Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

API management: come gestire il dialogo tra applicazioni

pittogramma Zerouno

Tech InDepth

API management: come gestire il dialogo tra applicazioni

07 Set 2017

di Patrizia Fabbri

Le Application Programming Interface rappresentano un elemento importante nell’evoluzione del business digitale, tanto che ormai da tempo si parla di API economy. Ma come fare in modo che la loro proliferazione non rischi di aumentare la complessità della gestione del parco applicativo a scapito della loro efficacia? E ancora: come essere sicuri che l’implementazione di un’API non entri in conflitto con un’altra o non apra rischiose falle nella sicurezza delle applicazioni? La risposta viene dalle soluzioni di API management. Vediamone le principali caratteristiche e funzionalità

Un’applicazione che, attraverso una modalità standard per l’interrogazione e l’accesso dei dati, espone le funzionalità di un’altra applicazione, consentendole di comunicare con le altre applicazioni e abilitando il riuso dei servizi resi disponibili che possono così comporsi e scomporsi in base alle necessità”. È con queste parole che, in estrema sintesi, Stefano Mainetti, co-direttore scientifico dell’Osservatorio Cloud & ICT as a service della School of Management del Politecnico di Milano, introducendo due recenti eventi organizzati da ZeroUno, definisce un’API-Application Programming Interface. Le API, come abbiamo visto nell’articolo dal titolo “Hybrid Integration Platform: i nuovi abilitatori del business digitale”, diventano così uno strumento indispensabile per erogare rapidamente quei servizi che il business richiede: è grazie alle API, per esempio, che un’applicazione enterprise viene facilmente resa disponibile su mobile o, ancora, che ci si può integrare in una catena estesa “aprendo” le proprie applicazioni a fornitori e partner ecc.  Si assiste dunque a un proliferare di API che però, se non vengono gestite e governate, rischiano di rendere ingovernabile il parco applicativo di ogni azienda. Sono quindi nate piattaforme di API management per creare, governare e distribuire API, gestendone il versioning, la reperibilità e definendone i limiti d’uso. “Scopo di una soluzione di API management – prosegue Mainetti – è dunque quello di monitorare, ottimizzare e rendere sicuro l’utilizzo delle API tramite il controllo degli accessi, l’applicazione delle policy di sicurezza, il routing, il caching, gli strumenti di analisi e monitoraggio. Queste soluzioni, inoltre, supportano la monetizzazione di dati e servizi esposti consentendo di gestire transazioni, prezzi, misurazione del consumo, fatturazione, provisioning di chiavi di accesso o token”. Le piattaforme API management più complete, infatti, consentono di gestire l’accesso a pagamento alle API, fornendo agli sviluppatori le informazioni necessarie per creare applicazioni basate su di esse; pagamento che può essere diretto o con una condivisione sui ricavi (per esempio: utilizzando l’API di PayPal, gli sviluppatori consentono ai loro clienti di pagare facilmente per un oggetto, mentre PayPal riceve una percentuale diretta di ogni vendita).

Funzionalità e caratteristiche di una soluzione di API management

Forrester raggruppa le funzionalità delle soluzioni di API management in tre categorie principali:

  • quelle che consentono di utilizzare e gestire le API come se fossero dei veri e propri prodotti – In questo caso, la soluzione di API management fornisce al produttore dell’API strumenti analitici per capire come gli sviluppatori “utenti” stanno utilizzando le API, strumenti di configurazione per gestirne gli accessi nonché strumenti di comunicazione per interagire con le comunità di sviluppatori;
  • quelle che ne gestiscono l’utilizzo  – Sono quelle funzionalità che consentono di comprendere come utilizzare le API disponibili (e quindi sono rivolte agli sviluppatori “utenti”); tracciano quale applicazione utilizza una specifica API e con quale frequenza; forniscono agli sviluppatori tutti gli strumenti di supporto necessari per comprendere come utilizzare le API;
  • quelle che rafforzano la security – Le soluzioni di API management utilizzano gateway che rafforzano la sicurezza e il controllo degli accessi alle applicazioni implementando differenti livelli di sicurezza sulla base delle diverse esigenze di protezione dei dati e delle applicazioni connesse.Le API possono essere sviluppate per molteplici motivi (figura 1): alcune hanno un utilizzo esclusivamente interno e vengono create per rendere più agevole la fruizione di determinati servizi agli utenti interni; altre vengono realizzate per creare ecosistemi dinamici abilitando l’integrazione della propria applicazione con quelle dei partner; altre ancora, come quelle sviluppate da Google o Facebook ecc. sono destinate a essere rese disponibili a una vastissima platea di utenti.
    Figura 1 – Gli ecosistemi dell’Api Economy
    Fonte: Osservatori Digital Innovation della School of Management del Politecnico di Milano

    Una soluzione di API management deve quindi poter rispondere alle esigenze di differenti scenari di utilizzo; per aiutare a comprendere e classificare le proprie necessità, al fine di scegliere la soluzione più idonea, Forrester ne ha identificati cinque:

  • costruire un’ampia community di utenti attraverso Rest API (ossia API che utilizzano la tecnologia REpresentational State Transfer per gestire/trasferire i dati su Internet): i big player come Google, Twitter, Facebook ecc. rendono disponibili un’ampia gamma di API gratuite e semplici da implementare per attrarre una grande quantità di sviluppatori indipendenti. In questo caso è molto importante disporre di una soluzione di API management che abbia strumenti analitici molto potenti che consentano di comprendere quanti stanno utilizzando le API e come, per cosa ecc.;
  • supportare lo sviluppo di app mobile attraverso Rest API – In questo caso la soluzione di API management diventa il luogo dove si coordinano tutte le attività di sviluppo e distribuzione di API che consentono la fruizione di servizi applicativi in mobility. Può servire una soluzione che stressi particolarmente questo aspetto: alcune forniscono funzionalità aggiuntive specifiche come la notifica push, la geolocalizzazione ecc;
  • facilitare l’utilizzo di diverse tipologie di API – Le grandi aziende hanno utilizzato negli ultimi dieci anni, e continuano a farlo,  sia il protocollo Soap (Simple Object Access Protocol) sia la tecnologia Rest, insieme ai WebSocket (tecnologia web che fornisce canali di comunicazione full-duplex attraverso una singola connessione TCP) e ad applicazioni di comunicazione come Amqp- Advanced Message Queuing Protocol o JMS- Java Message Service. In questi casi è necessaria una soluzione di API management in grado di governare questa eterogeneità e di combinare API con SOA-Service Oriented Architecture;
  • costruire una solida community B2B attorno ad API mission critical – Sebbene il mercato delle open API sia in espansione, gli utenti contattati da Forrester per definire la Forrester Wave for API Management Solutions hanno affermato di utilizzare quasi nel doppio dei casi API B2B rispetto a quelle open. Se ci si trova in questa situazione, è necessario privilegiare la scelta di una soluzione di API management che consenta la gestione di un’ampia tipologia di API e che risponda a esigenze di sicurezza dei dati, in termini sia di privacy  sia di integrità, molto stringenti.
  • agire come un provider di API che vuole trarre valore diretto dall’accesso alle applicazioni – Alcune aziende intendono utilizzare le API come nuova fonte di ricavi. Fino ad oggi sono poche le realtà, sostiene Forrester, che hanno intrapreso questa strada, ma alcuni tradizionali fornitori di servizi come Verisign o Dun & Bradstreet stanno estendendo la loro tradizionale offerta anche a questo ambito. In questo caso la soluzione di gestione delle API deve integrare funzionalità di fatturazione e di gestione del pagamento.

    Figura 2: Wave for API Management
    Fonte: Forrester, Novembre 2016

Un mercato sempre più affollato

Sono 14 i più significativi fornitori di soluzioni di API Management inseriti nella Forrester Wave for API Management (figura 2) e 19 quelli inseriti da Gartner (figura 3) nel suo Magic Quadrant for Full Life Cycle API Management. Ma da un lato Gartner evidenzia che almeno un’altra decina di soluzioni possono essere interessanti da valutare, sebbene non siano state inserite nel MQ, perché non rispondenti a tutti i requisiti e dall’altro anche le aziende già presenti nelle selezioni delle due società di analisi rilasciano continuamente nuove piattaforme o servizi cloud di API management, che potrebbero modificare il loro posizionamento, come il recentissimo Oracle API Platform Cloud Service che, incorporando le principali funzionalità di progettazione di API e governance derivanti dall’acquisizione di Apiary e dalla gestione di API Oracle, fornisce funzionalità end-to-end per la progettazione, la prototipazione, la documentazione, il testing e la gestione delle API. Il mercato è dunque ricco di proposte e Forrester e Gartner raccomandano di leggere attentamente le analisi effettuate per ogni singolo vendor riportate nei due documenti (scaricabili dai siti delle due società) per comprendere qual è la soluzione più adatta alle proprie esigenze.Senza entrare nello specifico di ogni soluzione, riassumiamo qui di seguito i criteri sulla base dei quali le due società di analisi hanno stilato i propri grafici.

Forrester – La valutazione è stata effettuata sulla base di 27 criteri, raggruppati nei tre seguenti gruppi:

  • Offerta corrente – Sono stati oggetto di valutazione: il portale per gli utenti/sviluppatori delle API, incluso il supporto per scenari dove i partner B2B utilizzano API; le funzionalità di pubblicazione delle API, comprese definizioni, documentazione ecc.; le policy di sicurezza adottate, inclusa le gestione degli utenti e la protezione da attacchi esterni; la gestione dell’API come prodotto, quindi le funzionalità di fatturazione e attribuzione di prezzi in base alla fruizione. Nella Wave sono inseriti solo vendor in grado di fornire soluzioni complete di API management che, per Forrester, significa avere almeno i seguenti elementi core: un portale per gli utenti/sviluppatori, un portale per l’amministrazione e un gateway API. Deve poi poter funzionare come soluzione standalone senza che debba essere necessariamente associata ad altra piattaforma.
  • Strategia – È stata analizzata la strategia di go to market complessiva del vendor e quali sono le azioni messe in campo per supportare le esigenze dell’API economy: pianificazione dei miglioramenti della soluzione; servizi forniti a supporto; ecosistema di partner a supporto della soluzione; programmi di certificazione.

    Figura 3: Magic Quadrant for full Life Cicle API Management
    Fonte: Gartner, Ottobre 2016
  • Presenza sul mercato – In primo luogo è stato analizzato il livello di presenza geografica del vendor valutando quanto egli sia in grado di supportare la propria soluzione, direttamente o indirettamente, in tutto il mondo. Quindi è stato considerato il numero di clienti che fino ad oggi ha adottato la soluzione prendendo in considerazione solo le realtà che hanno almeno 10 clienti paganti.
    Gartner – Per entrare nel Magic Quadrant, un vendor deve rispondere a tre macro criteri:
  • La soluzione può essere commercializzata in modalità cloud, on premise o ibrida; l’offerta cloud può essere parte di una più ampia offerta SaaS, iPaaS o HIP (Hybrid integration Platform) mentre l’offerta on premise può essere parte integrante dell’infrastruttura di integrazione o della tecnologia di governance SOA. La soluzione deve coprire almeno due fasi delle 5 del ciclo di vita di un’API identificate da Gartner:
    • pianificazione, capacità di supportare il cliente nella pianificazione dell’API più adatta alle proprie necessità;
    • progettazione e implementazione, un’API può essere progettata per soddisfare i requisiti di una o più applicazioni business specifiche o di applicazioni mobili o ancora abilitare l’accesso a specifiche tipologie di utenti. Bisogna quindi comprendere bene quale API pubblicare e per farlo è possibile seguire diversi approcci o un mix degli stessi: una soluzione di gestione delle API può fornire diverse funzionalità per semplificare l’implementazione delle API;
    • distribuzione ed esecuzione – funzionalità di base: operative, di runtime e manutenzione delle API;  distribuzione ed esecuzione – funzionalità avanzate: collaboration, advanced analytics, facilità di integrazione ecc.);
    • versioning e dismissione, ossia la gestione delle differenti versioni dell’API fino alla sua dismissione.
  • L’offerta deve essere general purpose e non relativa a uno specifico settore verticale; inoltre deve disporre di un portale per gli sviluppatori.
  • Le soluzioni devono generare almeno 10 milioni di dollari all’anno di entrate e nel caso il vendor persegua un modello di business basato su abbonamento open source il fatturato deve essere di almeno 2 milioni di dollari l’anno. Queste cifre includono le entrate provenienti da software, SaaS, iPaaS, PaaS, servizi gestiti da cloud, supporto e servizi professionali/di consulenza relativi all’offerta di API management.
Patrizia Fabbri
Giornalista

Patrizia Fabbri è giornalista professionista dal 1993 e si occupa di tematiche connesse alla trasformazione digitale della società e delle imprese, approfondendone gli aspetti tecnologici. Dopo avere ricoperto la carica di caporedattore di varie testate, consumer e B2B, nell’ambito Information Technology e avere svolto l’attività di free lance per alcuni anni, dal 2004 è giornalista di ZeroUno.

Articolo 1 di 4