Skip to main content
API Manager

Amplía tu negocio mediante “Gestión de APIs” con WSO2 API Manager

1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (Ninguna valoración todavía)
Cargando…

El mundo de las APIs está llegando con fuerza no solo al mundo de la informática, sino también del negocio. Veámos como el producto WSO2 API Manager nos puede ayudar.

En una anterior entrada hablé sobre el concepto de API, su cadena de valor y los problemas de seguridad inherentes. Pero podemos ir más allá, las empresas ven en las APIs no solo una forma de ampliar su negocio, sino también, por qué no, de ganar dinero exponiendo APIs al mundo.

Gobierno

Pero como ya hemos comentado anteriormente existen problemas que hay gestionar y no solo hablamos de seguridad, sino de gestión. Todos conocemos el concepto de gobierno SOA y los intentos por llevarlo a cabo.

¿Qué os parecería poder gobernar tus APIs? Hablamos de ciclo de vida y visibilidad al exterior de forma segura.

Y sobre todo, ¿os gustaría poder controlar a los que las usan?, identificar aplicaciones, controlar su utilización y poder así establecer cobro por uso.

Gestión de Apis

Para responder a estas preguntas surge el concepto, Gestión de APIs. Desde GFI y yo personalmente creemos firmemente en este concepto y os podemos ayudar a hacerlo realidad. En nuestra experiencia y trayectoria hemos usado para la implantación de este concepto varios productos y hoy me gustaría hablaros de uno en concreto, que considero el más equilibrado del mercado (lo que se dice bueno, bonito y barato).

API Manager de WSO2

Hemos hablado de WSO2 en otras entradas del blog aquí nos centraremos en un producto cerrado. La respuesta a la Gestión de APIs es WSO2 Api manager.

¿Qué es?

WSO2 Api Manager es una solución de gestión de APIs que ayuda a una empresa con las siguientes funcionalidades:

  • Tienda de APIs. Poder buscar y subscribir o comprar APIs
  • Gestión y protección. Gestionar, securizar y proteger tus APIs
  • Monitorización. Monitorizar y monetizar su uso

Está basado en tecnología probada y madura de otros componentes de WSO2 como el bus WSO2 ESB, el registro WSO2 GREG y el sistema de Gestión de Identidades WSO2 IS, usados con éxito en cientos de clientes a lo largo del mundo.

Roles

Basándose en buenas prácticas SOA y en la experiencia recogida, en el flujo trabajo de Gestión de APIs se establecen diferentes roles de trabajo:

  • Creador. Entiende requisitos de negocio y construye las APIs que los implementan. Se encarga de gestionar su escalabilidad y recibir el feedback de su uso para poder evolucionarlas.
  • Publicador. Gestiona el ciclo de vida de las APIs y establece las políticas de seguridad, monitorización y de uso.
  • Consumidor. Descubre las APIs, gestiona las aplicaciones consumidoras y se subscribe a ella. Monitoriza su propio uso y proporciona feedback.

Arquitectura

La solución se divide en cinco partes bien definidas como se puede ver en la siguiente figura:

Gestión de APIs - Arquitectura

A continuación profundizaremos en cada una de estas partes.

API Publisher

Espacio web para la exposición de APIs. El publicador interacciona con ella gestionando el ciclo de vida, interfaces, seguridad y políticas de uso y coste.

Adicionalmente se puede configurar un espacio de pruebas de entorno y adjuntar documentación asociada.

En la siguiente figura se pueden ver sus características.

API Publisher - Caracteristicas

API Store

Espacio de trabajo del consumidor para descubrir las APIs disponibles y poder subscribir aplicaciones a las APIs deseadas. La información es mostrada a modo de tienda (similar a Apple Store o Play Store).

En la siguiente figura se pueden ver las funcionalidades.

API Store - Funcionalidades

Asociada a cada aplicación de un consumidor se creará automáticamente un conjunto de claves OAuth, que serán usadas para realizar la comunicación entre consumidor y APIs de forma unívoca y segura.

Habitualmente este espacio estaría expuesto en Internet para que los usuarios puedan explorar y visualizar las APIs disponibles, el cual puede ser personalizado a la imagen corporativa.

Además contiene un espacio de pruebas basado en Swagger contra el entorno de “sandbox” establecido por el publicador.

Gestor de claves

Almacén seguro que gestiona las claves usadas para securizar el acceso. Está basado en estándar OAuth 2.0, permitiendo todos los escenarios explicados en la norma, incluso el escenario extendido basado en SAML que permite Single Sign On.

Este almacén dispone de interfaces REST para poder gestionar su uso y así poder solicitar, renovar o revocar programáticamente los “Access token”.

API Gateway

Proxy inverso encargado de exponer al exterior las APIs y controlar tanto políticas de seguridad como de uso basado en lo establecido por el publicador.

Para ello se encarga de validar cada llamada si contiene un access token válido, controlar el nivel de umbral establecido y monitorizar su uso, como se muestra en la siguiente figura.

validar cada llamada si contiene un access token

Monitorización

Componente transversal a la solución que se encarga de trazar los componentes para poder realizar posteriormente análisis de la información extraída.

Mediante la monitorización podemos:

  • Agregar datos. Recolectar y filtrar la información necesaria y almacenarla de forma efectiva
  • Análisis. Definir KPIs, monetización de uso, información en tiempo real e históricos
  • Presentación. Visualizar la información analizada mediante cuadros de mando e informes

La solución por sí sola, para realizar estas operaciones, puede conectarse por Google Analytics, con WSO2 BAM o contiene extensiones para integrarse con otros sistemas de terceros de Inteligencia de Negocio.

Gestión APIs - Monitorización

Otros apuntes importantes

La solución aporta además otras características adicionales, como son:

  • Flujos de trabajo. Asociados a los flujos habituales como puede ser alta de usuario consumidor, subscripción a API, ciclo de vida de API u otros, se pueden asociar flujos de trabajo mediante WS-BPEL (pudiendo así realizar aprobaciones).
  • Funcionalidad completa de ESB. Internamente la solución contiene parte del bus de WSO2, con el cual se pueden realizar tareas de bus típicas como pueden ser transformaciones, bifurcaciones o cualquier tarea de integración.
  • Firewall de aplicaciones. La pasarela además de las medidas de seguridad explicadas anteriormente también analiza ataques típicos basados en inyecciones.
  • Y por supuesto, se puede potenciar su uso con otros productos WSO2:

Resumen

Este producto cubre todas las necesidades de Gestión de APIs con Open Source basado en Apache (licenciamiento menos restrictivo) de una forma modular como plantea WSO2 en sus productos. Además facilita su integración con otros productos de terceros o propios de WSO2, gracias al uso de estándares y su extensibilidad.

Normal que los analistas más conocidos estén muy atentos a este fabricante y sea destacado en sus informes (Análisis de Forester).

Si tienes dudas, te gustaría ver una demostración, quieres que te ayudemos en la elección o implantación o simplemente tienes curiosidad, no dudes en contactar con nosotros.

¡Te podemos ayudar!

 

 

Martín Suárez Méndez

Consultor Senior en Arquitectura e Integración orientado a Seguridad en GFI. Ingeniero en Informática y Master de Seguridad informática. Especialista en Gestión de Identidades, PKI, securización de servicios Web y productos WSO2

Martín Suárez Méndez ha escrito 3 entradas


Martín Suárez Méndez

Consultor Senior en Arquitectura e Integración orientado a Seguridad en GFI. Ingeniero en Informática y Master de Seguridad informática. Especialista en Gestión de Identidades, PKI, securización de servicios Web y productos WSO2

2 comentarios en “Amplía tu negocio mediante “Gestión de APIs” con WSO2 API Manager

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *