.png)
.png){kind=small}
.png){kind=small}
En mis interacciones con los clientes para discutir soluciones que involucran el uso de una plataforma de API Management, el caso de uso de integración con socios consumiendo las API presentadas por la empresa es un escenario común y generalmente bien comprendido. Sin embargo, aún hay dudas cuando hablamos del uso de la plataforma de API Management para consumir las API puestas a disposición por asociados .
El siguiente diagrama ilustra de forma simple un escenario común de uso de una plataforma de API Management, exponiendo sus servicios de backend a través de una API Gateway y consumidos por aplicaciones clientes, inclusive de asociados de negocio.
En el escenario descrito con anterioridad, la exposición de servicios de backend se da en el contexto de una determinada empresa, que conecta sus sistemas legados, bancos de datos, servicios web, ERP y microservicios en su plataforma de API Management, suministrando diversas API para las aplicaciones clientes.
Podemos entender este contexto como el Universo del Cliente.
Sin embargo, en un mundo cada vez más digital, conectado y abierto, la adopción de las API para integración entre empresas y gobiernos, de todos los tamaños, se vuelve la nueva normalidad, impulsada por los impactos de la COVID-19.
Por lo tanto, además del universo de APIs de los clientes , también hay otros contextos que deben integrarse: el universo de APIs de los socios comerciales. Y una plataforma API Management puede ser una pieza clave para el éxito de la integración de estos diferentes contextos de APIs.
Imagine que su socio de negocios presente unas API bien documentadas para que usted pueda consumirlas en sus aplicaciones. Entonces, ¿por qué incluiría su API Gateway como una capa más de arquitectura en esta integración? En resumen, la respuesta es Seguridad y Control y Optimización de Costos.
La API Gateway es el principal componente de una plataforma de API Management. Son innumerables los beneficios en la adopción de una plataforma de API, como seguridad, gobernanza, conexiones y transformaciones, entre otros. Estos beneficios se aplican tanto para sus API internas, que usted está exponiendo para las aplicaciones clientes, como para las API de sus asociados que necesita consumir.
Estas son algunas preguntas que ayudan a entender por qué debería conectar las APIs de sus asociados en su API Gateway en vez de una conexión directa de sus aplicaciones con aquellas.
No siempre necesita utilizar todas las operaciones suministradas por una API, principalmente cuando existe un costo involucrado. Al integrar las API de sus asociados en su API Gateway, puede optar por exponer tan solo las API y las operaciones necesarias para sus procesos de negocio, evitando el uso indebido de alguna operación.
Otro punto importante es la seguridad involucrada en estas API. Con el uso de la API Gateway usted puede crear planes de acceso específico para cada aplicación cliente, limitando el acceso solo a las operaciones que aquella aplicación necesita (principio de menor privilegio) y evita compartir las credenciales de acceso, puestas a disposición de su socio, para todas las aplicaciones cliente que necesite consumir alguna operación de la API.
Para las API que tratan datos sensibles o confidenciales, cuenta con la opción de configurar políticas adicionales de seguridad en su API Gateway para encriptar algún dato o, incluso, enmascarar datos en los registros (logs) de auditoría.
Y cuando su socio lance una nueva versión de la API, usted podrá fácilmente realizar una análisis de impacto a partir de su API Gateway. De esta forma, identificará las aplicaciones clientes que consumen determinada API y podrá elaborar un plan de trabajo apropiado para adecuarse a la nueva versión y discontinuar el uso de la versión antigua de la API.
En un escenario más avanzado de seguridad, es posible que sus socios gestionen las API suministradas directamente por ellos en su API Gateway, a través de recursos de seguridad como control de organizaciones, equipos y perfiles, determinando reglas de visibilidad para los recursos y objetos de su API Gateway, integrando con repositorios de usuarios externos a través de protocolos como LDAP o SAML 2.0.
Es cada vez más común que se moneticen las API suministradas por los socios de negocio. Las API son tratadas como productos de estas empresas, generando ingresos a través del cobro por su consumo, generalmente con base en el número de llamadas que se hace a ellas.
Con la inclusión de las API de sus socios en su API Gateway, usted puede implementar políticas para control de llamadas a esas API, limitando la cantidad de estas en un periodo de tiempo (rate limit) o evitar picos de llamadas (spike arrest), incluso si todavía no se alcanzaron los límites establecidos.
Existe también la posibilidad de configuración de una política de caché en la llamada de las API, evitando algunos accionamientos en las de sus socios para operaciones donde el dato no sufra alteraciones de forma tan dinámica.
En este artículo, busqué explorar brevemente el escenario de integración con asociados de negocio a través de su API Gateway, a la luz de una perspectiva donde el asociado provee los servicios que serán consumidos por su empresa, en complemento a un escenario más común en el cual un socio de negocios consume las API suministradas por su empresa.
Existen beneficios en el uso de una API Gateway, como seguridad, gobernanza, conexiones y transformaciones, entre otros. Aquí, destaqué principalmente seguridad y control, además de la optimización de costos.
Cómo Developer Experience puede transformar su comunidad y su compromiso con los desarrolladores - https://www.sensedia.com/developer-experience
