Comment maîtriser ses API et en tirer de la valeur ?

Par Jérémie Devillard, Co-Fondateur et Directeur Technique chez Moskitos

Les API positionnées dans un système back-end permettent l’interfaçage à des sources de données ou des applications, génératrices de valeur pour les utilisateurs. La maîtrise de cet écosystème passe en premier lieu par une phase d’identification de ces ressources au sein de l’entreprise mais aussi de leurs utilisateurs :
C’est en regroupant les identifications utilisateurs/ressources dans un point central que l’on pourra organiser une politique de gestion de droits d’accès aux ressources, pour garantir la sécurité de l’ensemble. Il devient ainsi possible de définir des autorisations à certains utilisateurs, depuis certains types d’environnements et d’outils autorisés, selon une période temporelle définie si nécessaire, pour qu’ils puissent accéder à certains types de ressources, et pas d’autres.
Gestion centralisée de la sécurité
Bien qu’un nombre illimité de services puissent être mis à disposition au sein de la plateforme d’API, chacun susceptible de disposer d’une politique de sécurité différente, il n’en demeure pas moins qu’un seul point d’accès devra être mis à disposition et visible par les applications consommatrices de données.
Cela va permettre d’instaurer une politique de gouvernance commune et donc de proposer une authentification unifiée (de type OpenId, SamI…) pour pouvoir récupérer de manière homogène les rôles et droits des utilisateurs dans l’environnement de l’entreprise; une gestion des droits d’accès basée sur une catégorisation des API back-end selon leur niveau de confidentialité (avec une nomenclature de type C1 à Cn) correspondant à un niveau d’accréditation nécessaire pour que les utilisateurs puissent y accéder.
Au sein de ces droits d’accès, il va alors être possible de définir des capacités d’accès pour les utilisateurs et leurs applications selon des engagements de services (SLA) contractualisés selon des plans de type Gold, Silver, etc., établissant un niveau de consommation limité de la ressource recherchée. Par exemple, dans le cadre de son plan Silver, un utilisateur aura le droit d’accéder à une certaine API 50 fois par jour, uniquement en semaine de 7h à 20h.
Si l’on a la possibilité de mettre en place ces plans de consommation, c’est grâce aux mesures d’appels des ressources qui sont mises à disposition au sein de la plateforme de gestion des droits d’accès aux API. Cette connaissance du niveau de sollicitation de la plateforme et des flux sortants est une brique essentielle de la maîtrise de ses ressources car elle permet de connaître le succès d’une API par rapport à une autre. C’est ainsi que l’on pourra ensuite envisager une politique de rémunération de l’accès à ces ressources.
Garantie de performance de la plateforme et santé des API
En plus de pouvoir quantifier le niveau d’utilisation de ses API, la plateforme de gestion va également fournir d’autres indicateurs qui vont permettre de connaître les latences induites par la plateforme elle-même mais aussi les latences du service exposant la ressource. Ces informations permettront d’identifier les API en difficulté et de localiser rapidement les goulots d’étranglement.

Continue reading “Comment maîtriser ses API et en tirer de la valeur ?”