Startseite [spacer] API Management
Entwicklerportal API Management – API Design
Unternehmen müssen bereichsübergreifend APIs entwickeln, implementieren und veröffentlichen – von internen Entwicklern bis hin zu Geschäftspartnern. Im Rahmen des Designs werden Sicherheitskonzepte wie Nutzungsdauer, Nutzungsanzahl etc. im API Management entworfen. Diese werden dann im Rahmen des API Managements für interne und externe dokumentiert. Diese Designelemente werden ebenfalls im Portal bereitgestellt, um den Konsumenten eine transparente Übersicht zur Verfügung zu stellen.
Ein Application Programming Interface (API) beschreibt eine Programmierschnittstelle und verbindet Produkte und Services durch den Datenaustausch von Softwareprogrammen miteinander. Das API-Management sichert die Nutzbarkeit und Sicherheit der APIs im Rahmen der Erstellung, Prüfung, Dokumentation und Veröffentlichung. API-Management kann vor Ort (On-Premises), in der Cloud oder in einer Mischung (hybrid) eingesetzt werden.
Funktionen von API
API Management dient im Zusammenspiel mit einer IT-Integration als Gateway für alle APIs des Unternehmens. Es ist in der Regel zwischen dem Client und den Services im Back-End angesiedelt. Hier werden Abfragen, Berechtigungen und Sicherheitskonzepte zum Schutz vor Fremdzugriff definiert. Darüber hinaus bietet es eine weitere Möglichkeit als Abgrenzung zwischen interner IT und externem Konsumenten. Das Gateway wird zum Beispiel in einer DMZ implementiert, um den direkten Zugriff auf die interne IT zu unterbinden.
Bei einer zunehmenden Größe von bereitzustellenden APIs können Unternehmen Ihre APIs monetarisieren. Dies bedeutet, dass für die Nutzung einer API ein entsprechendes Entgelt vom Nutzer abgerechnet wird. Hierbei existiert eine Reihe von Abrechnungsmodellen, wie Nutzungszeit, Zahl der Aufrufe oder Laufzeit etc.
Darüber hinaus können noch verschiedene Varianten einer Staffelung (Trial, Bronze, Silber, Gold) designt werden, die vom Nutzer über ein entsprechendes Portal gewählt werden können.
Die Scheer PAS Plattform verbindet IT-Integration und API-Management. Neue und vorhandene Schnittstellen werden automatisch an das API Management übergeben und können in einem API-Katalog verwaltet und veröffentlicht werden. Der einfache und sichere Zugriff für Entwickler und Kunden ist über das Developer Portal möglich.
Scheer PAS API Management Vorteile
- Integrierter API-Katalog der Scheer PAS Services
- Swagger UI mit integrierter “Try-Out” Funktion
- „Re-Publish“ ist für alle APIs möglich
- Einfache Installation als Docker
- Professionelle Beratung & zuverlässiger Support durch den Hersteller
- Individuelle User Interfaces mit zusätzlichen Entwicklerfunktionen und Kibana
Der klassische Ansatz
Client
Der Konsument der API, intern oder extern
API
Der Service, auf den zugegriffen werden soll
API-Gateway
Die zentrale Drehscheibe zur Steuerung der Zugriffe und Regeln
Im klassischen Ansatz wird in der Regel ein Request vom Client an eine API durchgeführt. Die API liefert folglich eine Antwort zurück. Beim Einsatz unserer API Management Lösung befindet sich eine Komponente, das API Gateway, dazwischen. Der Client schickt seinen Request an den Gateway und dieser an die API, wodurch die Steuerung, Absicherung und Analyse aus der internen IT dezentralisiert wird.
Sie sehen rechts eine theoretisch „unmanaged“ API. Dies wird hier an das Gateway angeschlossen, damit der Client nur über das API Gateway, auf die APIs zugreifen kann. Dadurch ergibt sich der Vorteil, dass der direkte Zugriff vom Client auf das API unterbunden wird. Somit ist es möglich, dem Nutzer über eine gemeinsamen Zugriffspunkt alle APIs anzubieten. Hinsichtlich des Security-Aspekts gibt es die grobe Unterscheidung der Endpoint Security und der Policy Security.
Unter der Endpoint Security versteht man, dass die einzelnen APIs zentral über einen Port nach außen zur Verfügung gestellt werden können. Die Policy Security findet komplett im Gateway statt. Eine Kette von Regeln wird angewandt, wenn ein Request vom Client an das Gateway gesendet wird. Dieser durchläuft 3 Schritte (siehe Bild) und kommt endet an der API. Wenn die API eine Antwort sendet, wird die Kette, je nach Fall, nochmal zurück abgewickelt.
Unsere Regeln werden in 3 Gruppen unterschieden:
- Clients
- Plans (Verknüpfung zwischen Client und API) und
- API (werden auch Regeln zugeordnet)
Aber die Reihenfolge der Policies ist wichtig!
Beispiel: Verwenden Sie "BASIC Authentification Policy" vor "Rate Limiting Policy". Einige Regeln haben sich als wirksam erwiesen! Ein Beispiel: Zuweisen von Begrenzungsrichtlinien zu einem Plan (z.B. unser Plan "Gold": 10000 Anfragen/Stunde)
API Management
Beim Scheer PAS API Management erhalten Sie ein voll integriertes Modul innerhalb der Scheer PAS Plattform. Sie haben somit nicht die Notwendigkeit, ein externes API-Management in Ihrer Umgebung zu integrieren.
Services werden direkt aus dem Scheer PAS Designer an das API-Management übergeben. Der Scheer PAS Designer, als unser zentrales Designtool für Modelle, Uis und Integrationen, bietet hier auch bereits die Wahl der API-Organisation und die Wahlmöglichkeit zwischen abgesichert und öffentlich.
Selbstverständlich können Sie auch API außerhalb der Scheer PAS Plattform importieren und auf gleiche Weise konfigurieren.
Dank flexibler Policies ist das API-Management schnell anpassbar und lässt sich individuell optimieren. Dem Nutzer bieten sich mehrere Möglichkeiten auf die Schnittstellen zuzugreifen: entweder mithilfe öffentlicher APIs oder durch einen Zugang über Contracts.
Der Contract ist letztlich der „Vertrag“, der zwischen dem Nutzer, seinem Zugriffsmodell dem Plan und der API geschlossen wird. Der Contract bildet somit den Rahmen, wie eine API konsumiert werden kann.
Die technische Dokumentation der API ist über deren vollständigen Lebenszyklus z.B. mit Hilfe von Swagger (Open API-Specification) sichergestellt. Für die bildliche Dokumentation gibt es sowohl interne Bereiche innerhalb der API-Konfiguration als auch Beschreibungsmöglichkeiten im API-Portal.
- Versionsverwaltung für Schnittstellen und Clients
- Skalierbarkeit durch Nutzung mehrerer spezialisierter Gateways
- Caching von datenintensiven Anfragen und damit geringere Belastung des Backends
- Optimierung und Performanceverbesserung durch die Nutzung und Anpassung von Metriken und Zugriffskontrollen
- Überwachen des Datenverkehrs einzelner individueller Clients und APIs
- Vereinfachte Abrechnung
- Quota-Limits zur Beschränkung der Anzahl an Requests an die Schnittstelle
- Rate-Limits bieten eine Möglichkeit sicherzustellen, dass das Backend nicht überlastet wird, bspw. 100 Requests pro Minute – ideale Vermeidung von Denial of Service Attacken (DOS) & DDOS (Wird ebenfalls vermieden, da das API-Management zentral ist)
- Zeitgesteuerte Verfügbarkeit: APIs sind nur während frei wählbaren Zeiträumen verfügbar
- Traffic-Beschränkungen: die Schnittstelle oder einzelne Clients können im verfügbaren Datenvolumen beschränkt werden
- Dezentralisierung der IT und infrastrukturelle Abgrenzung zwischen interner IT und Kosument der API
