CA Technologies veut s’imposer dans l’API-Culture

La supervision des API est au cœur des applications de nouvelle génération. CA technologies apporte une solution globale pour les développeurs et administrateurs incluant sécurité et mobilité.

Exposer des applications via des API devient vite un cauchemar pour l’administrateur tenu de maîtriser ces environnements. En outre, il doit tout mesurer afin de monétiser ou refacturer ces services. CA avance ses pions sur ce nouveau terrain de jeu. Entretien avec Benjamin Potet, consultant technique spécialiste des offres API Management chez CA Technologies.

Benjamin Potet - CA Technologies
Benjamin Potet – CA Technologies

Silicon.fr : En quoi les API peuvent-elles bousculer l’innovation et l’économie ?
Benjamin Potet : L’entreprise entre dans l’ère de l’économie des applications. La technologie lui permet d’innover pour se différencier de ses concurrents. Par exemple, Nike introduit de l’électronique dans ses chaussures de sport pour permettre à son client de relever automatiquement diverses mesures de performances, à travers une application Cloud.

Les entreprises se doivent d’être réactives pour proposer des services innovants et à valeur ajoutée. Cela nécessite un contrôle de son environnement informatique avec l’agilité nécessaire au déploiement rapide de nouveaux services.

Pour permettre à son écosystème de partenaires/fournisseurs et à ses clients d’accéder aux fonctions et applications qu’elle conçoit, l’entreprise expose ces fonctions et informations à travers des API. Ce qui l’oblige à maîtriser et à sécuriser les accès à ces API, et aux informations concernées. De même, des moyens simples s’imposent pour permettre aux développeurs d’utiliser ces API. Ces dernières peuvent même générer une nouvelle source de revenus pour des services souvent à forte valeur ajoutée.

Comment vous proposez-vous d’aider vos clients à maîtriser ces aspects sur de nouvelles applications, mais aussi sur le parc d’applications existantes ?
CA Technologies intervient à trois niveaux. En premier lieu, il s’agit d’améliorer la qualité des applications via des tests et des simulations avec CA Service Virtualization, qui offre de nombreuses possibilités de scénarios d’émulation, suivis de recommandations. Ensuite, la gestion du cycle de vie des applications assure une cohérence des fonctions en place, grâce à une solution comme CA Release Automation (automatisation des mises à jour, avec possibilités de régressions, etc.). Enfin, exposer des applications via des API passe immanquablement par une gestion et une sécurisation de ces API, pour les développeurs (internes ou externes), mais aussi pour les utilisateurs métier de ces fonctions qui doivent pouvoir suivre l’utilisation et la consommation de ces services applicatifs.

Qu’entendez-vous précisément par “gestion des API” ?
La solution se compose de deux briques principales. Le socle est constitué de CA API Gateway, une passerelle logicielle entre les applications et l’extérieur du système d’information. A travers cette solution, l’entreprise décide les fonctions ou applications qu’elle souhaite exposer. Le développeur y transcrit également les règles que les utilisateurs métier souhaitent mettre en place. Ensuite, la passerelle expose ces API, reçoit les requêtes, effectue les contrôles de sécurité (identification, autorisations, qualité de service, etc.). Et surtout, tout est mesuré et enregistré pour pouvoir suivre ces activités en temps réel, ou en différé.

En détectant l’application appelante, l’API Gateway est à même de déterminer les droits associés (priorités, tranches horaires permises, nombre de transactions…). Les mesures de sécurité (extensibles) peuvent protéger l’entreprise contre l’usurpation d’identité, les tentatives de vol d’information, les diverses attaques informatiques, etc. Enfin, les métriques permettent de monétiser ou de refacturer ces accès en fonction du contexte, du moment, de la durée d’utilisation, ou de toute règle utile à l’entreprise.

Au-dessus de l’API Gateway, nous proposons CA API Developer Portal. Bien plus qu’une interface d’accès, ce portail permet aux développeurs de publier les API selon de multiples règles et critères, mais également aux développeurs externes d’accéder aux API pour utiliser les services exposés. En effet, les développeurs exposent les API en constituant un catalogue de services. Et le portail est aussi bien destiné aux développeurs souhaitant les utiliser qu’aux propriétaires métier des API. Les premiers peuvent y choisir les API autorisées et suivre leur consommation et leurs dépenses. Les seconds savent qui utilise les API et disposent de nombreuses mesures pour connaître l’activité du catalogue de services à travers tous les utilisateurs.

Le principe d’une passerelle consiste aussi à servir de socle pour étendre les fonctions proposées, généralement via un écosystème…
En standard, l’API Gateway propose déjà de nombreux services comme oAuth, de l’authentification basique à renforcée. De même, il est possible de combiner oAuth côté Gateway avec – par exemple – un service Kerberos sous Windows côté application appelante. En outre, les librairies oAuth peuvent être personnalisées ou adaptées à un usage spécifique.
Bien entendu, des extensions peuvent venir enrichir la solution, qui s’intègre à des systèmes existants.

Pourquoi proposez-vous une solution de mobilité indépendante ?
Justement, l’API Mobile Gateway tient dans un ensemble de librairies qui viennent compléter l’API Gateway, avec un kit de développement spécialisé (SDK). Ainsi, la solution propose une solution d’authentification unifiée et cohérente sans rupture (SSO) permettant à l’utilisateur de ne s‘authentifier qu’une seule fois et de passer d’une application à une autre, en environnement mobile. Ce qui constitue une problématique complexe pour nombre de nos clients. D’ailleurs, une intégration est prévue avec la solution Knox de Samsung, allant jusqu’au commissionnement et décommissionnement des applications.

Parmi ces librairies, on trouve OpenId Connect, autorisant – notamment – les notifications aux environnements iOS et Android. Le client qui souhaite ne pas l’utiliser peut se contenter de l’API Gateway dans un premier temps. Il pourra éventuellement compléter la solution avec l’extension de mobilité par la suite.

A lire aussi :
Gilles Vincent (CA Technologies) : « Accompagner les entreprises françaises dans l’App Economie »
Bastien Martins Da Torre, CA Technologies : « le Devops renforce la crédibilité de la DSI »