utilisant la technologie issue d’une application tierce ou pour importer des données pré-organisées, traitées ou intégrées ailleurs. Techniquement, les deux systèmes informatiques deviennent donc interopérables.
Pour évoquer un cas concret d’utilisation des API, on peut prendre l’exemple de Google Maps. N’importe quel site web peut exploiter l’API mis à disposition par Google Maps afin de proposer des services de géolocalisation. De même, les boutons de partage sur les réseaux sociaux – que l’on peut trouver à la fin de nombreux articles – reposent sur des API. Dans la plupart des sites, chaque page web charge pour un tiers des services externes par le biais d’API.
Dans ce contexte, les plateformes de gestion des API ont pour rôle de maintenir, de sécuriser les accès et de gérer le cycle de vie des API. Elles autorisent les organisations partenaires, les développeurs tiers, les applications mobiles et les services Cloud à accéder aux informations sans nuire à la sécurité des données ou aux performances des systèmes back-end. Certaines solutions de pilotage des API fournissent également des fonctionnalités pour gérer la communauté de développeurs qui conçoivent des applications tirant parti des API d’entreprise.
TÉLÉCHARGER CE CAHIER DES CHARGES
Comprendre les enjeux du pilotage des API et choisir une plateforme de gestion adaptée
Les API sont désormais au centre de tous développements d’applications liées au cloud, à la mobilité et à l’internet des objets. On les définit souvent comme le nouveau «ciment» de l’Internet. Alors que les entreprises élargissent l’accès à leurs données internes par le biais d’API ouvertes, la bonne gestion de ces interfaces soulève de plus en plus de questions autour de la sécurité :
• Comment sécuriser l’accès aux données dans un environnement hétérogène de plateformes et de périphériques mobiles ?
• Sur quelle technologie s’appuyer pour simplifier les principaux processus de gestion des API ?
• Quelle architecture de gestion d’API mettre en place pour répondre aux contraintes de performance et de sécurité des grandes entreprises (protection des données sensibles, contrôle d’accès stricts…) ?
Au-delà des aspects liés à la sécurité, les enjeux de la gestion des API sont nombreux :
• Intégrer des applications et services sur site ou hébergés dans le Cloud (intégration cloud)
• Gérer des API pour l’Internet des Objets (API pour l’internet des objets)
• Contrôler les identités et accès dans plusieurs systèmes (fédération des identités et des accès)
• Créer, gérer et exposer des API pour les communautés de développeurs internes et externes et comprendre l’usage ou les performances (Gestion d’API)
• Compléter les passerelles et Appliance existantes pour supporter les projets Cloud, mobiles et les API REST
Les apports des plateformes de gestion des API
Après avoir passé en revue la couverture fonctionnelle des différentes solutions de gestion des API, on peut tenter de synthétiser les apports de ces plateformes autour de cinq points principaux :
1/ Les solutions de gestion des API les plus complètes comportent des fonctionnalités permettant de présenter les services d’entreprise existants sous forme d’API « RESTful ». C’est-à-dire qu’elles permettent de convertir automatiquement les données des services d’applications associés au protocole SOAP en API utilisant le protocole Rest. Pour simplifier, l’objectif sera de proposer les données et fonctionnalités de l’entreprise dans des formats que les développeurs pourront comprendre et exploiter facilement.
2/ La possibilité de protéger les informations exposées via les API : la publication d’API expose les entreprises à de nouvelles menaces, car elles créent une voie d’accès aux systèmes internes des entreprises. La plateforme API doit être capable d’inspecter et filtrer l’ensemble du trafic API pour identifier et neutraliser les menaces courantes ou émergentes.
3/ Le contrôle des accès : il est essentiel de contrôler la façon dont les utilisateurs accèdent aux ressources de l’entreprise via les API, et d’empêcher les utilisateurs non autorisés d’obtenir des niveaux d’accès inappropriés. La plateforme doit pouvoir tirer parti des normes de gestion des identités et des accès telles qu’OAuth.
4/ La gestion du trafic des API, afin que les applications basées sur ces dernières fonctionnent correctement. La plateforme doit notamment inclure des modèles configurables pour l’implémentation du contrôle d’accès, de l’authentification unique et de la connexion via les réseaux sociaux dans des cas d’utilisation courants…
5/ La fourniture de ressources et outils à l’attention des développeurs. Certaines plateformes proposent un portail en ligne interactif et personnalisé. Elles comprennent notamment des outils de test et un accès aux documents concernant les spécificités du code…
Choisir une solution de pilotage et de gestion des API
Si la couverture fonctionnelle des solutions tend à s’homogénéiser, le marché des solutions de gestion d’interfaces de programmation applicatives n’en demeure pas moins hétérogène. Pour tenter d’y voir plus clair, on peut distinguer 3 catégories au sein des offres des éditeurs.
• Les solutions proposant des portails développeur afin de guider l’utilisateur dans la découverte des API mis à disposition (documentation, services sociaux, fonctionnalités d’analyse et monitoring)
• Les solutions de gestion des API avec les aspects sécurité, gestion des identités, gestion des volumes de trafic, facturation, cycle de vie…
• Les solutions basées sur une Gateway qui offrent la possibilité de concevoir des APIs.
Si vos APIs sont déjà développées, vous n’aurez pas forcément besoin d’une solution comprise dans cette troisième catégorie. Ce guide vous aidera précisément à cerner vos besoins et à comparer les différentes offres des éditeurs.
