Innovation, digitalisation, mobilité, approche multi-canal Be « API »

Petit déjeuner gestion des API Agenda 9h00 Bienvenue et introduction Gaël Kergot, Head of Security BU France, CA Technologies L'API Management : une réponse innovante aux enjeux business B2C : multi-canal, mobilité et sécurité du SI Evariste Akouégnon, Directeur de Projet, Arismore Présentation de Layer 7 Benoît Picaud, Senior Consultant, CA Technologies 10h15 : questions/réponses

Agenda Les nouveaux paradigmes de l’entreprise étendue Comment répondre à ces enjeux? Pourquoi les API constituent une vraie réponse à ces enjeux? API Economy Typologie des API Critères de choix Quelques règles de bonne conduite Forrester wave Arismore Evariste Akouegnon, Directeur de Projet Manager Practice Identité et Sécurité Numériques chez Arismore evariste.akouegnon@arismore.fr

Les nouveaux paradigmes de l’entreprise étendue … Principaux défis Gérer en toute sécurité l’hétérogénéité des accès et des points d’accès Orchestrer et exposer des données du patrimoine informationnel Rester agile et innovant tout en maîtrisant le coût de la technologie Anticiper les nouveaux business models et créer de nouveaux canaux de revenus Faire du data mashup et monétiser la donnée “ L’infrastructure technique ne doit pas être un frein à l’innovation, mais une barrière d’entrée” Steve Yegg, Google © Arismore

Comment répondre à ces enjeux? Offrir un accès direct et sécurisé aux données Suppression des intermédiaires et mise en place d’un intermédiaire d’orchestration unique Banalisation des sites webs, des applications et des devices Unifier les plateformes de services Le Cloud, la mobilité, les réseaux sociaux ne sont qu’une exposition particulière de la donnée au travers du service Penser Self-Service La volumétrie est un enjeu important La capacité de faire du mashup accélère la prospection

Pourquoi les API constituent une vraie réponse à ces enjeux? Parce qu’en B2C, l’agilité est fondamentale Pour capter les nouveaux prospects, là où ils se trouvent Pour prendre un avantage significatif sur la concurrence Pour accélérer l’incubation des nouveaux standards, souvent porteurs de nouveaux business cases Reuse, Reuse, Reuse Parce qu’en B2C, la performance et la scalabilité sont essentielles Les API Gateway offrent , pour la plupart, un suivi précis du trafic des API Ils sont, pour la plupart, basés sur des appliances avec du trafic management Parce qu’en B2C, la sécurité ne doit pas être un vain mot Héritage du SOA Héritage, de facto, de la sécurité des standards “ Unless you’re Steve Jobs, it’s very difficult to create a set of products that will be right for everyone. And with an API, you don’t have to” Benoit Jolin, Vice President of Product & Marketing Expedia © Arismore

API Economy (1/2)

API Economy (2/2)

Typologies des API Classes et Modèles de déploiement Enterprise API: Informations sensibles, Business transactions,.. Consumer API: Réseaux sociaux, services, Médias, e-commerces,.. Modèles de déploiement Gateway: Appliance hardware déployée en DMZ ou déployée en Cloud. Proxy: Service Cloud en coupure du trafic API depuis/vers le SI Client. Peut-être couplé avec un API Gateway Plug-ins: Solution logicielle intégrable dans du code © Arismore

Typologies des API Protocoles et Standards Authentification & Autorisation Héritage SOA Porté, de facto, par les standards. SOAP vs REST SOAP est un framework complet de protocoles applicatifs qui s'appuie sur WS-* security et utilise des verbes complexes REST est un style d’architecture avec des verbes simples (GET,POST,PUT,DELETE) Rester pragmatique: L’essence de l’API Management, c’est le reuse! JSON Reste un format de données Très peu utilisé dans le monde des API publiques (~ 20% en 2013) © Arismore

Oauth exemple AS RS 4 – J’ai un authorization code donne moi un access token 2a –Demande à l’utilisateur s’il autorise l’application à avoir accès à des données personnelles 5 – J’ai un access token qui me permet d’accéder au service auquel je suis autorisé. 3 - Authentification de l’utilisateur, s’il valide sa demande d’accès au x données personnelles, il obtient un authorization code 1 - Je veux avoir accès à ce service 2 - OK, redirection vers facebook 3a -Authorization code donné par l’AS « OK, pour l’accès »

API Management Critères de choix Modèle de déploiement Capacité à construire une architecture de référence Capacité à industrialiser Couverture Support des standards et des protocoles Couverture fonctionnelle Transformation API (SOAP -> REST / REST -> SOAP / XML -> JSON / JSON -> XML) Disponibilité Performance et scalabilité Capacité à monitorer le trafic Richesse de la SDK Ready to use © Arismore

API Management Quelques règles de bonne conduite Penser stratégie Ne pas faire de l’API Management pour faire de l’API Management La co-innovation et le reuse sont possibles! Penser les API comme des produits avec un cycle de vie Quelques barrières existent: La dette technologique du Legacy La culture d’agilité © Arismore

SOA Application Gateways, Q4 2011 API Management Platforms, Q1 2013 Forrester Wave The Forrester Wave: SOA Application Gateways, Q4 2011 Forrester Wave: API Management Platforms, Q1 2013 Forrester Research Inc., “The Forrester Wave: SOA Application Gateways”, Q4 2011, November 18, 2011 Forrester Research Inc., “Forrester Wave: API Management Platforms, Q1 2013”, February 5, 2013 The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave™ are trademarks of Forrester Research, Inc. The Forrester Wave™ is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change Copyright © 2013 CA. All rights reserved.

Merci

Petit déjeuner gestion des API Présentation de Layer 7 Partie CA Technologies (logo ARISMORE grisé)

Agenda de ce chapitre Un cas concret Cas d’utilisation Les points clefs de la gestion d’API en détails Quelques mots sur ce qui nous rend différents

Introduction par un cas concret

1. un petit point de situation

EXTÉRIEUR INTÉRIEUR (clients) (prod et dev) Copyright © 2013 CA. All rights reserved.

2. une demande pas si anodine

? EXTÉRIEUR INTÉRIEUR (clients) (prod et dev) app client 1 Z Copyright © 2013 CA. All rights reserved.

3. les défis

changement de paradigme – une idée de lâcher-prise services & données interactions (et non consommation) les défis: l’exposition (cohérence, maintenance, gouvernance, partage) la protection (sécurité, fiabilité, contrôles opérationnels) la composition et l’orchestration (adaptation, extensibilité) la mesure (performance, accès, satisfaction utilisateur, visibilité métiers)

4. solution

- auth. initiale - auth automatique - sso inter-applications - auth. app Fonctions: Exposition Protection Composition Réduction de la dette technique - login local ou fédéré - auth. automatique

Côté utilisateurs Fédération Authentification facilitée (OAuth) SDK optionnel SSO cross-applications Côté services exposition contrôle transformation routage SLA composition adaptation performance audit notification priorité politiques visibilité & reporting

Une idée à retenir L’API EST LA CONTINUATION DU WEB

Applications & données L’API est la continuité, plus agile, du Web La 1ère phase s’est constituée autour du navigateur Entreprise Applications & données Web Content Exposed Through Perimeter DMZ …

Dilemme: comment ouvrir ses API de manière sûre? partenaires / BU Données API Développeurs tiers … Layer 7 Secures & Manages The APIs & Data They Expose App mobile Cloud Services Internet des objets

La solution: une passerelle d’accès et de gestion d’API Partenaires / BU Données API Développeurs tiers … Layer 7 Secures & Manages The APIs & Data They Expose App mobile Cloud Services Internet des objets

Quelques autres cas d’usage

Publications en ligne Domaine: publications scientifiques et économiques Challenge: nouveau canal de distribution via une application sur Google App Engine Solution: authentification, autorisation, qualité de service, metering, transformation REST vers SOAP, agrégation et orchestration de services Résulats: politiques (et non code!) de gestion, support du nouveau canal, meilleure réactivité avec les utilisateurs, nouvelles fonctions (externalisées), réactivité du service Who: the customer is a leading publisher of science and health information with thousands of employees in dozens of countries, as well as a global community of journal editors, editorial board members, reviewers and authors Problem: Required a way to securely expose SOAP-based services to REST-based queries incoming from Google Apps/Gadgets, which is the preferred way for their customers and partners to access their information services Solution: CloudControl enforces AAA for users when they log on, and applies rate limiting to ensure users have not exceeded their contractual usage quotas. All REST-based queries are converted to SOAP for interoperability with existing services. CloudSpan Gateway implements their business logic in policy to allow aggregation and orchestration across all their back-end information services (today, users need to use multiple information services and manually aggregate the results) Results: users can get richer, more complete results faster; partners can create new service offerings from existing information services; service provider can manage their business logic in policy (not code) simplifying maintenance and resulting in a lower TCO solution

Exposer les fonctions core de télécommunication Domaine: trouver les relais de croissance de demain dans les pays émergeants Challenge: exposer les fonctions core-telco de l’opérateur à des partenaires Solution: intercession entre les partenaires et les applications internes, gestion des identités et des interfaces, monitoring, réduction du couplage. Plus de 300 partenaires développeur utilisent la plate-forme, suscitant l’innovation en réutilisant et (re)composant les services telco existants. Who: the customer is not only one of the world’s leading telecommunications operators, but also the number three mobile operator and number two provider of broadband internet services in Europe Problem: Needed a way to make their initiative (which exposes Telecom service APIs to internal stakeholders) securely available externally as part of their African partner’s project Solution: SecureSpan Networking Gateway secures and manages third-party developer access to the African partner’s development platform, as well as the Telco’s APIs by creating a layer of abstraction or indirection between the functionality the Telco publishes internally and the functionality they exposed to partners Results: As a core component of both the Telco and their African partner, the Layer 7 Gateway gives the Telco visibility into who is using which API, as well as allowing them to extract billing information, validate SLA conformance and track usage for capacity planning

Étendre les fonctions de vente Domaine: aviation civile Challenge: habiliter les développeurs externes à utiliser les services (départs, réservation, inventaires) Solution: exposition sûre et monitorée des API avec une politique de cache aggressive des requêtes vers SABRE Résultats: extension des canaux de vente de billets, contrôle des coûts SABRE Who: the customer is a major North American airline by revenue, serving 23M passengers annually across >90 destinations in the US, Canada & Mexico Problem: the customer is chasing the big players in the national airline market, but does not have the same marketing budget of a United, Delta or US Air to challenge their top of mind position for most US air travelers. The customer needed a way to disproportionately impact the market. Solution: Layer 7 abstracts the customer’s information services (such as flight schedules or reservations), and exposes them to third party developers who incorporate service functionality and data within their handheld applications, portals or web sites. Layer 7 authenticates developers; performs rate limiting to limit developer access to backend services, and caches travel data pulled from Sabre in order to minimize costs associated with referencing Sabre-based information. Results: Exposing APIs to developers allows the customer to recruit hundreds or even thousands of third party developers for a nominal cost. Developer-built applications dramatically expand the customer’s market reach and efficiency: iPhone App – iPhone users can streamline how the customer’s travelers check in and access their mobile boarding passes, get flight status details, select seats and track their mileage plans Facebook Fares – Facebook users can directly access the customer’s travel offers of cheap fares for traveling to wherever their friends are located; and Cargo Tracking – the customer’s Cargo customers can send a text message of their shipping number and receive a text message reply that shows where their package is en route

Intégration entre entités métier Domaine: banque-assurance Problème: large hétérogénéité des infos-systèmes des métiers et branches Solution: intermédiation technique entre composants, support de multiples plate- formes, transformation de messages, d’identités et intégration avec services externes et partenaires. Résultats: gouvernance des accès, contrôles améliorés, accueil plus rapide et plus maîtrisé des nouveaux partenaires, découplage permettant de meilleures capacités d’adaptation future. Who: the customer is the IT division for a Global Fortune 100 financial provider focused on insurance. Problem: the customer’s parent company has grown largely by acquisition over the past 30 years. With such rapid growth, trying to consolidate all divisions on a single IT platform was a non-starter. The customer required a manageable, cost-effective enterprise integration solution that could integrate heterogeneous departments running on disparate application platforms. Solution: The Layer 7 SecureSpan SOA Gateway provides the customer with SOA-based mediation between application services hosted on different platforms across internal data centers; provides identity mapping between domains; as well as secure integration to external partners Results: onboard partners and acquired divisions quicker; share data and functionality more easily; and respond faster to business change

Principales fonctions et points clefs de la gestion d’API

La gestion d’API en détail Transformation Routing Trafic Composition Authentification Habilitations API Keys Social Throttling Priorité Caching Securité Token Service OAuth 1.x OAuth 2.0 OpenIDConnect Gestion sûre des interfaces et données Gestion des accès et des droits Vitalité Performance Global Staging Migration Enrôlement Plans Explorateur Documentation Workflow Patch Management Suivi de politiques Reporting Quotas Rankings Analyses Forums Disponibilité et Cycle de vie Gestion des ressources développeurs

La gestion d’API en détail Transformation Routing Trafic Composition Authentification Habilitations API Keys Social Throttling Priorité Caching Securité Token Service OAuth 1.x OAuth 2.0 OpenIDConnect Gestion sûre des interfaces et données Gestion des accès et des droits Vitalité Performance Global Staging Migration Enrôlement Plans Explorateur Documentation Workflow Patch Management Suivi de politiques Reporting Quotas Rankings Analyses Forums Disponibilité et Cycle de vie Gestion des ressources développeurs

En résumé: pourquoi se doter d’une gestion d’API? Simplifier la création, la composition et la protection des API Sécurité, identités et gestion des droits Donnés et interfaces Connecteurs legacy Identités et fédération De SOAP à REST Disponibilité et SLA Composition d’API Caching & Optimisation Orchestration service aux dévs internes et extérieurs Enrôlement Enregistrement accès Exploration API Analytics Copyright © 2013 CA. All rights reserved.

Ce qui nous rend différents (et on l’espère, meilleurs!)

Valeur Capacités et couverture fonctionnelle Performance et scalabilité Flexibilité (SDK, APIs, réutilisation) Expérience et savoir-faire mobilité, intégration cloud, IoT

Le Policy Manager – l’outil de l’architecte configuration – pas de code règles sophistiquées déploiement intégré

Le portail développeurs

Plus de 300 références Secteur finance Communications Secteur public 1 Plus de 300 références Secteur finance Communications Secteur public Autres secteurs Across verticals

Leader établi du domaine API et Web Services The Forrester Wave: SOA Application Gateways, Q4 2011 Forrester Wave: API Management Platforms, Q1 2013 Forrester Research Inc., “The Forrester Wave: SOA Application Gateways”, Q4 2011, November 18, 2011 Forrester Research Inc., “Forrester Wave: API Management Platforms, Q1 2013”, February 5, 2013 The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave™ are trademarks of Forrester Research, Inc. The Forrester Wave™ is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change Copyright © 2013 CA. All rights reserved.

Merci!