Zjednodušte si život, integrujte s API

21. září 2017

Jedním z dlouhodobých trendů v oblasti integrace je efektivní propojování nejen interních systémů, ale i jednotlivých obchodních společností včetně integrace na regulátory. Aktuálně je silným motivem legislativní tlak kvůli evropské směrnici PSD 2 a také stále silnější požadavky efektivnějšího sdílení a vytěžování informací. A nelze zapomenout na bezpečnostní hledisko, které hraje důležitou roli zejména s ohledem na sdílení zákaznických dat.

Vše zmíněné nevyhnutelně vede k zavádění platforem pro řízení rozhraní, tedy k takzvanému API Managementu. Úspěšná implementace takové platformy přináší celé organizaci možnost bezpečného a řízeného poskytování API rozhraní jak dovnitř, tak vně společnosti. Jak však dosáhnout tohoto stavu a co nepřehlédnout? Vezměme to popořádku.

Na počátku byl internet aneb rozvoj on-line B2B integrace.

Po roce 2000 se s rozvojem dostupnosti internetu začala prosazovat on-line integrace mezi obchodními společnostmi (tzv. B2B integrace), zmiňme například propojení bankovních ústavů na Českou národní banku, na Bankovní i Nebankovní registr, propojení s telefonními operátory či ze zcela jiného soudku komunikaci mezi distributorem léčiv a lékárnami. B2B však není tématem pouze v komerčním sektoru, ale značná část eGovernmentu, tedy elektronizace státní správy, je založena na propojování stovek jednotlivých úřadů a tisíců agendových systémů. Důležitá bývá také výměna informací v rámci finančních skupin, které mohou zahrnovat banky, stavební spořitelny nebo penzijní a investiční společnosti. Jejich zákazníci vyžadují data ze všech produktů na jednom místě on-line dostupná. To vše vyžaduje spolehlivou, zabezpečenou výměnu informací.

Technologický exkurz – od TCP/IP po REST API

Počátky mezifiremní komunikace byly ve znamení mnoha proprietárních komunikačních protokolů v různých programovacích jazycích napsaných nad TCP/IP, později s SSL zabezpečením – certifikáty. Následně přišel standard v podobě webových služeb (web services), tedy uzavřených byznys operací, které jednotlivé společnosti vystavují – je dán formát popisu i formát komunikace (WSDL/SOAP), ať už zabezpečený nebo ne. Díky širokému rozšíření je to dnes běžný formát komunikace v B2B segmentu. V posledních několika letech začíná na oblíbenosti získávat způsob komunikace založený na principu REST, který je orientován datově, a ne procedurálně a definuje
jasně ohraničenou množinu operací, jež lze nad daty (neboli zdroji) realizovat. Z hlediska formátu přenášených dat se nejčastěji používá JSON, který umožňuje efektivnější zápis než XML, na němž je založen již zmíněný SOAP. Oproti webovým službám pak REST neřeší zabezpečení, atomicitu transakcí ani spolehlivé doručení a je bezstavový. Avšak díky jednoduchosti a srozumitelnosti používání se stále více prosazuje ve světě B2B on-line komunikace: termín REST API začíná tuto doménu ovládat. Nejčastěji se pro specifikaci REST API používá OpenAPI Specification (dříve Swagger Specification), ale jsou i jiné jako WADL, RAML, API Blueprint a další. Existuje i standard OAuth, zajišťující zabezpečení volání REST API.

Nasměrováno k fenoménu API Management

Aby bylo možné REST API volat, musí být napřed někde vystavené, popsané a zabezpečené. Zde je několik možností – jednou z nich je vybudovat si vlastní platformu pro poskytování API. Tato varianta je náročná na vstup
ní analýzu, čas na implementaci a následný rozvoj. Druhou možností je využít jeden z hotových produktů na řízení API, tedy API Management platformu – k dispozici jsou varianty komerční, open source, cloud i on-premise. Hotová řešení mají tu výhodu, že umožňují nejen velmi rychle pokrýt základní požadavky (zabezpečení, škálovatelný výkon, monitoring, řízení úrovně poskytovaných služeb –SLA–, transformaci dat, napojení na interní systémy), ale nabízejí i různá rozšíření. Například vývojářský portál, kde si vývojáři třetích stran mohou konstruovat vlastní API, mají zde dokumentaci, příklady a další materiály – jako zástupce zmiňme IBM API Connect, WSO2 API Manager nebo CA API Management. Nevýhodou je zejména cena u komerčních produktů a také jistá svázanost s filozofií daného produktu a jeho tvůrců. Všechny produkty, ať už placené nebo volně dostupné, procházejí velmi intenzivním vývojem a neustálým vylepšováním a přidáváním nových funkcí. Zcela zásadní přidanou hodnotou API Management platformy je možnost vytvářet svá vlastní API i pro „neIT“ uživatele, čímž se rapidně zrychlí time-to-market některých služeb. IT pak dbá na splnění základních pravidel vystavování API, tj. musí být zavedené řízení API.

"Aktuálně je silným motivem legislativní tlak kvůli evropské směrnici PSD 2 a také stále silnější požadavky efektivnějšího sdílení a vytěžování informací. A nelze zapomenout na bezpečnostní hledisko, které hraje důležitou roli zejména s ohledem na sdílení zákaznických dat."

API Management jako součást strategie

API Management platforma je však pouze nástroj, který umožňuje vystavovat a řídit využívání API. Pro efektivní práci s API je třeba adresovat další oblasti. A zde vnímáme jedno z hlavních úskalí práce s API, se kterými se
v rámci našich projektů setkáváme – podcenění byznys záměru a nastavení a vynucování řízení API. Pokud chce společnost vystavit svá API, tak musí mít jasný cíl, který chce pomocí přístupných API naplnit. Podle toho by pak měla přistoupit k dalším nastavením. Musí vyřešit zabezpečení a omezení přístupu – počínaje otázkou, zda konzument API bude mít povinnou registraci, zda budou API omezena co do počtu/četnosti volání, zda budou volně dostupná, nebo zpoplatněná. Dále pak jak se bude realizovat verzování, odstavení nepodporovaných API, jak časté budou nové verze API, jak budou změny komunikovány. A tím se dostáváme k nutnosti mít vyřešen celý životní cyklus API – od návrhu přes implementaci (napojení na další interní systémy) až po testování a uvedení do produkce, včetně vyřešení propagace API mezi jednotlivými prostředími. V rámci testování mají konzumenti k dispozici tzv. sandbox, kde jsou hotová API, ale pracují s testovacími daty. API je však nutno před publikací důkladně otestovat interně, takže se řeší SIT/UAT prostředí. Z výše uvedeného vyplývá, že API governance není jednoduchá disciplína a organizace, které chtějí problematiku API správně uchopit, musí kromě implementace nástroje také investovat čas a prostředky do nastavení řízení API napříč celou firmou.

API a bankovní segment

Jedním z hlavních motivátorů implementace API Managementu v prostředí České republiky, jak již bylo naznačeno v úvodu, je nutnost naplnit direktivu Evropské unie PSD 2, která bankám nařizuje umožnit provádění transakcí a přístup k informacím o účtech třetím subjektům. Direktiva byla schválena v říjnu 2015 a členské země od tohoto data mají dva roky na její promítnutí do svých zákonů. V současné době vydala EBA (European Banking Authority) pro tuto oblast rozpracovaný regulatorní technický standard. Bohužel je tento standard v některých oblastech neurčitý a umožňuje vícero výkladů, což vede k tomu, že si jej každá banka může naimplementovat trochu jinak. Kromě naplnění PSD 2 však banky hledají i další využití API platformy: vybudování rozhraní mezi portálovými/mobilními aplikacemi a interními systémy (případně integrační vrstvou, pokud veškerou komunikaci zprostředkovává ESB), rozhraní pro komunikaci mezi členy skupiny a další.Některé banky začaly API pro určitou obchodní oblast poskytovat dávno před PSD 2 direktivou – příkladem budiž Fio banka, která základní množinu API zpřístupnila již v roce 2012. Druhým zástupcem je pak největší banka na českém trhu, a sice Česká spořitelna, která svůj projekt WebAPI, běžící od roku 2015, průběžně rozšiřuje. Všechny ostatní banky se postupně zapojují a otázku API Managementu velmi intenzivně řeší.

Nebojte se zjednodušit integraci pomocí API

Díky dostupným platformám pro API Management je možné velmi efektivně a bezpečně komunikovat na poli B2B bez hluboké znalosti integrace a složitých datových formátů. Zásadním způsobem se tím zkrátí TTM u nových služeb i při realizaci nutných změn (například legislativních). Je však nutné mít vždy na paměti, že i v případě API je nutné v rámci organizace jednotně nastavit a udržovat jejich životní cyklus. S tím i s implementací API Management platformy může pomoci vhodně zvolený partner, který klienta dokáže provést jak technologickými, tak procesními aspekty.