innovation, digitalisation, mobilité, approche multi-canal be « api »

Innovation, digitalisation, mobilité, approche multi-canal

Be « API »

Petit déjeuner gestion des API

Agenda

9h00

Bienvenue et introduction Gaël Kergot, Head of Security BU France, CA Technologies

L'API Management : une réponse innovante aux enjeux business B2C : multi-canal, mobilité et sécurité du SI Evariste Akouégnon, Directeur de Projet, Arismore

Présentation de Layer 7Benoît Picaud, Senior Consultant, CA Technologies

10h15 : questions/réponses

Agenda

Les nouveaux paradigmes de l’entreprise étendue Comment répondre à ces enjeux? Pourquoi les API constituent une vraie réponse à ces enjeux? API Economy Typologie des API Critères de choix Quelques règles de bonne conduite Forrester wave

Arismore Evariste Akouegnon, Directeur de Projet Manager Practice Identité et Sécurité Numériques chez Arismore evariste.akouegnon@arismore.fr

Les nouveaux paradigmes de l’entreprise étendue …

Principaux défis

© Arismore 4

Gérer en toute sécurité l’hétérogénéité des accès et des points d’accès Orchestrer et exposer des données du patrimoine informationnel Rester agile et innovant tout en maîtrisant le coût de la technologie Anticiper les nouveaux business models et créer de nouveaux canaux de revenus Faire du data mashup et monétiser la donnée

“ L’infrastructure technique ne doit pas être un frein à l’innovation, mais une barrière d’entrée” Steve Yegg, Google

Comment répondre à ces enjeux?

Offrir un accès direct et sécurisé aux données

Unifier les plateformes de services

Penser Self-Service

Le Cloud, la mobilité, les réseaux sociaux ne sont qu’une exposition particulière de la donnée au travers du service

La volumétrie est un enjeu important La capacité de faire du mashup accélère la prospection

Suppression des intermédiaires et mise en place d’un intermédiaire d’orchestration unique

Banalisation des sites webs, des applications et des devices

Pourquoi les API constituent une vraie réponse à ces enjeux?

Parce qu’en B2C, l’agilité est fondamentale Pour capter les nouveaux prospects, là où ils se trouvent Pour prendre un avantage significatif sur la concurrence Pour accélérer l’incubation des nouveaux standards, souvent porteurs de nouveaux

business cases Reuse, Reuse, Reuse

Parce qu’en B2C, la performance et la scalabilité sont essentielles Les API Gateway offrent , pour la plupart, un suivi précis du trafic des API Ils sont, pour la plupart, basés sur des appliances avec du trafic management

Parce qu’en B2C, la sécurité ne doit pas être un vain mot Héritage du SOA Héritage, de facto, de la sécurité des standards

© Arismore 6

“ Unless you’re Steve Jobs, it’s very difficult to create a set of products that will be right for everyone. And with an API, you don’t have to” Benoit Jolin, Vice President of Product & Marketing Expedia

API Economy (1/2)

API Economy (2/2)

Classes Enterprise API: Informations sensibles, Business

transactions,.. Consumer API: Réseaux sociaux, services, Médias, e-

commerces,..

Modèles de déploiement Gateway: Appliance hardware déployée en DMZ ou

déployée en Cloud. Proxy: Service Cloud en coupure du trafic API depuis/vers le

SI Client. Peut-être couplé avec un API Gateway Plug-ins: Solution logicielle intégrable dans du code

© Arismore 9

Typologies des APIClasses et Modèles de déploiement

© Arismore 10

Typologies des APIProtocoles et Standards

Authentification & Autorisation Héritage SOA Porté, de facto, par les standards.

SOAP vs REST SOAP est un framework complet de protocoles

applicatifs qui s'appuie sur WS-* security et utilise des verbes complexes

REST est un style d’architecture avec des verbes simples (GET,POST,PUT,DELETE)

Rester pragmatique: L’essence de l’API Management, c’est le reuse!

JSON Reste un format de données Très peu utilisé dans le monde des API publiques

(~ 20% en 2013)

Oauth exemple

AS RS

1 - Je veux avoir accès à ce service

2 - OK, redirection vers facebook

3a -Authorization code donné par l’AS« OK, pour l’accès »

2a –Demande à l’utilisateur s’il autorise l’application à avoir accès à des données personnelles 3 - Authentification

de l’utilisateur, s’il valide sa demande d’accès au x données personnelles, il obtient un authorization code

4 – J’ai un authorization code donne moi un access token

5 – J’ai un access token qui me permet d’accéder au service auquel je suis autorisé.

© Arismore 12

API Management Critères de choix

Modèle de déploiement Capacité à construire une architecture de référence Capacité à industrialiser

Couverture Support des standards et des protocoles Couverture fonctionnelle Transformation API (SOAP -> REST / REST -> SOAP / XML -> JSON / JSON ->

XML) Disponibilité

Performance et scalabilité Capacité à monitorer le trafic

Richesse de la SDK Ready to use

© Arismore 13

API Management Quelques règles de bonne conduite

Penser stratégie Ne pas faire de l’API Management pour faire de

l’API Management La co-innovation et le reuse sont possibles!

Penser les API comme des produits avec un cycle de vie

Quelques barrières existent: La dette technologique du Legacy La culture d’agilité

Forrester Wave

Forrester Wave:API Management Platforms, Q1 2013

The Forrester Wave: SOA Application Gateways, Q4 2011

The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave™ are trademarks of Forrester Research, Inc. The Forrester Wave™ is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change

Forrester Research Inc., “The Forrester Wave: SOA Application Gateways”, Q4 2011, November 18, 2011

Forrester Research Inc., “Forrester Wave: API Management Platforms, Q1 2013”, February 5, 2013

Merci

Petit déjeuner gestion des API

Présentation de Layer 7

Partie CA Technologies (logo ARISMORE grisé)

17 © 2014 CA. All rights reserved.

Agenda de ce chapitre

Un cas concret

Cas d’utilisation

Les points clefs de la gestion d’API en détails

Quelques mots sur ce qui nous rend différents

18 © 2014 CA. All rights reserved.

Introduction par un cas concret

19 © 2014 CA. All rights reserved.

1. un petit point de situation

20 © 2014 CA. All rights reserved.

EXTÉRIEUR INTÉRIEUR(clients) (prod et dev)

21 © 2014 CA. All rights reserved.

2. une demande pas si anodine

22 © 2014 CA. All rights reserved.

?

EXTÉRIEUR INTÉRIEUR(clients) (prod et dev)

client 1 appZ

23 © 2014 CA. All rights reserved.

3. les défis

24 © 2014 CA. All rights reserved.

25 © 2014 CA. All rights reserved.

changement de paradigme – une idée de lâcher-prise

services & données

interactions (et non consommation)

les défis:

l’exposition (cohérence, maintenance, gouvernance, partage)

la protection (sécurité, fiabilité, contrôles opérationnels)

la composition et l’orchestration (adaptation, extensibilité)

la mesure (performance, accès, satisfaction utilisateur, visibilité métiers)

26 © 2014 CA. All rights reserved.

4. solution

27 © 2014 CA. All rights reserved.

- login local ou fédéré- auth. automatique

- auth. initiale- auth automatique- sso inter-applications

1. Exposition2. Protection3. Composition4. Réduction de la dette technique

Fonctions:

- auth. app

28 © 2014 CA. All rights reserved.

Côté utilisateurs

Fédération

Authentification facilitée (OAuth)

SDK optionnel SSO cross-applications

Côté services

exposition

contrôle

transformation

routage

SLA

composition

adaptation

performance

audit

notification

priorité

politiques

visibilité & reporting

29 © 2014 CA. All rights reserved.

Une idée à retenir

L’API EST LA CONTINUATION DU WEB

30 © 2014 CA. All rights reserved.

L’API est la continuité, plus agile, du WebLa 1ère phase s’est constituée autour du navigateur

Entreprise

Applications & données

…

DMZWeb Content

Exposed Through Perimeter

31 © 2014 CA. All rights reserved.

Dilemme: comment ouvrir ses API de manière sûre?

partenaires / BU

Développeurs tiers

App mobile Cloud Services Internet des objets

API

…

Données

32 © 2014 CA. All rights reserved.

La solution: une passerelle d’accès et de gestion d’API

Partenaires / BU

Développeurs tiers

App mobile Cloud Services Internet des objets

API

…

Données

33 © 2014 CA. All rights reserved.

Quelques autres cas d’usage

34 © 2014 CA. All rights reserved.

Domaine: publications scientifiques et économiques

Challenge: nouveau canal de distribution via une application sur Google App Engine

Solution: authentification, autorisation, qualité de service, metering, transformation REST vers SOAP, agrégation et orchestration de services

Résulats: politiques (et non code!) de gestion, support du nouveau canal, meilleure réactivité avec les utilisateurs, nouvelles fonctions (externalisées), réactivité du service

Publications en ligne

35 © 2014 CA. All rights reserved.

Exposer les fonctions core de télécommunication Domaine: trouver les relais de croissance de demain dans les pays émergeants

Challenge: exposer les fonctions core-telco de l’opérateur à des partenaires

Solution: intercession entre les partenaires et les applications internes, gestion des identités et des interfaces, monitoring, réduction du couplage.

Plus de 300 partenaires développeur utilisent la plate-forme, suscitant l’innovation en réutilisant et (re)composant les services telco existants.

36 © 2014 CA. All rights reserved.

Étendre les fonctions de vente Domaine: aviation civile

Challenge: habiliter les développeurs externes à utiliser les services (départs, réservation, inventaires)

Solution: exposition sûre et monitorée des API avec une politique de cache aggressive des requêtes vers SABRE

Résultats: extension des canaux de vente de billets, contrôle des coûts SABRE

37 © 2014 CA. All rights reserved.

Intégration entre entités métier

Domaine: banque-assurance

Problème: large hétérogénéité des infos-systèmes des métiers et branches

Solution: intermédiation technique entre composants, support de multiples plate-formes, transformation de messages, d’identités et intégration avec services externes et partenaires.

Résultats: gouvernance des accès, contrôles améliorés, accueil plus rapide et plus maîtrisé des nouveaux partenaires, découplage permettant de meilleures capacités d’adaptation future.

38 © 2014 CA. All rights reserved.

Principales fonctions et points clefsde la gestion d’API

39 © 2014 CA. All rights reserved.

La gestion d’API en détail

Gestion des ressources développeurs

Vitalité

Workflow

Performance Global Staging Enrôlement Documentation

Forums

Explorateur

RankingsQuotas

Plans

AnalysesReporting

Migration

Patch ManagementSuivi de politiques

Disponibilité et Cycle de vie

Throttling Priorité Caching

Routing TraficTransformation

Securité

Gestion sûre des interfaces et données

CompositionAuthentification SocialAPI KeysHabilitations

OAuth 1.x OAuth 2.0 OpenIDConnect

Gestion des accès et des droits

Token Service

42 © 2014 CA. All rights reserved.

Ce qui nous rend différents(et on l’espère, meilleurs!)

43 © 2014 CA. All rights reserved.

Valeur

Capacités et couverture fonctionnelle

Performance et scalabilité

Flexibilité (SDK, APIs, réutilisation)

Expérience et savoir-faire

– mobilité, intégration cloud, IoT

44 © 2014 CA. All rights reserved.

Le Policy Manager – l’outil de l’architecteconfiguration – pas de code

règles sophistiquées

déploiement intégré

45 © 2014 CA. All rights reserved.

Le portail développeurs

46 © 2014 CA. All rights reserved.

Plus de 300 références

Secteur finance Communications Secteur public Autres secteurs

48 © 2014 CA. All rights reserved.

Merci!