Dans le cadre de la transformation numérique des entreprises, les API constituent la glue permettant d’intégrer les applications. Il s’avère que leur gestion nécessite une analyse différenciée selon les usages qui en sont faits, notamment leur type d’exposition. Que ce soient API publiques, partenaires ou privées, les API sont essentielles à une transformation rapide et contrôlée.

API publiques 

Les API publiques sont des API ouvertes au plus grand nombre, plus précisément à des communautés de développeurs externes à l’entreprise. Ce sont naturellement les plus connues, comme par exemple celles de Google , Amazon Market Place, Amazon Web Services, Expedia. Elles sont également appelées « Open API ».

En voici leurs caractéristiques principales :

• Type : APIs REST/Json
• Interface d’intégration technique : contractualisation technique simplifiée, vérification des paramètres au niveau du code applicatif ou d’une Gateway API
• Authentification applicative : clef API souvent associée à une clef secrète
• Interface mise à disposition, disponible en ligne à travers un portail Web contenant également la documentation des API, des fonctions intégrées de test, des forums, une FAQ, un support intégré, des informations sur les nouveautés et une inscription à une newsletter d’information.
• Sécurité : niveau de protection très élevé, intégrant la protection contre les menaces les plus connues, notamment le Top 10 OWASP mais également un contrôle des profils de trafic pour ne pas faire tomber les applications internes appelées.
• Promotion : généralement poussée par des équipes marketing et commerciales dédiées et associée à des offres de monétisation.

Les avantages d’une solution d’API Management se situent à deux niveaux pour les API publiques; tout d’abord au niveau de leur construction (les fonctions de développement d’API permettent d’exposer des services internes existants en quelques heures seulement) ; ensuite au niveau opérationnel par une protection contre les menaces, la gestion des clefs de sécurité et la mise à disposition d’un portail Web de gestion des API. En termes d’architecture, il est d’usage de placer une Gateway API en DMZ pour nettoyer le trafic et une Gateway interne dédiée à l’exposition des API métier.

Toutefois, ces API publiques ne constituent à vrai dire que la partie émergée de l’iceberg et ne représentent qu’une toute petite partie de la totalité des API utilisées par l’entreprise. Bien plus discrètes mais néanmoins essentielles au bon fonctionnement de l’entreprise, nous retrouvons les API partenaires et les APIs privées.

API partenaires 

Les APIs partenaires sont destinées à exposer ses services B2B à des partenaires de l’écosystème dûment habilités.

• Type : APIs SOAP/XML.
• Interface d’intégration technique, contractualisée techniquement par un WSDL.
• Authentification applicative : le plus souvent WS-Security
• Interface mise à disposition : les partenaires utilisent dans la grande majorité des cas leurs propres outils internes; l’utilisation des portails Web de gestion externe des API est relativement rare à ce jour mais se développe dans des industries où la supply chain évolue rapidement.
• Sécurité : niveau de confiance élevé requis, se traduisant par l’utilisation de l’authentification SSL mutuelle et la gestion des certificats associés mais aussi par la signature des messages échangés pour une protection contre toute éventuelle altération lors du transit.
• Promotion : ce type d’API permet aux partenaires habilités de se connecter facilement, ce qui procure un réel avantage à l’entreprise en lui permettant d’imposer son mode d’interopérabilité lors de la phase d’établissement des caractéristiques d’interconnexion et éviter des coûts d’intégration supplémentaires.

Une solution d’API Management offre le point de contrôle unique des règles communes de sécurité, une centralisation des règles de gestion des interfaces partenaires avec la possibilité d’appliquer des niveaux de sécurité et de SLAs différents par partenaire et un point de contrôle central du trafic.

API privées

Les API privées, quant à elles, sont destinées à être consommées par des applications internes à l’entreprise, à des fins d’intégration inter-applicative.

• Type : initialement API SOAP/XML mais de plus en plus API REST/XML.
• Authentification applicative : intégration aux solutions de gestions d’identité et d’accès (IAM) de l’entreprise.
• Interface mise à disposition, un portail Web de gestion interne des API permet aux développeurs de parcourir le catalogue des API selon leurs droits mais également de suivre leur profil de trafic par application et par API.
• Sécurité : le niveau exigé pour la protection contre les menaces et le nettoyage du trafic est moins fort que pour le API publiques mais le besoin reste fort pour la gestion des quotas, des niveaux d’autorisation et le contrôle des SLAs.
• Promotion : il s’agit d’une promotion au sein de l’entreprise qui se fait essentiellement à travers le catalogue d’API disponible dans le portail Web de gestion des API internes.

Les API privées représentent une extension du monde SOA et visent à apporter l’agilité d’intégration nécessaire entre les couches d’intégration traditionnelles type ESB (obéissant à des cycles d’évolution longs) et les applications front-end (amenées à changer fréquemment). Nous assistons aujourd’hui à de nombreuses réflexions autour de cette couche d’intégration agile, comme en témoignent les « microservices ». Les solutions d’API Management permettent de répondre à ces enjeux en proposant deux niveaux d’intégration distincts : un premier niveau d’intégration qui expose des API privées techniques aux applications métier ; un second niveau d’intégration qui orchestre ces différentes API techniques pour en faire des API métier simplement consommables par des applications métier. A titre d’exemple, il suffit de considérer une fiche produit sur Amazon.com : les informations de la fiche produit proviennent d’une API métier qui appelle à son tour plusieurs API techniques pour obtenir toutes les informations nécessaires des divers systèmes.

Ainsi, la mise en œuvre d’une stratégie de gestion des API passe par une analyse différenciée : d’un côté, les API publiques et partenaires sont étudiées avec les directions métiers ; de l’autre, les API privées sont conçues au sein de la DSI pour renforcer l’agilité du système d’information.