Quelles sont les véritables clés d’une stratégie API ? Comment construire efficacement son API et comment la sécuriser ? Quelles sont les erreurs à ne pas commettre ?
La « transformation digitale » est devenue un voyage spirituel dont on discerne difficilement les contours. Elle se traduit souvent par la mise en œuvre de nombreux chantiers d’une gageure fantaisiste, dont certains n’ont pas de réel rapport avec le numérique. Nous pensons néanmoins que l’API reste la pierre angulaire de la digitalisation de nos entreprises.
Ces dernières années, nous avons gravi les montagnes sacrées – API as a product, REST, HATEOAS, OAUTH2, OpenId Connect, Microservices – prêché les bonnes pratiques API dictées par les Géants du Web, accompagné une centaine d’entreprises dans le cadre de leur stratégie API. Vient le moment de dresser le bilan. Quelles sont les véritables clés d’une stratégie API ? Comment construire efficacement son API et comment la sécuriser ? Quelles sont les erreurs à ne pas commettre ?
Cette session était l’occasion de revenir sur les points fondamentaux tirés par la mise en oeuvre d’une stratégie API, sur les axes business, techniques et organisationnels.
Nous vous proposons des retours d’expérience concrets et sans langue de bois.
3. Agenda
L’API NE FAIT PAS LE MOINE
Confessions d’experts sur les mythes et
croyances de l’API
9h30.
API Essentials
11h. Retours
d'expérience
11h30.
7 Mythes de l'API
Unauthorizedpropagationprohibited.Forinternaluseonly.
10h. Une API
sécurisée en 30
minutes
10h30. Pause
échanges
12h.
Mot de la fin,
conclusion
4. ...about
me, myself & I
Antoine
CHANTALOU
Head of API
& Web Architectures
@ OCTO
+33 6 27 13 11 21
achantalou@octo.com
34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
5. API ESSENTIALS
Notre vision d’après
nos retours d’expérience
34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
6. AGENDA
OCTO TECHNOLOGY > THERE IS A BETTER WAY 6
VISION
◉Enjeux
◉Niveau d’ouverture
◉Modèles d’affaires
◉Définition
DESIGN API
◉Pourquoi le design
est important
◉Good design / bad
design
ARCHITECTURE
◉SOA
◉API Management
◉Patterns
d’intégration
ORGANISATION
◉API SQUAD
◉Rôles et
responsabilités
◉Scaling API
T2M
Attra
ctivit
é
8. ATAWAD
◉ Ces dernières années, de nouveaux terminaux digitaux sont apparus
◉ La manière dont nous construisons nos applications et nos SI, est bouleversée
◉ Si I’IoT connaît le même succès, la révolution digitale va s’accentuer
◉ Les problématiques « d’omnicanalité » et de « cross-devices » sont résumées par l’acronyme « ATAWAD »
> Anytime, Anywhere , Any Device
Les usages digitaux sont en constante évolution
OCTO TECHNOLOGY > THERE IS A BETTER WAY
8
9. « All service interfaces, without exception,
must be designed from the ground up to
be externalizable. That is to say, the team
must plan and design to be able to
expose the interface to developers in the
outside world. No exceptions. Anyone
who doesn't do this will be fired. Thank
you; have a nice day!
L’OUVERTURE DU SI
Les visionnaires
OCTO TECHNOLOGY > THERE IS A BETTER WAY
9
Jeff Bezos
CEO, Amazon
Internal communication – 2002
Créer de nouveaux
modèles d’affaires
« Outsourcer »
l’innovation
10. LES OPEN-API PERMETTENT D’ADRESSER LES USAGES DIFFÉREMMENT
OCTO TECHNOLOGY > THERE IS A BETTER WAY 10
Statistiques d’utilisation de Twitter
VS
Api.twitter.com : Applications offrant des
usages sur la base du service proposé par
Twitter (ex: être notifié pour certains types de
tweets, constituer des listes...)
75%API
Site « mère » : Twitter.com,
fonctionnalités de base
25%SITE
11. API
Une API (Application
Programming Interface) est un
ensemble normalisé de classes,
de méthodes ou de fonctions qui
sert de façade par laquelle un
logiciel offre des services à
d'autres logiciels.
Définition
OCTO TECHNOLOGY > THERE IS A BETTER WAY
11
12. API
L’API est l’industrialisation du
processus de consommation des
ressources de l'entreprise sur le WEB.
Définition
OCTO TECHNOLOGY > THERE IS A BETTER WAY
12
WEB
+ Portail Développeur
+ TTFAC* & DX**
+ X-device / X-channel
+ API Management
+ HTTP
+ Design API
+ RESTful
Industrialisation
* "Time To First API Call” le temps nécessaire à un développeur pour consommer l’API en production
après s’être enregistré sur le portail développeur. Nous ciblons 15 minutes.
** “Developer experience”. L’API est utilisée par des humains. Nous ciblons une adoption massive sur
tous les canaux. L’API doit être conçue et implémentée par des artisans codeurs.
13. L’API DANS LES ENTREPRISES
Où en sommes nous ?
OCTO TECHNOLOGY > THERE IS A BETTER WAY
13
15. DESIGNER UNE API
◉ APIs internes/partenaires
> Une API mal « designée » sera utilisée par les développeurs
> Mais ils seront « lents »
◉ Open API
> Une API mal « designée » ne sera pas utilisée
Le design d’une API est-il important ?
OCTO TECHNOLOGY > THERE IS A BETTER WAY
T2M
Attractivité
16. 16
DESIGNER UNE API
Qu’est ce qu’une API bien designée ?
OCTO TECHNOLOGY > THERE IS A BETTER WAY
Une API bien « designée »
Suit les standards HTTP
S’inspire des API
des Géants du Web
Est simple et externalisable
Offre une bonne affordance*
L’affordance est la capacité d’un objet à suggérer son
utilisation.
Bad
Design
18. NOTRE VISION
« Etat de l’art » des architectures d’aujourd’hui
OCTO TECHNOLOGY > THERE IS A BETTER WAY
18
Web Oriented Architecture
Multiple and disposable
GUIs
Scalable RESTful
MICROSERVICES
Distributed
STORAGE
Web Oriented ArchitectureWOA
Cloud Cloud
Responsive
Website
Browser
42
API Consumers
Partners, internal &
external developers
47
lOT
11
%
Native
Apps
API
customers
API
products
API
contents
Headless CMS
https://api.foo.com/
AAA
API
Gateway
OpenID
Connect /
OAuth2
20. 20
SOAP VS REST
Quel futur pour SOAP ?
OCTO TECHNOLOGY > THERE IS A BETTER WAY
“SOAP is not dead, it’s
undead: it’s a zombie
in the Enterprise”
SOAP
21. API MANAGEMENT
API MANAGEMENT
Cartographie fonctionnelle
OCTO TECHNOLOGY > THERE IS A BETTER WAY
21
GATEWAY: API single entry point
SECURITY
Throttling, DOS
Authentication
Authorization
Accounting
DEVELOPER
PORTAL
Enrolment
API Documentation, & Try-It
Interfaces
Support: FAQ, Forum
API
MANAGEMENT
PORTAL
Authorization of apps & users
Usage Statistics
Quotas/throttling
Reporting
API Facade
Building the API: Transformation, Mashup
… an ESB !
COMPLEX
USE WITH
CAUTION !
API MANAGEMENT
FRONT
APPLICATIONS
BACKENDS
CORE-IT
SECURITY
DEVELOPER
PORTAL
API MANAGEMENT
PORTAL
GATEWAY
API FACADE
New
software
blocks
22. BUILD VS BUY
OCTO TECHNOLOGY > THERE IS A BETTER WAY
22
BPO*
commun à toutes les entreprises
perçu comme une ressource
Portail API & sécurité
Portails d’API Management
Portail développeur
Sécurité
API
L’API devient le point d’entrée
de votre CORE IT
● Critique & différenciant
● Clé pour un avantage
compétitif
Les solutions d’API Management
sont inefficaces pour bâtir de
bonnes API
commun à toutes
les entreprises du secteur
perçu comme un atout de production
*Business Process Outsourcing
Ressources
moins cher
Actifs stratégiques
et innovations
plus vite unique, différenciant
perçu comme un atout
concurrentiel
23. 23
ARCHITECTURE - LES PATTERNS
D’INTÉGRATION API
Façade API monolithique (ESB)
API MANAGEMENT
FRONT
APPLICATIONS
BACKENDS
CORE-IT
SECURITY
DEVELOPER
PORTAL
API MANAGEMENT
PORTAL
GATEWAY
API FACADE
New
software
blocks
OCTO TECHNOLOGY > THERE IS A BETTER WAY
24. 24
ARCHITECTURE - LES PATTERNS
D’INTÉGRATION API
Services / Microservices
OCTO TECHNOLOGY > THERE IS A BETTER WAY
API MANAGEMENT
FRONT
APPLICATIONS
BACKENDS
CORE-IT
SECURITY
DEVELOPER
PORTAL
API MANAGEMENT
PORTAL
GATEWAY
New
software
blocks
API API
API
26. ORGANISATION
26
Ideal Agile Team
Autonomous &
responsible Team
A SQUAD per product
Recommended for strategic
products where T2M is a stake
The PO says “this json
attribute is returned”
By the end of the iteration
(at least) the feature is
deployed in production
Extreme focus on the
“product” : Minimal
dependencies & frictions
AGILE
SQUAD
⦿ Animate External Developers
community (API users)
⦿ Social networking
⦿ Administrate developer portal
Community manager
[Marketing] (when it makes sense)
⦿ Design/develop the API
⦿ Write API documentation
⦿ Measure and improve API
performances
⦿ Write unit automated test
Tech-lead / Devs
[IT]
⦿ Collect and prioritize users
requirements
⦿ Responsible for API success
⦿ Define Follow-up indicators
⦿ Measure, learn and build
Product Owner
[Business/IT]
⦿ Co-design API resources
⦿ Write automated functional tests
(TDR)
Business analysts
[Business]
⦿ Automated testing
⦿ Automated deployment
⦿ Scalability (elasticity) and SLA
OPS
[IT]
A
P
I
S
Q
U
A
D
OCTO TECHNOLOGY > THERE IS A BETTER WAY
27. TAKE AWAY
OCTO TECHNOLOGY > THERE IS A BETTER WAY 27
VISION
◉2 enjeux
○ ATAWAD
○ Ouverture de
l’entreprise
◉Définition
○ WEB
○ Industrialisation de
la consommation
◉ KPI : TTFAC
DESIGN API
◉Bon design
○ Standards HTTP
○ Inspiré des GdW
○ Simple et
externalisable
○ Affordant
ARCHITECTURE
◉ SOA
○ SOAP == zombie
○ L’API ne se résume
pas à une
démarche
d’urbanisation SOA
IT
◉ API Management
○ Pas de silver bullet
○ Pour manager l’API
(buy), pas pour la
construire (build)
◉ Patterns d’intégration
○ API Façade ==
trajectoire
○ Resource providers
découplé
(Microservices) ==
cible
ORGANISATION
◉API SQUAD
○ Clé du T2M
○ PO API global
(métier/marketing)
28. 34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM
MERCI !
Antoine
CHANTALOU
Head of API
& Web Architectures
@ OCTO
+33 6 27 13 11 21
achantalou@octo.com
29. SÉCURISER SON API
Sur le Web en 30 minutes
34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
30. Simon
RENOULT
Consultant Expert
Node.js & API
@ OCTO
+33 6 16 57 35 24
srenoult@octo.com
34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
Florent
JABY
Consultant Expert
Sécurité & API
@ OCTO
+33 6 69 12 43 57
fjaby@octo.com
31. Raconte-nous une histoire...
OCTO TECHNOLOGY > THERE IS A BETTER WAY
31
☉ DSI d’une grande société d’ecommerce
☉ Parc applicatif composé d’APIs internes
☉ Disruption du marché par de nouveaux
acteurs
☉ Perte de clients mais de nouvelles
opportunités de business
☉ Nécessité d’ouvrir son SI
☉ Sécuriser son APIThomas Dupond, 54 ans
Une DSI en renouvellement
32. Un casting de choix
OCTO TECHNOLOGY > THERE IS A BETTER WAY
32
Authorization Server Resource Provider Client End User
Tour d’horizon...
33. Concepts et rôles
OCTO TECHNOLOGY > THERE IS A BETTER WAY
33
Service
Utilise
Connaît
ÉcritConnaît
Utilisateur Application
Développeur
34. Concepts et rôles
OCTO TECHNOLOGY > THERE IS A BETTER WAY
34
Service
Utilise
Connaît
ÉcritConnaît
Utilisateur Application
Développeur
35. Live Coding
Mettre en place OpenID Connect
OCTO TECHNOLOGY > THERE IS A BETTER WAY
35
☉ Utiliser un outil en ligne
pour OpenID Connect
☉ Modifier l’API pour vérifier la validité
d’un token à chaque appel
36. Récupérer un token
OpenID Connect Implicit Grant
OCTO TECHNOLOGY > THERE IS A BETTER WAY
36
☉ L’utilisateur est authentifié
par le service
☉ Le service vérifie que
l’application est
sur liste blanche
☉ Un token est émis pour
l’application
☉ Le token est transmis à
l’application via URL en HTTPS
37. Live Coding
Récupérer un token valide via Implicit Grant
OCTO TECHNOLOGY > THERE IS A BETTER WAY
37
☉ Diriger l’utilisateur vers
la mire de login lorsqu’aucun token
n’est connu
☉ Récupérer le token dans l’URL
lorsque l’on retourne sur l’application
38. Live Coding
Consommer l’API sécurisée !
OCTO TECHNOLOGY > THERE IS A BETTER WAY
38
☉ Afficher l’identité de l’utilisateur
avec /userinfo
☉ Récupérer et afficher le catalogue
de produits
39. Définir les droits d’une application
La délégation de privilèges
OCTO TECHNOLOGY > THERE IS A BETTER WAY
39
Un utilisateur ne peux que déléguer certains de ses droits à une
application. Droits qui lui ont été octroyés par le service.
40. Définir les droits d’une application
Sens et utilisation du scope
OCTO TECHNOLOGY > THERE IS A BETTER WAY
40
☉ Un scope est un mot qui permet de
définir des “tranches” de privilèges
prêtes à la délégation
☉ Une manière de séléctionner un sous-
ensemble des droits de l’utilisateur
☉ Une description explicite pour
l’utilisateur de ce qu’il consent à
déléguer
41. Définir les droits d’une application
Exemple de découpage pour notre cas d’usage
OCTO TECHNOLOGY > THERE IS A BETTER WAY
41
Droits de l’utilisateur
lèche-vitrine
« l’application pourra
consulter le catalogue
de produits »
comptabilité
« l’application pourra
accéder à votre
historique de
commandes et de
factures »
achat
« l’application pourra
passer commande en
votre nom »
42. Adapter le niveau de sécurité
Les différents types d’applications
OCTO TECHNOLOGY > THERE IS A BETTER WAY
42
Publiques Externes Internes / de confiance
43. Adapter le niveau de sécurité
Quand choisir Implicit Grant
OCTO TECHNOLOGY > THERE IS A BETTER WAY
43
Publiques
44. Adapter le niveau de sécurité
Quand choisir Authorization Code Grant
OCTO TECHNOLOGY > THERE IS A BETTER WAY
4
4
Externes
Internes / de confiance
45. Adapter le niveau de sécurité
Quand choisir Client Credentials Grant
OCTO TECHNOLOGY > THERE IS A BETTER WAY
4
5
Externes
Internes / de confiance
46. Adapter le niveau de sécurité
Quand choisir Resources Owner Credentials Grant
OCTO TECHNOLOGY > THERE IS A BETTER WAY
Internes / de confiance
47. Conclusion
OCTO TECHNOLOGY > THERE IS A BETTER WAY
47
☉ Il existe des standards éprouvés
de sécurisation d’API sur le web :
Oauth2 et OpenID Connect
☉ Adopter ces standards vous
permettent d’utiliser rapidement
les bons outils sur étagère
☉ Ils tracent la route vers utilisation
de masse de votre API
48. Green refcard is out!
OCTO TECHNOLOGY > THERE IS A BETTER WAY
48
☉ Document de référence sur la
sécurité des APIs
☉ Vulgarise OAuth2, OpenID
Connect, API Key, JWT, Scopes,
Claims, Bearer Token
☉ Liste les DOs and DONTs dans la
mise en place d’une stratégie API
sécurisée
50. 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
Les APIs dans la vraie vie
Retours d’expérience
Antoine
CHANTALOU
Head of API
& Web Architectures
@ OCTO
+33 6 27 13 11 21
achantalou@octo.com
Daniel
SABIN
API Architecte
@ OCTO
+33 6 16 48 50 65
dsabin@octo.com
51.
52. 52
Enjeux
◉ Demande client : je veux un site
responsive pour adresser les
terminaux mobiles
◉ Proposition OCTO : API First, et un
site responsive,
> parce que la mode vestimentaire du
site sera éphémère
> parce que d’autres consommateurs
vont apparaître
OCTO TECHNOLOGY > THERE IS A BETTER WAY
53. 53
Ce qu’on a fait
◉ Développement de l’API en
production en 4 mois
◉ Ouverture à des nouveaux
partenaires
◉ Accélération des cycles de release du
site clubmed.fr
OCTO TECHNOLOGY > THERE IS A BETTER WAY
54. ARCHITECTURE
Trajectoire façade, cible microservices
OCTO TECHNOLOGY > THERE IS A BETTER WAY
54
FRONT
BACKENDS
CORE-IT
SOCLE API
FAÇADE API
New
software
blocks
FRONT
BACKENDS
CORE-IT
SOCLE API
APIAPI API
Trajectoire: MVP (6 mois) Cible
55. ORGANISATION
Evolution de l’organisation
OCTO TECHNOLOGY > THERE IS A BETTER WAY
55
Equipe Front
EQUIPE API
New software blocks
Socle Front + Shopping
BACKENDS
CORE-IT
Socle API + Shopping
2015: Réalisation d’un MVP
- 2 component teams
Booking
Engine
BACKENDS
CORE-IT
Espace
Client
Equipe Front
EQUIPE API
BACKENDS
CORE-IT
1dev
Espace
Client
1dev
Espace
Client
2016: 2 projets FRONT
- 2 component teams
- 2 feature teams
2017: API as a Product
- 2 component teams
- 2 Dev Api qui tournent
56. 56
BILAN
◉ L’organisation doit s’adapter aux nouveaux
enjeux : Test & learn
◉ MVP API en prod en 4 mois, avec une SQUAD
dédiée ! (socle API + façade API)
◉ Forts impacts de l’API sur l’organisation
◉ Feature team vs Component team : il faut aller
jusqu’au bout
◉ La façade doit être temporaire, les API doivent
descendre dans les back-offices car, avec le
temps, évolutions et frictions entre Back et API
Ce qu’on en retient
58. 58
Enjeux
◉ Une marketplace qui permet à un utilisateur
d’accéder à des services financiers (Prêts
bancaires en ligne, etc...)
◉ Un login de la vie financière (Un login
unique pour accéder à tous les services
financier de la marketPlace)
OCTO TECHNOLOGY > THERE IS A BETTER WAY
59. 59
Ce qu’on a fait
◉ 5 mois au total dont 1 mois de cadrage jusqu’à
la mise en production (SQUAD API)
◉ Développement d’un socle technique d’API
management
> Sécurité OpenID connect (2 flows)
> Gateway d’exposition (Kong)
◉ Développement d’une façade sur les services
existants disponibles en B2B
> Environ une quinzaine de ressources qui
couvrent tout le périmètre fonctionnel de
LINXO
◉ Aidé à la mise en place d’un Resource Provider
couvrant un nouveau scope fonctionnel (micro-
service)
OCTO TECHNOLOGY > THERE IS A BETTER WAY
60. 60
ARCHITECTURE
◉ Si l’ambition est de réaliser une API à l’état de l’art ⇒ l’architecture est compliquée
◉ La solution est personnalisée (Pas d’achat de progiciel auto-magique qu’on a intercalé au milieu du SI)
OCTO TECHNOLOGY > THERE IS A BETTER WAY
Socle API complet
61. 61
ORGANISATION
◉ SQUAD API:
+ Focus 100% sur le produit API (Technique + Fonctionnel)
+ Auto-organisée
+ 100% Agile
OCTO TECHNOLOGY > THERE IS A BETTER WAY
Product Owner Développeur API OPSLeader
Technique
Une SQUAD API
62. 62
BILAN
◉ L’ouverture sur internet est compliqué
> Pas de portail développeur adapté
> Pas de sécurité prête à l’emploi capable de
gérer les besoins complexes LINXO
◉ LINXO a fait un grand pas en avant dans sa
stratégie API
◉ SQUAD API ça fonctionne
◉ Pas d’outil build pour répondre à des besoins
spécifiques et complexes
Ce qu’on en retient
63. 63
Ce qu’on a fait
https://developers.axa-assistance.com/
OCTO TECHNOLOGY > THERE IS A BETTER WAY
64. 64
Ce qu’on a fait
◉ Un socle technique API
> Gateway
> Sécurisation OAuth2 (1 flow)
> Portail développeur
> Portail de supervision
◉ Un MVP de ressources
> informations sur les pays où AXA assistance est
présent
> information sur les organismes médicaux affiliés AXA
dans ces pays
https://developers.axa-assistance.com/
OCTO TECHNOLOGY > THERE IS A BETTER WAY
65. 65OCTO TECHNOLOGY > THERE IS A BETTER WAY
ARCHITECTURE TECHNIQUE
◉ Les changements technologiques
qu’on a apporté
> Culture 100 % Microsoft, Azure
> Utilisation de :
+ Linux, Node.js, nginx, AWS,
3Scale, Github, Travis…
◉ Pourquoi ?
> Fort T2M souhaité (3 mois)
+ => Emploi de technologies
éprouvées par OCTO
66. ORGANISATION
Une SQUAD OCTO/AXA sur site
OCTO TECHNOLOGY > THERE IS A BETTER WAY
◉ Les changements méthodologiques qu’on
a apportés :
> Scrum avec des SQUAD
> Mode léger, uniquement les rôles
basiques
> Quasi rien en dehors du Scrum Guide
> 100% visual management, pas d’outil
DEV
Guillaume
Scrum master
Yoram
PO
Anne-Lise
OPS
Pierre-Oliver
OPS
Thierry
DEV
Yoram
Squad
Coach PO
Antoine
DEV
Emeric
Coach
Tech-lead + scrum
master
Sébastien
Coach OPS
Laurent
Sponsor
Jean-baptiste
67. 67OCTO TECHNOLOGY > THERE IS A BETTER WAY
Premières itérations
☉ IT#0 : en deux semaines
> API Management OK
> 7 ressources
> OAuth2 (un flow)
> enrollment en 15mn
> une IHM de démo
> déploiement manuel en production sur AWS
> IC/Travis UP & running
> 50 participants @ notre première DEMO
☉ IT#1 : en 4 semaines
> déploiements automatiques en production sur AWS
+ sur PR
68. 68
BILAN
◉ D’excellent profils coté client
◉ Apport d’une expertise API & SQUAD OCTO
> Une API en production en 4 mois
> TTFAC de 15mn
> Une rupture technologique est possible : passage sur
une stack à l’état de l’art, maîtrisée en interne
> Une rupture organisationnelle est possible : une
SQUAD qui maîtrise l’agile par l’exemple
> Coaching par l’exemple
◉ Fort sponsorship côté client pour rendre la SQUAD
autonome
◉ Une aventure humaine
◉ Limitations :
> Unicité des identités
> APIifier son SI, c’est long !
Ce qu’on en retient
69. 34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM
Merci
70. 7 CONVICTIONS SUR LES API WEB
OCTO TECHNOLOGY > THERE IS A BETTER WAY 70
71. PRÉSENTATION API
7 CONVICTIONS SUR L’API
Wojciech
WOJCIK
Consultant,
Senior architect
@ OCTO
+33 6 59 83 24 36
wwojciech@octo.com
34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
Julien
VIGNOLLES
Consultant, Ruby expert &
API evangelist
@ OCTO
+33 6 09 31 57 73
jvignolles@octo.com
72. #1 Si vous n’offrez pas une Open API,
quelqu’un le fera à votre place
OCTO TECHNOLOGY > THERE IS A BETTER WAY 72
73. De nombreux acteurs « volent » déjà vos données
OCTO TECHNOLOGY > THERE IS A BETTER WAY 73
74. QUELS SONT MES GAINS ?
◉ Surveiller et gérer la consommation de mes ressources
◉ Connaître l’origine de ma consommation
◉ Connaître mes consommateurs
◉ Et peut-être monétiser
OCTO TECHNOLOGY > THERE IS A BETTER WAY 74
75. QUELQUES EXEMPLES D’API HACKÉES : LA DGFIP
OCTO TECHNOLOGY > THERE IS A BETTER WAY 75
API Particulier
76. QUELQUES EXEMPLES D’API HACKÉES : LES BANQUES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 76
QUELQUES EXEMPLES D’API HACKÉES : LES BANQUES
82. Services internes
BACKEND1 BACKEND2 BACKEND3
> Authentification
> Autorisation
> Droits fins
Mobile Web Partenaire
VPNCookieToken
Intranet ???Open API
Firewall
BACKEND4 ???
API Key ???
EXPOSITION AD-HOC
83. UN CANAL : INTERNET !
APIs
Mobile Web Partenaire
> Authentification > Autorisation > Droits fins
Intranet Open API
SÉCURITÉ
Cloud Ready
Application
84. Internet infiltre les entreprises,
Il doit être le canal par défaut pour communiquer
8
4
85. #3 Une stratégie d’API est d’abord un sujet organisationnel et culturel
OCTO TECHNOLOGY > THERE IS A BETTER WAY 85
86. Les organisations qui conçoivent des systèmes
sont contraintes de produire des modèles qui
sont des copies de leur propre structure de
communication.
OCTO TECHNOLOGY > THERE IS A BETTER WAY 86
Loi de Conway (1968)
87. DEMAIN, PAR QUOI COMMENCER ?
OCTO TECHNOLOGY > THERE IS A BETTER WAY 87
MVP
Bénéfices
Délai avant
ROI
Squad
Feature
teams
Build
vs buy
Culture
Culture &
technologie
Organisation
91. ATTENTION À LA CONCENTRATION DU POUVOIR
un progiciel
CONWAY
RATIONALISATION
ELDORADO
#RappelleToiLesESBs
une équipe
un goulet d’étranglement
une complexité qui explose
92. CONVICTION 5
◉ L’API est un produit
OCTO TECHNOLOGY > THERE IS A BETTER WAY 92
#5 L’API est un produit
93. PROJET VS PRODUIT
OCTO TECHNOLOGY > THERE IS A BETTER WAY 93
PROJET
Budget fixe
Usage unique
Mesure de la production
Conduit par des dates
Se termine avec de la maintenance
Focus interne
Peu ou pas de marketing
PRODUIT
Budget variable
Réutilisable
Basé sur le résultat
Conduit par des résultats
Se termine quand il n’y a plus de
besoins clients
Focus client
Marketing évangélique
94. LA DEVELOPER EXPERIENCE (DX), L’EXEMPLE DE STRIPE
OCTO TECHNOLOGY > THERE IS A BETTER WAY 94
95. #6 La façade
est faite pour
disparaître
OCTO TECHNOLOGY > THERE IS A BETTER WAY 95
96. LE SERVICE AU FIN FOND DU SI
CONSOMMATEURS
EQUIPE EXPOSITION API
LA FAÇADE API, UN CONCEPT ORGANISATIONNEL
98. 98
LE SERVICE AU FIN FOND DU SI
CONSOMMATEURS
EQUIPE FAÇADE API
Cycle en V
Agile
Orga
Synchro
H24 7/7
Lent
Ferme la nuit
Rationalisation
Besoins
TTM
Innovation
UX
Frontière
Goulet
MAIS SUR LA DURÉE…
Règles
Performance
99. 99
LE SERVICE AU FIN FOND DU SI
CONSOMMATEURS
EQUIPE FAÇADE API
Cycle en V
Agile
Orga
Synchro
H24 7/7
Lent
Ferme la nuit
Besoins
TTM
Innovation
UX
Frontière
Goulet
MAIS SUR LA DURÉE…
Règles
Performance
Rationalisation
100. 10
0
LE SERVICE AU FIN FOND DU SI
CONSOMMATEURS
EQUIPE FAÇADE API
Cycle en V
Agile
Orga
Synchro
H24 7/7
Lent
Ferme la nuit
Besoins
TTM
Innovation
UX
Frontière
Goulet
MAIS SUR LA DURÉE…
Règles
Performance
Rationalisation
101. 10
1
LE SERVICE AU FIN FOND DU SI
CONSOMMATEURS
EQUIPE FAÇADE API
Cycle en V
Agile
Orga
Synchro
H24 7/7
Lent
Ferme la nuit
Besoins
TTM
Innovation UX
Frontière
Goulet
MAIS SUR LA DURÉE…
Règles
Performance
Rationalisation
104. #7 L’API HYPERMEDIA EST À TESTER
OCTO TECHNOLOGY > THERE IS A BETTER WAY 104
105. POURQUOI PERSONNE N’EN FAIT ?
◉ Pas de format (media type) standard
◉ Peu de frameworks et d’outils
◉ HTTP et les URI font déjà beaucoup pour REST
◉ Manque d’exemples, de success story
OCTO TECHNOLOGY > THERE IS A BETTER WAY 105
106. NOTRE RETOUR D’EXPÉRIENCE : À TESTER
◉ Est simple à mettre en place
sur une API déjà existante
◉ Permet une compatibilité ascendante
(via pattern représentant)
◉ Offre une meilleure affordance
et évolutivité
OCTO TECHNOLOGY > THERE IS A BETTER WAY 106
107. HYPERMEDIA : PAR OÙ COMMENCER ?
OCTO TECHNOLOGY > THERE IS A BETTER WAY 107
Transformer votre API Web
en une API hypermedia
Article de blog On en parle !
108. 34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM
MERCI !
Julien
VIGNOLLES
Consultant, Ruby expert
& API evangelist
@ OCTO
+33 6 09 31 57 73
jvignolles@octo.com
Wojciech
WOJCIK
Consultant,
Senior architect
@ OCTO
+33 6 59 83 24 36
wwojciech@octo.com
109.
110. NOUS CONTACTER
tribu-woapi@octo.com
OCTO TECHNOLOGY > THERE IS A BETTER WAY 110
WOAPI
23 OCTO
Coaching API
Stratégie API
Sécurité API
Cadrage API
Audit API
Delivery API
● Technologies : Nodejs, Java, Ruby, PHP, etc.
● API Management
111. ● API : Ouvrir son SI & développer son modèle
d’affaire
● Développer son API avec nodejs
● Développer son API avec java
● Développer son API avec php
● Sécuriser et manager son API
Consulting
&
Transformation
Training Program myUSI
Conferences
OCTO ACADEMY
Unauthorizedpropagationprohibited.Forinternaluseonly.
112. R.O.T.I
Return on time invested
From1 5To
Unauthorizedpropagationprohibited.Forinternaluseonly.
113. LA CONFÉRENCE VOUS A PLU ?
Nos équipes sont là pour récupérer votre questionnaire de satisfaction à la sortie !
OCTO TECHNOLOGY > THERE IS A BETTER WAY 113