Schnittstellen
API-Management braucht Governance
Fortsetzung des Artikels von Teil 1
Leistungsfähige Tools nutzen
Wenn Unternehmen APIs für ihre eigenen Systeme erstellen, setzen sie ihre eigenen Daten und Prozesse potenziell dem tausendfachen Zugriff anderer Teilnehmer oder Organisationen aus. Es gilt daher, systematisch an die Sache heranzugehen und Entwickler mit einem leistungsfähigen Tool auszustatten, das sie beim API-Management durchgängig unterstützt – bestenfalls mit einem grafischen Interface, sodass sie auf Code verzichten können. Ein solches Tool sollte ihnen den gesamten API-Prozess erleichtern: Das beginnt mit der Konzeption und Entwicklung von APIs für Endpunkte wie Web-Services, inklusive HTTP (SOAP/REST) und FTP-Seiten, für Datenbanken, Legacy-Anwendungen sowie Cloud und mobile Applikationen. Es reicht weiter über die API-Veröffentlichung im eigenen Rechenzentrum oder der Cloud bis hin zum Echtzeit-Management aller APIs über die gesamte Infrastruktur hinweg. Typischerweise werden die Elemente des API-Managements in Dokumentationen, Versionskontrollen oder im Traffic Monitoring festgehalten. Das stellt sicher, dass die APIs die Anforderungen der jeweils zugreifenden Applikationen erfüllen. API-Definitionen dieser Art sind zwar für Applikationen geeignet, die nicht unternehmenskritisch sind, aber sie sind vollkommen unzureichend für zentrale Business-Anwendungen, die sensible Daten teilen – oder solche, die Mitarbeiter oder Kunden für ihre produktive Arbeit brauchen. Hier bedarf es einer zusätzlichen Ebene.
Unternehmen, die sensible Daten über eine API mit anderen Komponenten in der Cloud oder für einen Workflow mit einem Geschäftspartner teilen wollen, müssen dennoch Datensicherheit gewährleisten und die Daten vor falschem Zugriff und Missbrauch schützen. Für viele Anwendungsszenarien ist es außerdem notwendig, das Datenvolumen zu kontrollieren, das über eine API fließt, sowie die Qualität der Daten sicherzustellen. Um dies umzusetzen, brauchen Unternehmen zunächst klare organisatorische Governance-Richtlinien. Diese regeln, wer auf welche Daten und in welcher Art zugreifen darf. Zum anderen braucht es aber auch eine technische Plattform, mit der sich die Unternehmens-Policies direkt an den APIs umsetzen lassen. Der API-Publisher muss die Kontrolle darüber behalten, wer welche Daten auf Basis welcher Berechtigungen über diese API sehen oder nutzen darf.
Ein Beispiel: Ein Unternehmen mit mehrstufigem Reseller-Programm möchte eine API veröffentlichen, mit der seine Reseller-Partner auf unterstützende Materialien und Ressourcen auf der eigenen Website zugreifen können. Dazu ist es wichtig, dass die verschiedenen Reseller-Typen mit ihren unterschiedlichen Profilen genau die Materialien und Informationen zu sehen und zu nutzen bekommen, für die sie die Berechtigung haben. Ein API-Management-System sollte dann in der Lage sein, dieses Berechtigungskonzept mit seinen unterschiedlichen Reseller-Stufen genau abzubilden.
Innerhalb dieses Anwendungsszenarios könnte es beispielsweise auch eine API für die Nutzung von Video-Trainings geben. Dank entsprechender API-Management-Lösung ließe sich das Datenvolumen so managen, dass große Reseller den kleinen nicht die ganze Bandbreite wegschnappen, sondern jeder seine festen Kontingente für bestimmte Zeiten hat.
- API-Management braucht Governance
- Leistungsfähige Tools nutzen
- Für gute Datenqualität sorgen
Lesen Sie mehr zum Thema
