SlideShare une entreprise Scribd logo

Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les mythes et croyances de l'API

O
OCTO Technology

Quelles sont les véritables clés d’une stratégie API ? Comment construire efficacement son API et comment la sécuriser ? Quelles sont les erreurs à ne pas commettre ? La « transformation digitale » est devenue un voyage spirituel dont on discerne difficilement les contours. Elle se traduit souvent par la mise en œuvre de nombreux chantiers d’une gageure fantaisiste, dont certains n’ont pas de réel rapport avec le numérique. Nous pensons néanmoins que l’API reste la pierre angulaire de la digitalisation de nos entreprises. Ces dernières années, nous avons gravi les montagnes sacrées – API as a product, REST, HATEOAS, OAUTH2, OpenId Connect, Microservices – prêché les bonnes pratiques API dictées par les Géants du Web, accompagné une centaine d’entreprises dans le cadre de leur stratégie API. Vient le moment de dresser le bilan. Quelles sont les véritables clés d’une stratégie API ? Comment construire efficacement son API et comment la sécuriser ? Quelles sont les erreurs à ne pas commettre ? Cette session était l’occasion de revenir sur les points fondamentaux tirés par la mise en oeuvre d’une stratégie API, sur les axes business, techniques et organisationnels. Nous vous proposons des retours d’expérience concrets et sans langue de bois.

Technologie
1  sur  114
● Petit-déjeuner API du jeudi 6 mars 2014 OCTO©2017-Unauthorizedpropagationprohibited.Forinternaluseonly. ● Création d’une tribu WOAPI en Août 2014 ● 3 années de coaching et d’implémentation API ● L’heure d’un bilan
Agenda L’API NE FAIT PAS LE MOINE Confessions d’experts sur les mythes et croyances de l’API 9h30. API Essentials 11h. Retours d'expérience 11h30. 7 Mythes de l'API Unauthorizedpropagationprohibited.Forinternaluseonly. 10h. Une API sécurisée en 30 minutes 10h30. Pause échanges 12h. Mot de la fin, conclusion
...about me, myself & I Antoine CHANTALOU Head of API & Web Architectures @ OCTO +33 6 27 13 11 21 achantalou@octo.com 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
API ESSENTIALS Notre vision d’après nos retours d’expérience 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
AGENDA OCTO TECHNOLOGY > THERE IS A BETTER WAY 6 VISION ◉Enjeux ◉Niveau d’ouverture ◉Modèles d’affaires ◉Définition DESIGN API ◉Pourquoi le design est important ◉Good design / bad design ARCHITECTURE ◉SOA ◉API Management ◉Patterns d’intégration ORGANISATION ◉API SQUAD ◉Rôles et responsabilités ◉Scaling API T2M Attra ctivit é
VISION
ATAWAD ◉ Ces dernières années, de nouveaux terminaux digitaux sont apparus ◉ La manière dont nous construisons nos applications et nos SI, est bouleversée ◉ Si I’IoT connaît le même succès, la révolution digitale va s’accentuer ◉ Les problématiques « d’omnicanalité » et de « cross-devices » sont résumées par l’acronyme « ATAWAD » > Anytime, Anywhere , Any Device Les usages digitaux sont en constante évolution OCTO TECHNOLOGY > THERE IS A BETTER WAY 8
« All service interfaces, without exception, must be designed from the ground up to be externalizable. That is to say, the team must plan and design to be able to expose the interface to developers in the outside world. No exceptions. Anyone who doesn't do this will be fired. Thank you; have a nice day! L’OUVERTURE DU SI Les visionnaires OCTO TECHNOLOGY > THERE IS A BETTER WAY 9 Jeff Bezos CEO, Amazon Internal communication – 2002 Créer de nouveaux modèles d’affaires « Outsourcer » l’innovation
LES OPEN-API PERMETTENT D’ADRESSER LES USAGES DIFFÉREMMENT OCTO TECHNOLOGY > THERE IS A BETTER WAY 10 Statistiques d’utilisation de Twitter VS Api.twitter.com : Applications offrant des usages sur la base du service proposé par Twitter (ex: être notifié pour certains types de tweets, constituer des listes...) 75%API Site « mère » : Twitter.com, fonctionnalités de base 25%SITE
API Une API (Application Programming Interface) est un ensemble normalisé de classes, de méthodes ou de fonctions qui sert de façade par laquelle un logiciel offre des services à d'autres logiciels. Définition OCTO TECHNOLOGY > THERE IS A BETTER WAY 11
API L’API est l’industrialisation du processus de consommation des ressources de l'entreprise sur le WEB. Définition OCTO TECHNOLOGY > THERE IS A BETTER WAY 12 WEB + Portail Développeur + TTFAC* & DX** + X-device / X-channel + API Management + HTTP + Design API + RESTful Industrialisation * "Time To First API Call” le temps nécessaire à un développeur pour consommer l’API en production après s’être enregistré sur le portail développeur. Nous ciblons 15 minutes. ** “Developer experience”. L’API est utilisée par des humains. Nous ciblons une adoption massive sur tous les canaux. L’API doit être conçue et implémentée par des artisans codeurs.
L’API DANS LES ENTREPRISES Où en sommes nous ? OCTO TECHNOLOGY > THERE IS A BETTER WAY 13
DESIGN
DESIGNER UNE API ◉ APIs internes/partenaires > Une API mal « designée » sera utilisée par les développeurs > Mais ils seront « lents » ◉ Open API > Une API mal « designée » ne sera pas utilisée Le design d’une API est-il important ? OCTO TECHNOLOGY > THERE IS A BETTER WAY T2M Attractivité
16 DESIGNER UNE API Qu’est ce qu’une API bien designée ? OCTO TECHNOLOGY > THERE IS A BETTER WAY Une API bien « designée » Suit les standards HTTP S’inspire des API des Géants du Web Est simple et externalisable Offre une bonne affordance* L’affordance est la capacité d’un objet à suggérer son utilisation. Bad Design
ARCHITECTURE
NOTRE VISION « Etat de l’art » des architectures d’aujourd’hui OCTO TECHNOLOGY > THERE IS A BETTER WAY 18 Web Oriented Architecture Multiple and disposable GUIs Scalable RESTful MICROSERVICES Distributed STORAGE Web Oriented ArchitectureWOA Cloud Cloud Responsive Website Browser 42 API Consumers Partners, internal & external developers 47 lOT 11 % Native Apps API customers API products API contents Headless CMS https://api.foo.com/ AAA API Gateway OpenID Connect / OAuth2
OCTO TECHNOLOGY > THERE IS A BETTER WAY 19 VSSOAP REST
20 SOAP VS REST Quel futur pour SOAP ? OCTO TECHNOLOGY > THERE IS A BETTER WAY “SOAP is not dead, it’s undead: it’s a zombie in the Enterprise” SOAP
API MANAGEMENT API MANAGEMENT Cartographie fonctionnelle OCTO TECHNOLOGY > THERE IS A BETTER WAY 21 GATEWAY: API single entry point SECURITY Throttling, DOS Authentication Authorization Accounting DEVELOPER PORTAL Enrolment API Documentation, & Try-It Interfaces Support: FAQ, Forum API MANAGEMENT PORTAL Authorization of apps & users Usage Statistics Quotas/throttling Reporting API Facade Building the API: Transformation, Mashup … an ESB ! COMPLEX USE WITH CAUTION ! API MANAGEMENT FRONT APPLICATIONS BACKENDS CORE-IT SECURITY DEVELOPER PORTAL API MANAGEMENT PORTAL GATEWAY API FACADE New software blocks
BUILD VS BUY OCTO TECHNOLOGY > THERE IS A BETTER WAY 22 BPO* commun à toutes les entreprises perçu comme une ressource Portail API & sécurité Portails d’API Management Portail développeur Sécurité API L’API devient le point d’entrée de votre CORE IT ● Critique & différenciant ● Clé pour un avantage compétitif Les solutions d’API Management sont inefficaces pour bâtir de bonnes API commun à toutes les entreprises du secteur perçu comme un atout de production *Business Process Outsourcing Ressources moins cher Actifs stratégiques et innovations plus vite unique, différenciant perçu comme un atout concurrentiel
23 ARCHITECTURE - LES PATTERNS D’INTÉGRATION API Façade API monolithique (ESB) API MANAGEMENT FRONT APPLICATIONS BACKENDS CORE-IT SECURITY DEVELOPER PORTAL API MANAGEMENT PORTAL GATEWAY API FACADE New software blocks OCTO TECHNOLOGY > THERE IS A BETTER WAY
24 ARCHITECTURE - LES PATTERNS D’INTÉGRATION API Services / Microservices OCTO TECHNOLOGY > THERE IS A BETTER WAY API MANAGEMENT FRONT APPLICATIONS BACKENDS CORE-IT SECURITY DEVELOPER PORTAL API MANAGEMENT PORTAL GATEWAY New software blocks API API API
ORGANISATION
ORGANISATION 26 Ideal Agile Team Autonomous & responsible Team A SQUAD per product Recommended for strategic products where T2M is a stake The PO says “this json attribute is returned” By the end of the iteration (at least) the feature is deployed in production Extreme focus on the “product” : Minimal dependencies & frictions AGILE SQUAD ⦿ Animate External Developers community (API users) ⦿ Social networking ⦿ Administrate developer portal Community manager [Marketing] (when it makes sense) ⦿ Design/develop the API ⦿ Write API documentation ⦿ Measure and improve API performances ⦿ Write unit automated test Tech-lead / Devs [IT] ⦿ Collect and prioritize users requirements ⦿ Responsible for API success ⦿ Define Follow-up indicators ⦿ Measure, learn and build Product Owner [Business/IT] ⦿ Co-design API resources ⦿ Write automated functional tests (TDR) Business analysts [Business] ⦿ Automated testing ⦿ Automated deployment ⦿ Scalability (elasticity) and SLA OPS [IT] A P I S Q U A D OCTO TECHNOLOGY > THERE IS A BETTER WAY
TAKE AWAY OCTO TECHNOLOGY > THERE IS A BETTER WAY 27 VISION ◉2 enjeux ○ ATAWAD ○ Ouverture de l’entreprise ◉Définition ○ WEB ○ Industrialisation de la consommation ◉ KPI : TTFAC DESIGN API ◉Bon design ○ Standards HTTP ○ Inspiré des GdW ○ Simple et externalisable ○ Affordant ARCHITECTURE ◉ SOA ○ SOAP == zombie ○ L’API ne se résume pas à une démarche d’urbanisation SOA IT ◉ API Management ○ Pas de silver bullet ○ Pour manager l’API (buy), pas pour la construire (build) ◉ Patterns d’intégration ○ API Façade == trajectoire ○ Resource providers découplé (Microservices) == cible ORGANISATION ◉API SQUAD ○ Clé du T2M ○ PO API global (métier/marketing)
34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM MERCI ! Antoine CHANTALOU Head of API & Web Architectures @ OCTO +33 6 27 13 11 21 achantalou@octo.com
SÉCURISER SON API Sur le Web en 30 minutes 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
Simon RENOULT Consultant Expert Node.js & API @ OCTO +33 6 16 57 35 24 srenoult@octo.com 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM Florent JABY Consultant Expert Sécurité & API @ OCTO +33 6 69 12 43 57 fjaby@octo.com
Raconte-nous une histoire... OCTO TECHNOLOGY > THERE IS A BETTER WAY 31 ☉ DSI d’une grande société d’ecommerce ☉ Parc applicatif composé d’APIs internes ☉ Disruption du marché par de nouveaux acteurs ☉ Perte de clients mais de nouvelles opportunités de business ☉ Nécessité d’ouvrir son SI ☉ Sécuriser son APIThomas Dupond, 54 ans Une DSI en renouvellement
Un casting de choix OCTO TECHNOLOGY > THERE IS A BETTER WAY 32 Authorization Server Resource Provider Client End User Tour d’horizon...
Concepts et rôles OCTO TECHNOLOGY > THERE IS A BETTER WAY 33 Service Utilise Connaît ÉcritConnaît Utilisateur Application Développeur
Concepts et rôles OCTO TECHNOLOGY > THERE IS A BETTER WAY 34 Service Utilise Connaît ÉcritConnaît Utilisateur Application Développeur
Live Coding Mettre en place OpenID Connect OCTO TECHNOLOGY > THERE IS A BETTER WAY 35 ☉ Utiliser un outil en ligne pour OpenID Connect ☉ Modifier l’API pour vérifier la validité d’un token à chaque appel
Récupérer un token OpenID Connect Implicit Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 36 ☉ L’utilisateur est authentifié par le service ☉ Le service vérifie que l’application est sur liste blanche ☉ Un token est émis pour l’application ☉ Le token est transmis à l’application via URL en HTTPS
Live Coding Récupérer un token valide via Implicit Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 37 ☉ Diriger l’utilisateur vers la mire de login lorsqu’aucun token n’est connu ☉ Récupérer le token dans l’URL lorsque l’on retourne sur l’application
Live Coding Consommer l’API sécurisée ! OCTO TECHNOLOGY > THERE IS A BETTER WAY 38 ☉ Afficher l’identité de l’utilisateur avec /userinfo ☉ Récupérer et afficher le catalogue de produits
Définir les droits d’une application La délégation de privilèges OCTO TECHNOLOGY > THERE IS A BETTER WAY 39 Un utilisateur ne peux que déléguer certains de ses droits à une application. Droits qui lui ont été octroyés par le service.
Définir les droits d’une application Sens et utilisation du scope OCTO TECHNOLOGY > THERE IS A BETTER WAY 40 ☉ Un scope est un mot qui permet de définir des “tranches” de privilèges prêtes à la délégation ☉ Une manière de séléctionner un sous- ensemble des droits de l’utilisateur ☉ Une description explicite pour l’utilisateur de ce qu’il consent à déléguer
Définir les droits d’une application Exemple de découpage pour notre cas d’usage OCTO TECHNOLOGY > THERE IS A BETTER WAY 41 Droits de l’utilisateur lèche-vitrine « l’application pourra consulter le catalogue de produits » comptabilité « l’application pourra accéder à votre historique de commandes et de factures » achat « l’application pourra passer commande en votre nom »
Adapter le niveau de sécurité Les différents types d’applications OCTO TECHNOLOGY > THERE IS A BETTER WAY 42 Publiques Externes Internes / de confiance
Adapter le niveau de sécurité Quand choisir Implicit Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 43 Publiques
Adapter le niveau de sécurité Quand choisir Authorization Code Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 4 4 Externes Internes / de confiance
Adapter le niveau de sécurité Quand choisir Client Credentials Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 4 5 Externes Internes / de confiance
Adapter le niveau de sécurité Quand choisir Resources Owner Credentials Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY Internes / de confiance
Conclusion OCTO TECHNOLOGY > THERE IS A BETTER WAY 47 ☉ Il existe des standards éprouvés de sécurisation d’API sur le web : Oauth2 et OpenID Connect ☉ Adopter ces standards vous permettent d’utiliser rapidement les bons outils sur étagère ☉ Ils tracent la route vers utilisation de masse de votre API
Green refcard is out! OCTO TECHNOLOGY > THERE IS A BETTER WAY 48 ☉ Document de référence sur la sécurité des APIs ☉ Vulgarise OAuth2, OpenID Connect, API Key, JWT, Scopes, Claims, Bearer Token ☉ Liste les DOs and DONTs dans la mise en place d’une stratégie API sécurisée
PAUSE - ÉCHANGES https://docs.google.com/presentation/d/e/2PACX-1vQw66OlQlVoFS6TlvmW9WW7pnOja7Q81Tv6GJSZTa3iI- 3yIuHJcnCvga_ZXAQX7pGBmsQS4cgCeOu2/pub?start=true&loop=true&delayms=15000 49
34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM Les APIs dans la vraie vie Retours d’expérience Antoine CHANTALOU Head of API & Web Architectures @ OCTO +33 6 27 13 11 21 achantalou@octo.com Daniel SABIN API Architecte @ OCTO +33 6 16 48 50 65 dsabin@octo.com
52 Enjeux ◉ Demande client : je veux un site responsive pour adresser les terminaux mobiles ◉ Proposition OCTO : API First, et un site responsive, > parce que la mode vestimentaire du site sera éphémère > parce que d’autres consommateurs vont apparaître OCTO TECHNOLOGY > THERE IS A BETTER WAY
53 Ce qu’on a fait ◉ Développement de l’API en production en 4 mois ◉ Ouverture à des nouveaux partenaires ◉ Accélération des cycles de release du site clubmed.fr OCTO TECHNOLOGY > THERE IS A BETTER WAY
ARCHITECTURE Trajectoire façade, cible microservices OCTO TECHNOLOGY > THERE IS A BETTER WAY 54 FRONT BACKENDS CORE-IT SOCLE API FAÇADE API New software blocks FRONT BACKENDS CORE-IT SOCLE API APIAPI API Trajectoire: MVP (6 mois) Cible
ORGANISATION Evolution de l’organisation OCTO TECHNOLOGY > THERE IS A BETTER WAY 55 Equipe Front EQUIPE API New software blocks Socle Front + Shopping BACKENDS CORE-IT Socle API + Shopping 2015: Réalisation d’un MVP - 2 component teams Booking Engine BACKENDS CORE-IT Espace Client Equipe Front EQUIPE API BACKENDS CORE-IT 1dev Espace Client 1dev Espace Client 2016: 2 projets FRONT - 2 component teams - 2 feature teams 2017: API as a Product - 2 component teams - 2 Dev Api qui tournent
56 BILAN ◉ L’organisation doit s’adapter aux nouveaux enjeux : Test & learn ◉ MVP API en prod en 4 mois, avec une SQUAD dédiée ! (socle API + façade API) ◉ Forts impacts de l’API sur l’organisation ◉ Feature team vs Component team : il faut aller jusqu’au bout ◉ La façade doit être temporaire, les API doivent descendre dans les back-offices car, avec le temps, évolutions et frictions entre Back et API Ce qu’on en retient
57
58 Enjeux ◉ Une marketplace qui permet à un utilisateur d’accéder à des services financiers (Prêts bancaires en ligne, etc...) ◉ Un login de la vie financière (Un login unique pour accéder à tous les services financier de la marketPlace) OCTO TECHNOLOGY > THERE IS A BETTER WAY
59 Ce qu’on a fait ◉ 5 mois au total dont 1 mois de cadrage jusqu’à la mise en production (SQUAD API) ◉ Développement d’un socle technique d’API management > Sécurité OpenID connect (2 flows) > Gateway d’exposition (Kong) ◉ Développement d’une façade sur les services existants disponibles en B2B > Environ une quinzaine de ressources qui couvrent tout le périmètre fonctionnel de LINXO ◉ Aidé à la mise en place d’un Resource Provider couvrant un nouveau scope fonctionnel (micro- service) OCTO TECHNOLOGY > THERE IS A BETTER WAY
60 ARCHITECTURE ◉ Si l’ambition est de réaliser une API à l’état de l’art ⇒ l’architecture est compliquée ◉ La solution est personnalisée (Pas d’achat de progiciel auto-magique qu’on a intercalé au milieu du SI) OCTO TECHNOLOGY > THERE IS A BETTER WAY Socle API complet
61 ORGANISATION ◉ SQUAD API: + Focus 100% sur le produit API (Technique + Fonctionnel) + Auto-organisée + 100% Agile OCTO TECHNOLOGY > THERE IS A BETTER WAY Product Owner Développeur API OPSLeader Technique Une SQUAD API
62 BILAN ◉ L’ouverture sur internet est compliqué > Pas de portail développeur adapté > Pas de sécurité prête à l’emploi capable de gérer les besoins complexes LINXO ◉ LINXO a fait un grand pas en avant dans sa stratégie API ◉ SQUAD API ça fonctionne ◉ Pas d’outil build pour répondre à des besoins spécifiques et complexes Ce qu’on en retient
63 Ce qu’on a fait https://developers.axa-assistance.com/ OCTO TECHNOLOGY > THERE IS A BETTER WAY
64 Ce qu’on a fait ◉ Un socle technique API > Gateway > Sécurisation OAuth2 (1 flow) > Portail développeur > Portail de supervision ◉ Un MVP de ressources > informations sur les pays où AXA assistance est présent > information sur les organismes médicaux affiliés AXA dans ces pays https://developers.axa-assistance.com/ OCTO TECHNOLOGY > THERE IS A BETTER WAY
65OCTO TECHNOLOGY > THERE IS A BETTER WAY ARCHITECTURE TECHNIQUE ◉ Les changements technologiques qu’on a apporté > Culture 100 % Microsoft, Azure > Utilisation de : + Linux, Node.js, nginx, AWS, 3Scale, Github, Travis… ◉ Pourquoi ? > Fort T2M souhaité (3 mois) + => Emploi de technologies éprouvées par OCTO
ORGANISATION Une SQUAD OCTO/AXA sur site OCTO TECHNOLOGY > THERE IS A BETTER WAY ◉ Les changements méthodologiques qu’on a apportés : > Scrum avec des SQUAD > Mode léger, uniquement les rôles basiques > Quasi rien en dehors du Scrum Guide > 100% visual management, pas d’outil DEV Guillaume Scrum master Yoram PO Anne-Lise OPS Pierre-Oliver OPS Thierry DEV Yoram Squad Coach PO Antoine DEV Emeric Coach Tech-lead + scrum master Sébastien Coach OPS Laurent Sponsor Jean-baptiste
67OCTO TECHNOLOGY > THERE IS A BETTER WAY Premières itérations ☉ IT#0 : en deux semaines > API Management OK > 7 ressources > OAuth2 (un flow) > enrollment en 15mn > une IHM de démo > déploiement manuel en production sur AWS > IC/Travis UP & running > 50 participants @ notre première DEMO ☉ IT#1 : en 4 semaines > déploiements automatiques en production sur AWS + sur PR
68 BILAN ◉ D’excellent profils coté client ◉ Apport d’une expertise API & SQUAD OCTO > Une API en production en 4 mois > TTFAC de 15mn > Une rupture technologique est possible : passage sur une stack à l’état de l’art, maîtrisée en interne > Une rupture organisationnelle est possible : une SQUAD qui maîtrise l’agile par l’exemple > Coaching par l’exemple ◉ Fort sponsorship côté client pour rendre la SQUAD autonome ◉ Une aventure humaine ◉ Limitations : > Unicité des identités > APIifier son SI, c’est long ! Ce qu’on en retient
34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM Merci
7 CONVICTIONS SUR LES API WEB OCTO TECHNOLOGY > THERE IS A BETTER WAY 70
PRÉSENTATION API 7 CONVICTIONS SUR L’API Wojciech WOJCIK Consultant, Senior architect @ OCTO +33 6 59 83 24 36 wwojciech@octo.com 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM Julien VIGNOLLES Consultant, Ruby expert & API evangelist @ OCTO +33 6 09 31 57 73 jvignolles@octo.com
#1 Si vous n’offrez pas une Open API, quelqu’un le fera à votre place OCTO TECHNOLOGY > THERE IS A BETTER WAY 72
De nombreux acteurs « volent » déjà vos données OCTO TECHNOLOGY > THERE IS A BETTER WAY 73
QUELS SONT MES GAINS ? ◉ Surveiller et gérer la consommation de mes ressources ◉ Connaître l’origine de ma consommation ◉ Connaître mes consommateurs ◉ Et peut-être monétiser OCTO TECHNOLOGY > THERE IS A BETTER WAY 74
QUELQUES EXEMPLES D’API HACKÉES : LA DGFIP OCTO TECHNOLOGY > THERE IS A BETTER WAY 75 API Particulier
QUELQUES EXEMPLES D’API HACKÉES : LES BANQUES OCTO TECHNOLOGY > THERE IS A BETTER WAY 76 QUELQUES EXEMPLES D’API HACKÉES : LES BANQUES
#2 Ouvrez vos APIs sur Internet !
INTERNET, C’EST PAS SECURE
Utilisateur Service LES ANCIENNES TRADITIONS VPN WAF FIREWALL IPS IDS IP Bienvenue ! Je fais confiance aux murs
Utilisateur Service AUJOURD’HUI, LA SÉCURITÉ APPLICATIVE HTTPS C’est qui ? C’est pour quoi faire ?
Simplifier et Industrialiser la consommation des services
Services internes BACKEND1 BACKEND2 BACKEND3 > Authentification > Autorisation > Droits fins Mobile Web Partenaire VPNCookieToken Intranet ???Open API Firewall BACKEND4 ??? API Key ??? EXPOSITION AD-HOC
UN CANAL : INTERNET ! APIs Mobile Web Partenaire > Authentification > Autorisation > Droits fins Intranet Open API SÉCURITÉ Cloud Ready Application
Internet infiltre les entreprises, Il doit être le canal par défaut pour communiquer 8 4
#3 Une stratégie d’API est d’abord un sujet organisationnel et culturel OCTO TECHNOLOGY > THERE IS A BETTER WAY 85
Les organisations qui conçoivent des systèmes sont contraintes de produire des modèles qui sont des copies de leur propre structure de communication. OCTO TECHNOLOGY > THERE IS A BETTER WAY 86 Loi de Conway (1968)
DEMAIN, PAR QUOI COMMENCER ? OCTO TECHNOLOGY > THERE IS A BETTER WAY 87 MVP Bénéfices Délai avant ROI Squad Feature teams Build vs buy Culture Culture & technologie Organisation
#4 L’API n’est pas un progiciel (d’API Management) 88
API Management
ATTENTION À LA CONCENTRATION DU POUVOIR un progiciel CONWAY RATIONALISATION ELDORADO #RappelleToiLesESBs une équipe un goulet d’étranglement une complexité qui explose
CONVICTION 5 ◉ L’API est un produit OCTO TECHNOLOGY > THERE IS A BETTER WAY 92 #5 L’API est un produit
PROJET VS PRODUIT OCTO TECHNOLOGY > THERE IS A BETTER WAY 93 PROJET Budget fixe Usage unique Mesure de la production Conduit par des dates Se termine avec de la maintenance Focus interne Peu ou pas de marketing PRODUIT Budget variable Réutilisable Basé sur le résultat Conduit par des résultats Se termine quand il n’y a plus de besoins clients Focus client Marketing évangélique
LA DEVELOPER EXPERIENCE (DX), L’EXEMPLE DE STRIPE OCTO TECHNOLOGY > THERE IS A BETTER WAY 94
#6 La façade est faite pour disparaître OCTO TECHNOLOGY > THERE IS A BETTER WAY 95
LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE EXPOSITION API LA FAÇADE API, UN CONCEPT ORGANISATIONNEL
FAÇADE = VITESSE
98 LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE FAÇADE API Cycle en V Agile Orga Synchro H24 7/7 Lent Ferme la nuit Rationalisation Besoins TTM Innovation UX Frontière Goulet MAIS SUR LA DURÉE… Règles Performance
99 LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE FAÇADE API Cycle en V Agile Orga Synchro H24 7/7 Lent Ferme la nuit Besoins TTM Innovation UX Frontière Goulet MAIS SUR LA DURÉE… Règles Performance Rationalisation
10 0 LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE FAÇADE API Cycle en V Agile Orga Synchro H24 7/7 Lent Ferme la nuit Besoins TTM Innovation UX Frontière Goulet MAIS SUR LA DURÉE… Règles Performance Rationalisation
10 1 LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE FAÇADE API Cycle en V Agile Orga Synchro H24 7/7 Lent Ferme la nuit Besoins TTM Innovation UX Frontière Goulet MAIS SUR LA DURÉE… Règles Performance Rationalisation
10 2 Service 1 CONSOMMATEURS API LE COUP DE BAGUETTE MAGIQUE Service 2 API Service 3 API Service 4 API GATEWAY
FAÇADE API = VITESSE = DES PROBLÈMES SOUS LE TAPIS = DETTE
#7 L’API HYPERMEDIA EST À TESTER OCTO TECHNOLOGY > THERE IS A BETTER WAY 104
POURQUOI PERSONNE N’EN FAIT ? ◉ Pas de format (media type) standard ◉ Peu de frameworks et d’outils ◉ HTTP et les URI font déjà beaucoup pour REST ◉ Manque d’exemples, de success story OCTO TECHNOLOGY > THERE IS A BETTER WAY 105
NOTRE RETOUR D’EXPÉRIENCE : À TESTER ◉ Est simple à mettre en place sur une API déjà existante ◉ Permet une compatibilité ascendante (via pattern représentant) ◉ Offre une meilleure affordance et évolutivité OCTO TECHNOLOGY > THERE IS A BETTER WAY 106
HYPERMEDIA : PAR OÙ COMMENCER ? OCTO TECHNOLOGY > THERE IS A BETTER WAY 107 Transformer votre API Web en une API hypermedia Article de blog On en parle !
34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM MERCI ! Julien VIGNOLLES Consultant, Ruby expert & API evangelist @ OCTO +33 6 09 31 57 73 jvignolles@octo.com Wojciech WOJCIK Consultant, Senior architect @ OCTO +33 6 59 83 24 36 wwojciech@octo.com
NOUS CONTACTER tribu-woapi@octo.com OCTO TECHNOLOGY > THERE IS A BETTER WAY 110 WOAPI 23 OCTO Coaching API Stratégie API Sécurité API Cadrage API Audit API Delivery API ● Technologies : Nodejs, Java, Ruby, PHP, etc. ● API Management
● API : Ouvrir son SI & développer son modèle d’affaire ● Développer son API avec nodejs ● Développer son API avec java ● Développer son API avec php ● Sécuriser et manager son API Consulting & Transformation Training Program myUSI Conferences OCTO ACADEMY Unauthorizedpropagationprohibited.Forinternaluseonly.
R.O.T.I Return on time invested From1 5To Unauthorizedpropagationprohibited.Forinternaluseonly.
LA CONFÉRENCE VOUS A PLU ? Nos équipes sont là pour récupérer votre questionnaire de satisfaction à la sortie ! OCTO TECHNOLOGY > THERE IS A BETTER WAY 113
MERCI ! 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM

Recommandé

Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITILAbdessamad Mountadi
 
Sensibilisation à ITIL V3
Sensibilisation à ITIL V3Sensibilisation à ITIL V3
Sensibilisation à ITIL V3COMPETENSIS
 
Introduction à la démarche Devops
Introduction à la démarche DevopsIntroduction à la démarche Devops
Introduction à la démarche DevopsRomain Chalumeau
 
Introduction à ITIL
Introduction à ITILIntroduction à ITIL
Introduction à ITILJoseph Guindeba
 
Introduction à itil v3
Introduction à itil v3Introduction à itil v3
Introduction à itil v3Renaud BROSSE
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatiquepatriciacharrais
 
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したらもしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したらabend_cve_9999_0001
 
Guide iso 20000
Guide iso 20000Guide iso 20000
Guide iso 20000ORSYP France
 

Recommandé

Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITILAbdessamad Mountadi
 
Sensibilisation à ITIL V3
Sensibilisation à ITIL V3Sensibilisation à ITIL V3
Sensibilisation à ITIL V3COMPETENSIS
 
Introduction à la démarche Devops
Introduction à la démarche DevopsIntroduction à la démarche Devops
Introduction à la démarche DevopsRomain Chalumeau
 
Introduction à ITIL
Introduction à ITILIntroduction à ITIL
Introduction à ITILJoseph Guindeba
 
Introduction à itil v3
Introduction à itil v3Introduction à itil v3
Introduction à itil v3Renaud BROSSE
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatiquepatriciacharrais
 
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したらもしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したらabend_cve_9999_0001
 
Guide iso 20000
Guide iso 20000Guide iso 20000
Guide iso 20000ORSYP France
 
Transformation digitale e-santé
Transformation digitale e-santéTransformation digitale e-santé
Transformation digitale e-santéClaire de Saint Blancard
 
Internet des objets (IoT)
Internet des objets (IoT)Internet des objets (IoT)
Internet des objets (IoT)bruno-dambrun
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
Performance de l'ingénierie, l'approche Thalès
Performance de l'ingénierie, l'approche ThalèsPerformance de l'ingénierie, l'approche Thalès
Performance de l'ingénierie, l'approche ThalèsRenault Consulting France
 
Benchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRBenchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRTNP Consultant
 
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...AGILLY
 
ITSM: Démarche globale (élaborer le catalogue de services)
ITSM: Démarche globale (élaborer le catalogue de services)ITSM: Démarche globale (élaborer le catalogue de services)
ITSM: Démarche globale (élaborer le catalogue de services)Pascal Delbrayelle
 
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptx
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptxresume-theorique-m103-v2-1201-620cd6559047b_(1).pptx
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptxFootballLovers9
 
Snmp
SnmpSnmp
SnmpMekki Est
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationIkram Benabdelouahab
 
Web Service API Odoo - android
Web Service API Odoo - androidWeb Service API Odoo - android
Web Service API Odoo - androidMohamed aymen zairi
 
Méthodes agiles: Scrum et XP
Méthodes agiles: Scrum et XPMéthodes agiles: Scrum et XP
Méthodes agiles: Scrum et XPYouness Boukouchi
 
La Business Intelligence
La Business Intelligence La Business Intelligence
La Business Intelligence Khchaf Mouna
 
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"OCTO Technology
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things Tahraoui Samir
 
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020Dell Technologies
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'informationOumaima Karim
 
Monitoring basé sur les KPIs
Monitoring basé sur les KPIsMonitoring basé sur les KPIs
Monitoring basé sur les KPIsaelharradi
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsIEEE 802
 
Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?OCTO Technology Suisse
 
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" OCTO Technology
 

Contenu connexe

Tendances

Internet des objets (IoT)
Internet des objets (IoT)Internet des objets (IoT)
Internet des objets (IoT)bruno-dambrun
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
Performance de l'ingénierie, l'approche Thalès
Performance de l'ingénierie, l'approche ThalèsPerformance de l'ingénierie, l'approche Thalès
Performance de l'ingénierie, l'approche ThalèsRenault Consulting France
 
Benchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRBenchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRTNP Consultant
 
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...AGILLY
 
ITSM: Démarche globale (élaborer le catalogue de services)
ITSM: Démarche globale (élaborer le catalogue de services)ITSM: Démarche globale (élaborer le catalogue de services)
ITSM: Démarche globale (élaborer le catalogue de services)Pascal Delbrayelle
 
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptx
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptxresume-theorique-m103-v2-1201-620cd6559047b_(1).pptx
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptxFootballLovers9
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationIkram Benabdelouahab
 
Méthodes agiles: Scrum et XP
Méthodes agiles: Scrum et XPMéthodes agiles: Scrum et XP
Méthodes agiles: Scrum et XPYouness Boukouchi
 
La Business Intelligence
La Business Intelligence La Business Intelligence
La Business Intelligence Khchaf Mouna
 
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"OCTO Technology
 
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020Dell Technologies
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'informationOumaima Karim
 
Monitoring basé sur les KPIs
Monitoring basé sur les KPIsMonitoring basé sur les KPIs
Monitoring basé sur les KPIsaelharradi
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsIEEE 802
 

Tendances (20)

Transformation digitale e-santé
Transformation digitale e-santéTransformation digitale e-santé
Transformation digitale e-santé
 
Internet des objets (IoT)
Internet des objets (IoT)Internet des objets (IoT)
Internet des objets (IoT)
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Performance de l'ingénierie, l'approche Thalès
Performance de l'ingénierie, l'approche ThalèsPerformance de l'ingénierie, l'approche Thalès
Performance de l'ingénierie, l'approche Thalès
 
Benchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRBenchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPR
 
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
 
ITSM: Démarche globale (élaborer le catalogue de services)
ITSM: Démarche globale (élaborer le catalogue de services)ITSM: Démarche globale (élaborer le catalogue de services)
ITSM: Démarche globale (élaborer le catalogue de services)
 
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptx
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptxresume-theorique-m103-v2-1201-620cd6559047b_(1).pptx
resume-theorique-m103-v2-1201-620cd6559047b_(1).pptx
 
Snmp
SnmpSnmp
Snmp
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
 
Web Service API Odoo - android
Web Service API Odoo - androidWeb Service API Odoo - android
Web Service API Odoo - android
 
Méthodes agiles: Scrum et XP
Méthodes agiles: Scrum et XPMéthodes agiles: Scrum et XP
Méthodes agiles: Scrum et XP
 
La Business Intelligence
La Business Intelligence La Business Intelligence
La Business Intelligence
 
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"
Petit-déjeuner "Delivery Agile : Retrouvez le sommeil"
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things
 
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020
Dell Technologies Portfolio On One Single Page - POSTER - v4b June 2020
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'information
 
Monitoring basé sur les KPIs
Monitoring basé sur les KPIsMonitoring basé sur les KPIs
Monitoring basé sur les KPIs
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des Objets
 

Similaire à Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les mythes et croyances de l'API

Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?OCTO Technology Suisse
 
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" OCTO Technology
 
Qu'est ce qu'une api en 2019 ?
Qu'est ce qu'une api en 2019 ? Qu'est ce qu'une api en 2019 ?
Qu'est ce qu'une api en 2019 ? Cellenza
 
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKIGestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKISamir Arezki ☁
 
Petit déjeuner Octo - L'infra au service de ses projets
Petit déjeuner Octo - L'infra au service de ses projetsPetit déjeuner Octo - L'infra au service de ses projets
Petit déjeuner Octo - L'infra au service de ses projetsAdrien Blind
 
Petit-déjeuner OCTO - L'Infra au service de ses projets
Petit-déjeuner OCTO - L'Infra au service de ses projetsPetit-déjeuner OCTO - L'Infra au service de ses projets
Petit-déjeuner OCTO - L'Infra au service de ses projetsOCTO Technology
 
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"OCTO Technology
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en lignePrénom Nom de famille
 
Business API - Tout ce que vous avez toujours voulu savoir sur les API sans j...
Business API - Tout ce que vous avez toujours voulu savoir sur les API sans j...Business API - Tout ce que vous avez toujours voulu savoir sur les API sans j...
Business API - Tout ce que vous avez toujours voulu savoir sur les API sans j...Éric Grall
 
Be Googley, a corporate culture for innovation
Be Googley, a corporate culture for innovationBe Googley, a corporate culture for innovation
Be Googley, a corporate culture for innovationPatrick Chanezon
 
La Duck Conf : "Observabilité"
La Duck Conf : "Observabilité"La Duck Conf : "Observabilité"
La Duck Conf : "Observabilité"OCTO Technology
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussicyrilpicat
 
L'ADN d'un développement produit réussi
L'ADN d'un développement produit réussiL'ADN d'un développement produit réussi
L'ADN d'un développement produit réussiOCTO Technology Suisse
 
Réussissez le développement de votre prochaine application web ou mobile
Réussissez le développement de votre prochaine application web ou mobileRéussissez le développement de votre prochaine application web ou mobile
Réussissez le développement de votre prochaine application web ou mobileOCTO Technology Suisse
 
Paris Innovation & New tech - Meetup #2 - API Economy
Paris Innovation & New tech - Meetup #2 - API EconomyParis Innovation & New tech - Meetup #2 - API Economy
Paris Innovation & New tech - Meetup #2 - API EconomyOlivier FLOCH
 
Qu'est ce qu'une API en 2019
Qu'est ce qu'une API en 2019Qu'est ce qu'une API en 2019
Qu'est ce qu'une API en 2019Laurent Yin
 

Similaire à Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les mythes et croyances de l'API (20)

Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?Êtes-vous API dans votre organisation ?
Êtes-vous API dans votre organisation ?
 
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses"
 
Qu'est ce qu'une api en 2019 ?
Qu'est ce qu'une api en 2019 ? Qu'est ce qu'une api en 2019 ?
Qu'est ce qu'une api en 2019 ?
 
API Management
API ManagementAPI Management
API Management
 
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKIGestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKI
 
Petit déjeuner Octo - L'infra au service de ses projets
Petit déjeuner Octo - L'infra au service de ses projetsPetit déjeuner Octo - L'infra au service de ses projets
Petit déjeuner Octo - L'infra au service de ses projets
 
Petit-déjeuner OCTO - L'Infra au service de ses projets
Petit-déjeuner OCTO - L'Infra au service de ses projetsPetit-déjeuner OCTO - L'Infra au service de ses projets
Petit-déjeuner OCTO - L'Infra au service de ses projets
 
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
La Duck Conf - "Elle est ou ton appli ? Dans mon kube"
 
Du craft chez les OPS
Du craft chez les OPSDu craft chez les OPS
Du craft chez les OPS
 
pfe book 2023 2024.pdf
pfe book 2023 2024.pdfpfe book 2023 2024.pdf
pfe book 2023 2024.pdf
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligne
 
Business API - Tout ce que vous avez toujours voulu savoir sur les API sans j...
Business API - Tout ce que vous avez toujours voulu savoir sur les API sans j...Business API - Tout ce que vous avez toujours voulu savoir sur les API sans j...
Business API - Tout ce que vous avez toujours voulu savoir sur les API sans j...
 
Be Googley, a corporate culture for innovation
Be Googley, a corporate culture for innovationBe Googley, a corporate culture for innovation
Be Googley, a corporate culture for innovation
 
La Duck Conf : "Observabilité"
La Duck Conf : "Observabilité"La Duck Conf : "Observabilité"
La Duck Conf : "Observabilité"
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
 
L'ADN d'un développement produit réussi
L'ADN d'un développement produit réussiL'ADN d'un développement produit réussi
L'ADN d'un développement produit réussi
 
Réussissez le développement de votre prochaine application web ou mobile
Réussissez le développement de votre prochaine application web ou mobileRéussissez le développement de votre prochaine application web ou mobile
Réussissez le développement de votre prochaine application web ou mobile
 
Paris Innovation & New tech - Meetup #2 - API Economy
Paris Innovation & New tech - Meetup #2 - API EconomyParis Innovation & New tech - Meetup #2 - API Economy
Paris Innovation & New tech - Meetup #2 - API Economy
 
Qu'est ce qu'une API en 2019
Qu'est ce qu'une API en 2019Qu'est ce qu'une API en 2019
Qu'est ce qu'une API en 2019
 
Démystifions l'API-culture!
Démystifions l'API-culture!Démystifions l'API-culture!
Démystifions l'API-culture!
 

Plus de OCTO Technology

Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéOCTO Technology
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudOCTO Technology
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...OCTO Technology
 
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...OCTO Technology
 
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...OCTO Technology
 
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Technology
 
OCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Technology
 
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...OCTO Technology
 
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Technology
 
Comptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanComptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanOCTO Technology
 
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? OCTO Technology
 
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...OCTO Technology
 
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...OCTO Technology
 
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionLe Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionOCTO Technology
 
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...OCTO Technology
 
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...OCTO Technology
 
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...OCTO Technology
 
RefCard Tests sur tous les fronts
RefCard Tests sur tous les frontsRefCard Tests sur tous les fronts
RefCard Tests sur tous les frontsOCTO Technology
 
RefCard RESTful API Design
RefCard RESTful API DesignRefCard RESTful API Design
RefCard RESTful API DesignOCTO Technology
 

Plus de OCTO Technology (20)

Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
 
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
 
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
 
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeurs
 
OCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture Test
 
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
 
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend web
 
Refcard GraphQL
Refcard GraphQLRefcard GraphQL
Refcard GraphQL
 
Comptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanComptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/Leaseplan
 
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
 
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
 
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
 
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionLe Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
 
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
Le Comptoir OCTO - Une vision de plateforme sans leadership tech n’est qu’hal...
 
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...
Le Comptoir OCTO - L'avenir de la gestion du bilan carbone : les solutions E...
 
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
Le Comptoir OCTO - Continuous discovery et continuous delivery pour construir...
 
RefCard Tests sur tous les fronts
RefCard Tests sur tous les frontsRefCard Tests sur tous les fronts
RefCard Tests sur tous les fronts
 
RefCard RESTful API Design
RefCard RESTful API DesignRefCard RESTful API Design
RefCard RESTful API Design
 

Petit-Déjeuner : L'API ne fait pas le moine : Confessions d'experts sur les mythes et croyances de l'API

  • 1.
  • 2. ● Petit-déjeuner API du jeudi 6 mars 2014 OCTO©2017-Unauthorizedpropagationprohibited.Forinternaluseonly. ● Création d’une tribu WOAPI en Août 2014 ● 3 années de coaching et d’implémentation API ● L’heure d’un bilan
  • 3. Agenda L’API NE FAIT PAS LE MOINE Confessions d’experts sur les mythes et croyances de l’API 9h30. API Essentials 11h. Retours d'expérience 11h30. 7 Mythes de l'API Unauthorizedpropagationprohibited.Forinternaluseonly. 10h. Une API sécurisée en 30 minutes 10h30. Pause échanges 12h. Mot de la fin, conclusion
  • 4. ...about me, myself & I Antoine CHANTALOU Head of API & Web Architectures @ OCTO +33 6 27 13 11 21 achantalou@octo.com 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
  • 5. API ESSENTIALS Notre vision d’après nos retours d’expérience 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
  • 6. AGENDA OCTO TECHNOLOGY > THERE IS A BETTER WAY 6 VISION ◉Enjeux ◉Niveau d’ouverture ◉Modèles d’affaires ◉Définition DESIGN API ◉Pourquoi le design est important ◉Good design / bad design ARCHITECTURE ◉SOA ◉API Management ◉Patterns d’intégration ORGANISATION ◉API SQUAD ◉Rôles et responsabilités ◉Scaling API T2M Attra ctivit é
  • 8. ATAWAD ◉ Ces dernières années, de nouveaux terminaux digitaux sont apparus ◉ La manière dont nous construisons nos applications et nos SI, est bouleversée ◉ Si I’IoT connaît le même succès, la révolution digitale va s’accentuer ◉ Les problématiques « d’omnicanalité » et de « cross-devices » sont résumées par l’acronyme « ATAWAD » > Anytime, Anywhere , Any Device Les usages digitaux sont en constante évolution OCTO TECHNOLOGY > THERE IS A BETTER WAY 8
  • 9. « All service interfaces, without exception, must be designed from the ground up to be externalizable. That is to say, the team must plan and design to be able to expose the interface to developers in the outside world. No exceptions. Anyone who doesn't do this will be fired. Thank you; have a nice day! L’OUVERTURE DU SI Les visionnaires OCTO TECHNOLOGY > THERE IS A BETTER WAY 9 Jeff Bezos CEO, Amazon Internal communication – 2002 Créer de nouveaux modèles d’affaires « Outsourcer » l’innovation
  • 10. LES OPEN-API PERMETTENT D’ADRESSER LES USAGES DIFFÉREMMENT OCTO TECHNOLOGY > THERE IS A BETTER WAY 10 Statistiques d’utilisation de Twitter VS Api.twitter.com : Applications offrant des usages sur la base du service proposé par Twitter (ex: être notifié pour certains types de tweets, constituer des listes...) 75%API Site « mère » : Twitter.com, fonctionnalités de base 25%SITE
  • 11. API Une API (Application Programming Interface) est un ensemble normalisé de classes, de méthodes ou de fonctions qui sert de façade par laquelle un logiciel offre des services à d'autres logiciels. Définition OCTO TECHNOLOGY > THERE IS A BETTER WAY 11
  • 12. API L’API est l’industrialisation du processus de consommation des ressources de l'entreprise sur le WEB. Définition OCTO TECHNOLOGY > THERE IS A BETTER WAY 12 WEB + Portail Développeur + TTFAC* & DX** + X-device / X-channel + API Management + HTTP + Design API + RESTful Industrialisation * "Time To First API Call” le temps nécessaire à un développeur pour consommer l’API en production après s’être enregistré sur le portail développeur. Nous ciblons 15 minutes. ** “Developer experience”. L’API est utilisée par des humains. Nous ciblons une adoption massive sur tous les canaux. L’API doit être conçue et implémentée par des artisans codeurs.
  • 13. L’API DANS LES ENTREPRISES Où en sommes nous ? OCTO TECHNOLOGY > THERE IS A BETTER WAY 13
  • 15. DESIGNER UNE API ◉ APIs internes/partenaires > Une API mal « designée » sera utilisée par les développeurs > Mais ils seront « lents » ◉ Open API > Une API mal « designée » ne sera pas utilisée Le design d’une API est-il important ? OCTO TECHNOLOGY > THERE IS A BETTER WAY T2M Attractivité
  • 16. 16 DESIGNER UNE API Qu’est ce qu’une API bien designée ? OCTO TECHNOLOGY > THERE IS A BETTER WAY Une API bien « designée » Suit les standards HTTP S’inspire des API des Géants du Web Est simple et externalisable Offre une bonne affordance* L’affordance est la capacité d’un objet à suggérer son utilisation. Bad Design
  • 18. NOTRE VISION « Etat de l’art » des architectures d’aujourd’hui OCTO TECHNOLOGY > THERE IS A BETTER WAY 18 Web Oriented Architecture Multiple and disposable GUIs Scalable RESTful MICROSERVICES Distributed STORAGE Web Oriented ArchitectureWOA Cloud Cloud Responsive Website Browser 42 API Consumers Partners, internal & external developers 47 lOT 11 % Native Apps API customers API products API contents Headless CMS https://api.foo.com/ AAA API Gateway OpenID Connect / OAuth2
  • 19. OCTO TECHNOLOGY > THERE IS A BETTER WAY 19 VSSOAP REST
  • 20. 20 SOAP VS REST Quel futur pour SOAP ? OCTO TECHNOLOGY > THERE IS A BETTER WAY “SOAP is not dead, it’s undead: it’s a zombie in the Enterprise” SOAP
  • 21. API MANAGEMENT API MANAGEMENT Cartographie fonctionnelle OCTO TECHNOLOGY > THERE IS A BETTER WAY 21 GATEWAY: API single entry point SECURITY Throttling, DOS Authentication Authorization Accounting DEVELOPER PORTAL Enrolment API Documentation, & Try-It Interfaces Support: FAQ, Forum API MANAGEMENT PORTAL Authorization of apps & users Usage Statistics Quotas/throttling Reporting API Facade Building the API: Transformation, Mashup … an ESB ! COMPLEX USE WITH CAUTION ! API MANAGEMENT FRONT APPLICATIONS BACKENDS CORE-IT SECURITY DEVELOPER PORTAL API MANAGEMENT PORTAL GATEWAY API FACADE New software blocks
  • 22. BUILD VS BUY OCTO TECHNOLOGY > THERE IS A BETTER WAY 22 BPO* commun à toutes les entreprises perçu comme une ressource Portail API & sécurité Portails d’API Management Portail développeur Sécurité API L’API devient le point d’entrée de votre CORE IT ● Critique & différenciant ● Clé pour un avantage compétitif Les solutions d’API Management sont inefficaces pour bâtir de bonnes API commun à toutes les entreprises du secteur perçu comme un atout de production *Business Process Outsourcing Ressources moins cher Actifs stratégiques et innovations plus vite unique, différenciant perçu comme un atout concurrentiel
  • 23. 23 ARCHITECTURE - LES PATTERNS D’INTÉGRATION API Façade API monolithique (ESB) API MANAGEMENT FRONT APPLICATIONS BACKENDS CORE-IT SECURITY DEVELOPER PORTAL API MANAGEMENT PORTAL GATEWAY API FACADE New software blocks OCTO TECHNOLOGY > THERE IS A BETTER WAY
  • 24. 24 ARCHITECTURE - LES PATTERNS D’INTÉGRATION API Services / Microservices OCTO TECHNOLOGY > THERE IS A BETTER WAY API MANAGEMENT FRONT APPLICATIONS BACKENDS CORE-IT SECURITY DEVELOPER PORTAL API MANAGEMENT PORTAL GATEWAY New software blocks API API API
  • 26. ORGANISATION 26 Ideal Agile Team Autonomous & responsible Team A SQUAD per product Recommended for strategic products where T2M is a stake The PO says “this json attribute is returned” By the end of the iteration (at least) the feature is deployed in production Extreme focus on the “product” : Minimal dependencies & frictions AGILE SQUAD ⦿ Animate External Developers community (API users) ⦿ Social networking ⦿ Administrate developer portal Community manager [Marketing] (when it makes sense) ⦿ Design/develop the API ⦿ Write API documentation ⦿ Measure and improve API performances ⦿ Write unit automated test Tech-lead / Devs [IT] ⦿ Collect and prioritize users requirements ⦿ Responsible for API success ⦿ Define Follow-up indicators ⦿ Measure, learn and build Product Owner [Business/IT] ⦿ Co-design API resources ⦿ Write automated functional tests (TDR) Business analysts [Business] ⦿ Automated testing ⦿ Automated deployment ⦿ Scalability (elasticity) and SLA OPS [IT] A P I S Q U A D OCTO TECHNOLOGY > THERE IS A BETTER WAY
  • 27. TAKE AWAY OCTO TECHNOLOGY > THERE IS A BETTER WAY 27 VISION ◉2 enjeux ○ ATAWAD ○ Ouverture de l’entreprise ◉Définition ○ WEB ○ Industrialisation de la consommation ◉ KPI : TTFAC DESIGN API ◉Bon design ○ Standards HTTP ○ Inspiré des GdW ○ Simple et externalisable ○ Affordant ARCHITECTURE ◉ SOA ○ SOAP == zombie ○ L’API ne se résume pas à une démarche d’urbanisation SOA IT ◉ API Management ○ Pas de silver bullet ○ Pour manager l’API (buy), pas pour la construire (build) ◉ Patterns d’intégration ○ API Façade == trajectoire ○ Resource providers découplé (Microservices) == cible ORGANISATION ◉API SQUAD ○ Clé du T2M ○ PO API global (métier/marketing)
  • 28. 34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM MERCI ! Antoine CHANTALOU Head of API & Web Architectures @ OCTO +33 6 27 13 11 21 achantalou@octo.com
  • 29. SÉCURISER SON API Sur le Web en 30 minutes 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM
  • 30. Simon RENOULT Consultant Expert Node.js & API @ OCTO +33 6 16 57 35 24 srenoult@octo.com 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM Florent JABY Consultant Expert Sécurité & API @ OCTO +33 6 69 12 43 57 fjaby@octo.com
  • 31. Raconte-nous une histoire... OCTO TECHNOLOGY > THERE IS A BETTER WAY 31 ☉ DSI d’une grande société d’ecommerce ☉ Parc applicatif composé d’APIs internes ☉ Disruption du marché par de nouveaux acteurs ☉ Perte de clients mais de nouvelles opportunités de business ☉ Nécessité d’ouvrir son SI ☉ Sécuriser son APIThomas Dupond, 54 ans Une DSI en renouvellement
  • 32. Un casting de choix OCTO TECHNOLOGY > THERE IS A BETTER WAY 32 Authorization Server Resource Provider Client End User Tour d’horizon...
  • 33. Concepts et rôles OCTO TECHNOLOGY > THERE IS A BETTER WAY 33 Service Utilise Connaît ÉcritConnaît Utilisateur Application Développeur
  • 34. Concepts et rôles OCTO TECHNOLOGY > THERE IS A BETTER WAY 34 Service Utilise Connaît ÉcritConnaît Utilisateur Application Développeur
  • 35. Live Coding Mettre en place OpenID Connect OCTO TECHNOLOGY > THERE IS A BETTER WAY 35 ☉ Utiliser un outil en ligne pour OpenID Connect ☉ Modifier l’API pour vérifier la validité d’un token à chaque appel
  • 36. Récupérer un token OpenID Connect Implicit Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 36 ☉ L’utilisateur est authentifié par le service ☉ Le service vérifie que l’application est sur liste blanche ☉ Un token est émis pour l’application ☉ Le token est transmis à l’application via URL en HTTPS
  • 37. Live Coding Récupérer un token valide via Implicit Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 37 ☉ Diriger l’utilisateur vers la mire de login lorsqu’aucun token n’est connu ☉ Récupérer le token dans l’URL lorsque l’on retourne sur l’application
  • 38. Live Coding Consommer l’API sécurisée ! OCTO TECHNOLOGY > THERE IS A BETTER WAY 38 ☉ Afficher l’identité de l’utilisateur avec /userinfo ☉ Récupérer et afficher le catalogue de produits
  • 39. Définir les droits d’une application La délégation de privilèges OCTO TECHNOLOGY > THERE IS A BETTER WAY 39 Un utilisateur ne peux que déléguer certains de ses droits à une application. Droits qui lui ont été octroyés par le service.
  • 40. Définir les droits d’une application Sens et utilisation du scope OCTO TECHNOLOGY > THERE IS A BETTER WAY 40 ☉ Un scope est un mot qui permet de définir des “tranches” de privilèges prêtes à la délégation ☉ Une manière de séléctionner un sous- ensemble des droits de l’utilisateur ☉ Une description explicite pour l’utilisateur de ce qu’il consent à déléguer
  • 41. Définir les droits d’une application Exemple de découpage pour notre cas d’usage OCTO TECHNOLOGY > THERE IS A BETTER WAY 41 Droits de l’utilisateur lèche-vitrine « l’application pourra consulter le catalogue de produits » comptabilité « l’application pourra accéder à votre historique de commandes et de factures » achat « l’application pourra passer commande en votre nom »
  • 42. Adapter le niveau de sécurité Les différents types d’applications OCTO TECHNOLOGY > THERE IS A BETTER WAY 42 Publiques Externes Internes / de confiance
  • 43. Adapter le niveau de sécurité Quand choisir Implicit Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 43 Publiques
  • 44. Adapter le niveau de sécurité Quand choisir Authorization Code Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 4 4 Externes Internes / de confiance
  • 45. Adapter le niveau de sécurité Quand choisir Client Credentials Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY 4 5 Externes Internes / de confiance
  • 46. Adapter le niveau de sécurité Quand choisir Resources Owner Credentials Grant OCTO TECHNOLOGY > THERE IS A BETTER WAY Internes / de confiance
  • 47. Conclusion OCTO TECHNOLOGY > THERE IS A BETTER WAY 47 ☉ Il existe des standards éprouvés de sécurisation d’API sur le web : Oauth2 et OpenID Connect ☉ Adopter ces standards vous permettent d’utiliser rapidement les bons outils sur étagère ☉ Ils tracent la route vers utilisation de masse de votre API
  • 48. Green refcard is out! OCTO TECHNOLOGY > THERE IS A BETTER WAY 48 ☉ Document de référence sur la sécurité des APIs ☉ Vulgarise OAuth2, OpenID Connect, API Key, JWT, Scopes, Claims, Bearer Token ☉ Liste les DOs and DONTs dans la mise en place d’une stratégie API sécurisée
  • 50. 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM Les APIs dans la vraie vie Retours d’expérience Antoine CHANTALOU Head of API & Web Architectures @ OCTO +33 6 27 13 11 21 achantalou@octo.com Daniel SABIN API Architecte @ OCTO +33 6 16 48 50 65 dsabin@octo.com
  • 51.
  • 52. 52 Enjeux ◉ Demande client : je veux un site responsive pour adresser les terminaux mobiles ◉ Proposition OCTO : API First, et un site responsive, > parce que la mode vestimentaire du site sera éphémère > parce que d’autres consommateurs vont apparaître OCTO TECHNOLOGY > THERE IS A BETTER WAY
  • 53. 53 Ce qu’on a fait ◉ Développement de l’API en production en 4 mois ◉ Ouverture à des nouveaux partenaires ◉ Accélération des cycles de release du site clubmed.fr OCTO TECHNOLOGY > THERE IS A BETTER WAY
  • 54. ARCHITECTURE Trajectoire façade, cible microservices OCTO TECHNOLOGY > THERE IS A BETTER WAY 54 FRONT BACKENDS CORE-IT SOCLE API FAÇADE API New software blocks FRONT BACKENDS CORE-IT SOCLE API APIAPI API Trajectoire: MVP (6 mois) Cible
  • 55. ORGANISATION Evolution de l’organisation OCTO TECHNOLOGY > THERE IS A BETTER WAY 55 Equipe Front EQUIPE API New software blocks Socle Front + Shopping BACKENDS CORE-IT Socle API + Shopping 2015: Réalisation d’un MVP - 2 component teams Booking Engine BACKENDS CORE-IT Espace Client Equipe Front EQUIPE API BACKENDS CORE-IT 1dev Espace Client 1dev Espace Client 2016: 2 projets FRONT - 2 component teams - 2 feature teams 2017: API as a Product - 2 component teams - 2 Dev Api qui tournent
  • 56. 56 BILAN ◉ L’organisation doit s’adapter aux nouveaux enjeux : Test & learn ◉ MVP API en prod en 4 mois, avec une SQUAD dédiée ! (socle API + façade API) ◉ Forts impacts de l’API sur l’organisation ◉ Feature team vs Component team : il faut aller jusqu’au bout ◉ La façade doit être temporaire, les API doivent descendre dans les back-offices car, avec le temps, évolutions et frictions entre Back et API Ce qu’on en retient
  • 57. 57
  • 58. 58 Enjeux ◉ Une marketplace qui permet à un utilisateur d’accéder à des services financiers (Prêts bancaires en ligne, etc...) ◉ Un login de la vie financière (Un login unique pour accéder à tous les services financier de la marketPlace) OCTO TECHNOLOGY > THERE IS A BETTER WAY
  • 59. 59 Ce qu’on a fait ◉ 5 mois au total dont 1 mois de cadrage jusqu’à la mise en production (SQUAD API) ◉ Développement d’un socle technique d’API management > Sécurité OpenID connect (2 flows) > Gateway d’exposition (Kong) ◉ Développement d’une façade sur les services existants disponibles en B2B > Environ une quinzaine de ressources qui couvrent tout le périmètre fonctionnel de LINXO ◉ Aidé à la mise en place d’un Resource Provider couvrant un nouveau scope fonctionnel (micro- service) OCTO TECHNOLOGY > THERE IS A BETTER WAY
  • 60. 60 ARCHITECTURE ◉ Si l’ambition est de réaliser une API à l’état de l’art ⇒ l’architecture est compliquée ◉ La solution est personnalisée (Pas d’achat de progiciel auto-magique qu’on a intercalé au milieu du SI) OCTO TECHNOLOGY > THERE IS A BETTER WAY Socle API complet
  • 61. 61 ORGANISATION ◉ SQUAD API: + Focus 100% sur le produit API (Technique + Fonctionnel) + Auto-organisée + 100% Agile OCTO TECHNOLOGY > THERE IS A BETTER WAY Product Owner Développeur API OPSLeader Technique Une SQUAD API
  • 62. 62 BILAN ◉ L’ouverture sur internet est compliqué > Pas de portail développeur adapté > Pas de sécurité prête à l’emploi capable de gérer les besoins complexes LINXO ◉ LINXO a fait un grand pas en avant dans sa stratégie API ◉ SQUAD API ça fonctionne ◉ Pas d’outil build pour répondre à des besoins spécifiques et complexes Ce qu’on en retient
  • 63. 63 Ce qu’on a fait https://developers.axa-assistance.com/ OCTO TECHNOLOGY > THERE IS A BETTER WAY
  • 64. 64 Ce qu’on a fait ◉ Un socle technique API > Gateway > Sécurisation OAuth2 (1 flow) > Portail développeur > Portail de supervision ◉ Un MVP de ressources > informations sur les pays où AXA assistance est présent > information sur les organismes médicaux affiliés AXA dans ces pays https://developers.axa-assistance.com/ OCTO TECHNOLOGY > THERE IS A BETTER WAY
  • 65. 65OCTO TECHNOLOGY > THERE IS A BETTER WAY ARCHITECTURE TECHNIQUE ◉ Les changements technologiques qu’on a apporté > Culture 100 % Microsoft, Azure > Utilisation de : + Linux, Node.js, nginx, AWS, 3Scale, Github, Travis… ◉ Pourquoi ? > Fort T2M souhaité (3 mois) + => Emploi de technologies éprouvées par OCTO
  • 66. ORGANISATION Une SQUAD OCTO/AXA sur site OCTO TECHNOLOGY > THERE IS A BETTER WAY ◉ Les changements méthodologiques qu’on a apportés : > Scrum avec des SQUAD > Mode léger, uniquement les rôles basiques > Quasi rien en dehors du Scrum Guide > 100% visual management, pas d’outil DEV Guillaume Scrum master Yoram PO Anne-Lise OPS Pierre-Oliver OPS Thierry DEV Yoram Squad Coach PO Antoine DEV Emeric Coach Tech-lead + scrum master Sébastien Coach OPS Laurent Sponsor Jean-baptiste
  • 67. 67OCTO TECHNOLOGY > THERE IS A BETTER WAY Premières itérations ☉ IT#0 : en deux semaines > API Management OK > 7 ressources > OAuth2 (un flow) > enrollment en 15mn > une IHM de démo > déploiement manuel en production sur AWS > IC/Travis UP & running > 50 participants @ notre première DEMO ☉ IT#1 : en 4 semaines > déploiements automatiques en production sur AWS + sur PR
  • 68. 68 BILAN ◉ D’excellent profils coté client ◉ Apport d’une expertise API & SQUAD OCTO > Une API en production en 4 mois > TTFAC de 15mn > Une rupture technologique est possible : passage sur une stack à l’état de l’art, maîtrisée en interne > Une rupture organisationnelle est possible : une SQUAD qui maîtrise l’agile par l’exemple > Coaching par l’exemple ◉ Fort sponsorship côté client pour rendre la SQUAD autonome ◉ Une aventure humaine ◉ Limitations : > Unicité des identités > APIifier son SI, c’est long ! Ce qu’on en retient
  • 69. 34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM Merci
  • 70. 7 CONVICTIONS SUR LES API WEB OCTO TECHNOLOGY > THERE IS A BETTER WAY 70
  • 71. PRÉSENTATION API 7 CONVICTIONS SUR L’API Wojciech WOJCIK Consultant, Senior architect @ OCTO +33 6 59 83 24 36 wwojciech@octo.com 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM Julien VIGNOLLES Consultant, Ruby expert & API evangelist @ OCTO +33 6 09 31 57 73 jvignolles@octo.com
  • 72. #1 Si vous n’offrez pas une Open API, quelqu’un le fera à votre place OCTO TECHNOLOGY > THERE IS A BETTER WAY 72
  • 73. De nombreux acteurs « volent » déjà vos données OCTO TECHNOLOGY > THERE IS A BETTER WAY 73
  • 74. QUELS SONT MES GAINS ? ◉ Surveiller et gérer la consommation de mes ressources ◉ Connaître l’origine de ma consommation ◉ Connaître mes consommateurs ◉ Et peut-être monétiser OCTO TECHNOLOGY > THERE IS A BETTER WAY 74
  • 75. QUELQUES EXEMPLES D’API HACKÉES : LA DGFIP OCTO TECHNOLOGY > THERE IS A BETTER WAY 75 API Particulier
  • 76. QUELQUES EXEMPLES D’API HACKÉES : LES BANQUES OCTO TECHNOLOGY > THERE IS A BETTER WAY 76 QUELQUES EXEMPLES D’API HACKÉES : LES BANQUES
  • 77. #2 Ouvrez vos APIs sur Internet !
  • 79. Utilisateur Service LES ANCIENNES TRADITIONS VPN WAF FIREWALL IPS IDS IP Bienvenue ! Je fais confiance aux murs
  • 80. Utilisateur Service AUJOURD’HUI, LA SÉCURITÉ APPLICATIVE HTTPS C’est qui ? C’est pour quoi faire ?
  • 82. Services internes BACKEND1 BACKEND2 BACKEND3 > Authentification > Autorisation > Droits fins Mobile Web Partenaire VPNCookieToken Intranet ???Open API Firewall BACKEND4 ??? API Key ??? EXPOSITION AD-HOC
  • 83. UN CANAL : INTERNET ! APIs Mobile Web Partenaire > Authentification > Autorisation > Droits fins Intranet Open API SÉCURITÉ Cloud Ready Application
  • 84. Internet infiltre les entreprises, Il doit être le canal par défaut pour communiquer 8 4
  • 85. #3 Une stratégie d’API est d’abord un sujet organisationnel et culturel OCTO TECHNOLOGY > THERE IS A BETTER WAY 85
  • 86. Les organisations qui conçoivent des systèmes sont contraintes de produire des modèles qui sont des copies de leur propre structure de communication. OCTO TECHNOLOGY > THERE IS A BETTER WAY 86 Loi de Conway (1968)
  • 87. DEMAIN, PAR QUOI COMMENCER ? OCTO TECHNOLOGY > THERE IS A BETTER WAY 87 MVP Bénéfices Délai avant ROI Squad Feature teams Build vs buy Culture Culture & technologie Organisation
  • 88. #4 L’API n’est pas un progiciel (d’API Management) 88
  • 89.
  • 91. ATTENTION À LA CONCENTRATION DU POUVOIR un progiciel CONWAY RATIONALISATION ELDORADO #RappelleToiLesESBs une équipe un goulet d’étranglement une complexité qui explose
  • 92. CONVICTION 5 ◉ L’API est un produit OCTO TECHNOLOGY > THERE IS A BETTER WAY 92 #5 L’API est un produit
  • 93. PROJET VS PRODUIT OCTO TECHNOLOGY > THERE IS A BETTER WAY 93 PROJET Budget fixe Usage unique Mesure de la production Conduit par des dates Se termine avec de la maintenance Focus interne Peu ou pas de marketing PRODUIT Budget variable Réutilisable Basé sur le résultat Conduit par des résultats Se termine quand il n’y a plus de besoins clients Focus client Marketing évangélique
  • 94. LA DEVELOPER EXPERIENCE (DX), L’EXEMPLE DE STRIPE OCTO TECHNOLOGY > THERE IS A BETTER WAY 94
  • 95. #6 La façade est faite pour disparaître OCTO TECHNOLOGY > THERE IS A BETTER WAY 95
  • 96. LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE EXPOSITION API LA FAÇADE API, UN CONCEPT ORGANISATIONNEL
  • 98. 98 LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE FAÇADE API Cycle en V Agile Orga Synchro H24 7/7 Lent Ferme la nuit Rationalisation Besoins TTM Innovation UX Frontière Goulet MAIS SUR LA DURÉE… Règles Performance
  • 99. 99 LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE FAÇADE API Cycle en V Agile Orga Synchro H24 7/7 Lent Ferme la nuit Besoins TTM Innovation UX Frontière Goulet MAIS SUR LA DURÉE… Règles Performance Rationalisation
  • 100. 10 0 LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE FAÇADE API Cycle en V Agile Orga Synchro H24 7/7 Lent Ferme la nuit Besoins TTM Innovation UX Frontière Goulet MAIS SUR LA DURÉE… Règles Performance Rationalisation
  • 101. 10 1 LE SERVICE AU FIN FOND DU SI CONSOMMATEURS EQUIPE FAÇADE API Cycle en V Agile Orga Synchro H24 7/7 Lent Ferme la nuit Besoins TTM Innovation UX Frontière Goulet MAIS SUR LA DURÉE… Règles Performance Rationalisation
  • 102. 10 2 Service 1 CONSOMMATEURS API LE COUP DE BAGUETTE MAGIQUE Service 2 API Service 3 API Service 4 API GATEWAY
  • 104. #7 L’API HYPERMEDIA EST À TESTER OCTO TECHNOLOGY > THERE IS A BETTER WAY 104
  • 105. POURQUOI PERSONNE N’EN FAIT ? ◉ Pas de format (media type) standard ◉ Peu de frameworks et d’outils ◉ HTTP et les URI font déjà beaucoup pour REST ◉ Manque d’exemples, de success story OCTO TECHNOLOGY > THERE IS A BETTER WAY 105
  • 106. NOTRE RETOUR D’EXPÉRIENCE : À TESTER ◉ Est simple à mettre en place sur une API déjà existante ◉ Permet une compatibilité ascendante (via pattern représentant) ◉ Offre une meilleure affordance et évolutivité OCTO TECHNOLOGY > THERE IS A BETTER WAY 106
  • 107. HYPERMEDIA : PAR OÙ COMMENCER ? OCTO TECHNOLOGY > THERE IS A BETTER WAY 107 Transformer votre API Web en une API hypermedia Article de blog On en parle !
  • 108. 34, AV. DE L’OPÉRA 75002 PARIS FRANCE > WWW.OCTO.COM MERCI ! Julien VIGNOLLES Consultant, Ruby expert & API evangelist @ OCTO +33 6 09 31 57 73 jvignolles@octo.com Wojciech WOJCIK Consultant, Senior architect @ OCTO +33 6 59 83 24 36 wwojciech@octo.com
  • 109.
  • 110. NOUS CONTACTER tribu-woapi@octo.com OCTO TECHNOLOGY > THERE IS A BETTER WAY 110 WOAPI 23 OCTO Coaching API Stratégie API Sécurité API Cadrage API Audit API Delivery API ● Technologies : Nodejs, Java, Ruby, PHP, etc. ● API Management
  • 111. ● API : Ouvrir son SI & développer son modèle d’affaire ● Développer son API avec nodejs ● Développer son API avec java ● Développer son API avec php ● Sécuriser et manager son API Consulting & Transformation Training Program myUSI Conferences OCTO ACADEMY Unauthorizedpropagationprohibited.Forinternaluseonly.
  • 112. R.O.T.I Return on time invested From1 5To Unauthorizedpropagationprohibited.Forinternaluseonly.
  • 113. LA CONFÉRENCE VOUS A PLU ? Nos équipes sont là pour récupérer votre questionnaire de satisfaction à la sortie ! OCTO TECHNOLOGY > THERE IS A BETTER WAY 113
  • 114. MERCI ! 34 AVENUE DE L’OPÉRA > 75002 PARIS > FRANCE > WWW.OCTO.COM