innovation, digitalisation, mobilité, approche multi-canal be « api »
TRANSCRIPT
Innovation, digitalisation, mobilité, approche multi-canal
Be « API »
Petit déjeuner gestion des API
Agenda
9h00
Bienvenue et introduction Gaël Kergot, Head of Security BU France, CA Technologies
L'API Management : une réponse innovante aux enjeux business B2C : multi-canal, mobilité et sécurité du SI Evariste Akouégnon, Directeur de Projet, Arismore
Présentation de Layer 7Benoît Picaud, Senior Consultant, CA Technologies
10h15 : questions/réponses
Agenda
Les nouveaux paradigmes de l’entreprise étendue Comment répondre à ces enjeux? Pourquoi les API constituent une vraie réponse à ces enjeux? API Economy Typologie des API Critères de choix Quelques règles de bonne conduite Forrester wave
Arismore Evariste Akouegnon, Directeur de Projet Manager Practice Identité et Sécurité Numériques chez Arismore [email protected]
Les nouveaux paradigmes de l’entreprise étendue …
Principaux défis
© Arismore 4
Gérer en toute sécurité l’hétérogénéité des accès et des points d’accès Orchestrer et exposer des données du patrimoine informationnel Rester agile et innovant tout en maîtrisant le coût de la technologie Anticiper les nouveaux business models et créer de nouveaux canaux de revenus Faire du data mashup et monétiser la donnée
“ L’infrastructure technique ne doit pas être un frein à l’innovation, mais une barrière d’entrée” Steve Yegg, Google
Comment répondre à ces enjeux?
Offrir un accès direct et sécurisé aux données
Unifier les plateformes de services
Penser Self-Service
Le Cloud, la mobilité, les réseaux sociaux ne sont qu’une exposition particulière de la donnée au travers du service
La volumétrie est un enjeu important La capacité de faire du mashup accélère la prospection
Suppression des intermédiaires et mise en place d’un intermédiaire d’orchestration unique
Banalisation des sites webs, des applications et des devices
Pourquoi les API constituent une vraie réponse à ces enjeux?
Parce qu’en B2C, l’agilité est fondamentale Pour capter les nouveaux prospects, là où ils se trouvent Pour prendre un avantage significatif sur la concurrence Pour accélérer l’incubation des nouveaux standards, souvent porteurs de nouveaux
business cases Reuse, Reuse, Reuse
Parce qu’en B2C, la performance et la scalabilité sont essentielles Les API Gateway offrent , pour la plupart, un suivi précis du trafic des API Ils sont, pour la plupart, basés sur des appliances avec du trafic management
Parce qu’en B2C, la sécurité ne doit pas être un vain mot Héritage du SOA Héritage, de facto, de la sécurité des standards
© Arismore 6
“ Unless you’re Steve Jobs, it’s very difficult to create a set of products that will be right for everyone. And with an API, you don’t have to” Benoit Jolin, Vice President of Product & Marketing Expedia
API Economy (1/2)
API Economy (2/2)
Classes Enterprise API: Informations sensibles, Business
transactions,.. Consumer API: Réseaux sociaux, services, Médias, e-
commerces,..
Modèles de déploiement Gateway: Appliance hardware déployée en DMZ ou
déployée en Cloud. Proxy: Service Cloud en coupure du trafic API depuis/vers le
SI Client. Peut-être couplé avec un API Gateway Plug-ins: Solution logicielle intégrable dans du code
© Arismore 9
Typologies des APIClasses et Modèles de déploiement
© Arismore 10
Typologies des APIProtocoles et Standards
Authentification & Autorisation Héritage SOA Porté, de facto, par les standards.
SOAP vs REST SOAP est un framework complet de protocoles
applicatifs qui s'appuie sur WS-* security et utilise des verbes complexes
REST est un style d’architecture avec des verbes simples (GET,POST,PUT,DELETE)
Rester pragmatique: L’essence de l’API Management, c’est le reuse!
JSON Reste un format de données Très peu utilisé dans le monde des API publiques
(~ 20% en 2013)
Oauth exemple
AS RS
1 - Je veux avoir accès à ce service
2 - OK, redirection vers facebook
3a -Authorization code donné par l’AS« OK, pour l’accès »
2a –Demande à l’utilisateur s’il autorise l’application à avoir accès à des données personnelles 3 - Authentification
de l’utilisateur, s’il valide sa demande d’accès au x données personnelles, il obtient un authorization code
4 – J’ai un authorization code donne moi un access token
5 – J’ai un access token qui me permet d’accéder au service auquel je suis autorisé.
© Arismore 12
API Management Critères de choix
Modèle de déploiement Capacité à construire une architecture de référence Capacité à industrialiser
Couverture Support des standards et des protocoles Couverture fonctionnelle Transformation API (SOAP -> REST / REST -> SOAP / XML -> JSON / JSON ->
XML) Disponibilité
Performance et scalabilité Capacité à monitorer le trafic
Richesse de la SDK Ready to use
© Arismore 13
API Management Quelques règles de bonne conduite
Penser stratégie Ne pas faire de l’API Management pour faire de
l’API Management La co-innovation et le reuse sont possibles!
Penser les API comme des produits avec un cycle de vie
Quelques barrières existent: La dette technologique du Legacy La culture d’agilité
Forrester Wave
Forrester Wave:API Management Platforms, Q1 2013
The Forrester Wave: SOA Application Gateways, Q4 2011
The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave™ are trademarks of Forrester Research, Inc. The Forrester Wave™ is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change
Forrester Research Inc., “The Forrester Wave: SOA Application Gateways”, Q4 2011, November 18, 2011
Forrester Research Inc., “Forrester Wave: API Management Platforms, Q1 2013”, February 5, 2013
Merci
Petit déjeuner gestion des API
Présentation de Layer 7
Partie CA Technologies (logo ARISMORE grisé)
17 © 2014 CA. All rights reserved.
Agenda de ce chapitre
Un cas concret
Cas d’utilisation
Les points clefs de la gestion d’API en détails
Quelques mots sur ce qui nous rend différents
18 © 2014 CA. All rights reserved.
Introduction par un cas concret
19 © 2014 CA. All rights reserved.
1. un petit point de situation
20 © 2014 CA. All rights reserved.
EXTÉRIEUR INTÉRIEUR(clients) (prod et dev)
21 © 2014 CA. All rights reserved.
2. une demande pas si anodine
22 © 2014 CA. All rights reserved.
?
EXTÉRIEUR INTÉRIEUR(clients) (prod et dev)
client 1 appZ
23 © 2014 CA. All rights reserved.
3. les défis
24 © 2014 CA. All rights reserved.
25 © 2014 CA. All rights reserved.
changement de paradigme – une idée de lâcher-prise
services & données
interactions (et non consommation)
les défis:
l’exposition (cohérence, maintenance, gouvernance, partage)
la protection (sécurité, fiabilité, contrôles opérationnels)
la composition et l’orchestration (adaptation, extensibilité)
la mesure (performance, accès, satisfaction utilisateur, visibilité métiers)
26 © 2014 CA. All rights reserved.
4. solution
27 © 2014 CA. All rights reserved.
- login local ou fédéré- auth. automatique
- auth. initiale- auth automatique- sso inter-applications
1. Exposition2. Protection3. Composition4. Réduction de la dette technique
Fonctions:
- auth. app
28 © 2014 CA. All rights reserved.
Côté utilisateurs
Fédération
Authentification facilitée (OAuth)
SDK optionnel SSO cross-applications
Côté services
exposition
contrôle
transformation
routage
SLA
composition
adaptation
performance
audit
notification
priorité
politiques
visibilité & reporting
29 © 2014 CA. All rights reserved.
Une idée à retenir
L’API EST LA CONTINUATION DU WEB
30 © 2014 CA. All rights reserved.
L’API est la continuité, plus agile, du WebLa 1ère phase s’est constituée autour du navigateur
Entreprise
Applications & données
…
DMZWeb Content
Exposed Through Perimeter
31 © 2014 CA. All rights reserved.
Dilemme: comment ouvrir ses API de manière sûre?
partenaires / BU
Développeurs tiers
App mobile Cloud Services Internet des objets
API
…
Données
32 © 2014 CA. All rights reserved.
La solution: une passerelle d’accès et de gestion d’API
Partenaires / BU
Développeurs tiers
App mobile Cloud Services Internet des objets
API
…
Données
33 © 2014 CA. All rights reserved.
Quelques autres cas d’usage
34 © 2014 CA. All rights reserved.
Domaine: publications scientifiques et économiques
Challenge: nouveau canal de distribution via une application sur Google App Engine
Solution: authentification, autorisation, qualité de service, metering, transformation REST vers SOAP, agrégation et orchestration de services
Résulats: politiques (et non code!) de gestion, support du nouveau canal, meilleure réactivité avec les utilisateurs, nouvelles fonctions (externalisées), réactivité du service
Publications en ligne
35 © 2014 CA. All rights reserved.
Exposer les fonctions core de télécommunication Domaine: trouver les relais de croissance de demain dans les pays émergeants
Challenge: exposer les fonctions core-telco de l’opérateur à des partenaires
Solution: intercession entre les partenaires et les applications internes, gestion des identités et des interfaces, monitoring, réduction du couplage.
Plus de 300 partenaires développeur utilisent la plate-forme, suscitant l’innovation en réutilisant et (re)composant les services telco existants.
36 © 2014 CA. All rights reserved.
Étendre les fonctions de vente Domaine: aviation civile
Challenge: habiliter les développeurs externes à utiliser les services (départs, réservation, inventaires)
Solution: exposition sûre et monitorée des API avec une politique de cache aggressive des requêtes vers SABRE
Résultats: extension des canaux de vente de billets, contrôle des coûts SABRE
37 © 2014 CA. All rights reserved.
Intégration entre entités métier
Domaine: banque-assurance
Problème: large hétérogénéité des infos-systèmes des métiers et branches
Solution: intermédiation technique entre composants, support de multiples plate-formes, transformation de messages, d’identités et intégration avec services externes et partenaires.
Résultats: gouvernance des accès, contrôles améliorés, accueil plus rapide et plus maîtrisé des nouveaux partenaires, découplage permettant de meilleures capacités d’adaptation future.
38 © 2014 CA. All rights reserved.
Principales fonctions et points clefsde la gestion d’API
39 © 2014 CA. All rights reserved.
La gestion d’API en détail
Gestion des ressources développeurs
Vitalité
Workflow
Performance Global Staging Enrôlement Documentation
Forums
Explorateur
RankingsQuotas
Plans
AnalysesReporting
Migration
Patch ManagementSuivi de politiques
Disponibilité et Cycle de vie
Throttling Priorité Caching
Routing TraficTransformation
Securité
Gestion sûre des interfaces et données
CompositionAuthentification SocialAPI KeysHabilitations
OAuth 1.x OAuth 2.0 OpenIDConnect
Gestion des accès et des droits
Token Service
42 © 2014 CA. All rights reserved.
Ce qui nous rend différents(et on l’espère, meilleurs!)
43 © 2014 CA. All rights reserved.
Valeur
Capacités et couverture fonctionnelle
Performance et scalabilité
Flexibilité (SDK, APIs, réutilisation)
Expérience et savoir-faire
– mobilité, intégration cloud, IoT
44 © 2014 CA. All rights reserved.
Le Policy Manager – l’outil de l’architecteconfiguration – pas de code
règles sophistiquées
déploiement intégré
45 © 2014 CA. All rights reserved.
Le portail développeurs
46 © 2014 CA. All rights reserved.
Plus de 300 références
Secteur finance Communications Secteur public Autres secteurs
48 © 2014 CA. All rights reserved.
Merci!