Lesezeit: 2 Minuten

 

Unterschätzte Vielschichtigkeit – API-Management auf verschiedenen Ebenen


 

Die vielfältigen Aufgabenbereiche rund um APIs

Im Bereich verteilter Systeme kommen wir nicht mehr um gut strukturierte Integration zwischen Komponenten herum. Das betrifft jede Art von Kommunikation zwischen Systemen, sei es synchron über REST, gRPC und ähnlichem oder asynchron über Events und Messages. Die digitale Transformation von Unternehmen erfordert es, diese Integrationsaufgaben zu koordinieren. Die Fragestellung ist, wie man Governance und effiziente Entwicklungsmethodiken umsetzen kann, um die diversen Aufgaben rund um diese Kommunikations-Schnittstellen zu unterstützen. Das betrifft

  • Entwicklung
  • Veröffentlichung
  • Verbesserung
  • Sicherung und Schutz
  • Qualitätssicherung
  • Decommissionierung
  • Kommunikation zwischen Entwicklungsbeteiligten
  • Governance über fachliche Rahmen und Erstellung einer unternehmensweiten Landschaft mit Synergieeffekten


Wenn man diese Liste betrachtet, wird schnell klar, dass wir es hier sehr verschiedene Themenfelder mit verschiedenen Interessenten und Betroffenen zu tun haben. Um also gute APIs zu entwickeln und zu betreiben, muss ein Unternehmen einen breiten Blick wahren. Dieser Blogbeitrag hat nicht das Ziel, alle Probleme und Herangehensweisen zu diesen Themenfeldern zu besprechen. Dazu verweisen wir in der Aufschlüsselung im nächsten Abschnitt auf andere Beiträge und Quellen. Wir möchten an dieser Stelle lediglich sensibilisieren, dass das Thema API-Management oft zu eindimensional bearbeitet wird. Außerdem geben wir dabei einen Überblick über die Themenbereiche, in denen wir unsere Kunden unterstützen und ermöglichen so die Identifikation von Lücken in der eigenen Strategie.

Bedeutungsebenen von API

Die oben genannten Themenbereiche lassen sich in vier größere Säulen gliedern, die wir im Folgenden etwas genauer untersuchen. Jede dieser Säulen hat andere Beteiligte, Stakeholder und Akteure und muss somit in der Umsetzung einer unternehmensweiten API-Strategie gesondert behandelt werden.

  1. Entwicklung und Qualitätssicherung
  2. Lebenszyklus der APIs
  3. Sicherheit und Freigaben
  4. Unternehmensstrategie und Governance

Entwicklung und Qualität

Dieses Themenfeld beschäftigt sich mit dem Prozess der Entstehung von APIs. Die Betroffenen sind größtenteils Entwickler und Requirements Engineers. Um gute APIs zu erhalten, haben sich Vorgehensweisen aus dem API First Ansatz bewährt (vgl. https://www.ars.de/details/bedeutung-von-apis-als-interaktionsmodell). Dabei wird vorausgesetzt, dass APIs mit klarem fachlichem Nutzen als Ziel entwickelt werden. Das erfordert nicht zuletzt auch den Einbezug möglicher Nutzer und Requirements Engineers (vgl. https://www.ars.de/details/warum-dein-projekt-requirements-engineering-oder-business-analyse-braucht).

Neben der reinen Entwicklung wird hier auch eine Strategie zur Qualitätssicherung benötigt. APIs haben eine hohe Sichtbarkeit nach außen und sind damit immer mit einem hohen Qualitätsanspruch verbunden. Der Einsatz von Quality Gates und Style Checkern sowie Review-Prozesse und kollaborative Entwicklung sind alles bewährte Methoden, um zu besseren Ergebnissen zu kommen.

Unterstützt wird die Entwicklung der APIs idealerweise mit durchdachter Werkzeugauswahl (wie Editoren, Style Checkern und Quality Gates) und gut ausgebildeten Entwicklern, die sich der Bedeutung und Herangehensweise für API-Entwicklung im Klaren sind. Das kann durch Schulungen, Community-Aufbau oder eine ausgeprägte Vortragskultur im Unternehmen gefördert werden.

Lebenszyklus der APIs

Nach der Entwicklung folgt die Inbetriebnahme der API. Damit endet der Lebenszyklus aber keineswegs. Um die in Abb.1 gezeigten Lifecycle-Schritte zusammenzufassen:

  1. Entwurf und Entwicklung
  2. Test und Qualitätssicherung
  3. Veröffentlichung, Absicherung und Betrieb
  4. Nutzung
  5. Verbesserung, Monitoring und Updates




Abb. 1: Der API-Lebenszyklus

Damit APIs diese verschiedenen Prozesse zuverlässig durchlaufen, benötigen Unternehmen solide Werkzeuge und Automatisierung. Mit Produkten und Werkzeugen aus dem Bereich API Management Plattform, CI/CD und API-Marktplätzen schaffen wir Standards, die die Zuverlässigkeit und Stabilität unserer APIs verbessern. Wir haben diverse Unternehmen bei der herausfordernden Produktauswahl und Inbetriebnahme dieser Werkzeuge unterstützt. Näheres zu den verschiedenen Bestandteilen der technischen API-Plattform findet sich hier: https://www.ars.de/details/bestandteile-und-dienste-einer-api-plattform.

Außerdem haben wir Strategien zur Produktauswahl und Alternativen dazu hier beschrieben: https://www.ars.de/details/produktvielfalt-und-betriebsmodelle-fuer-api-plattformen.

Sicherheit und Freigaben

Ein wesentlicher Stakeholder von APIs ist häufig auch die IT-Security. Durch den potenziell öffentlichen Charakter der Schnittstellen bieten diese immer auch einen Angriffsvektor. Selbst intern geplante Schnittstellen ohne öffentliche Erreichbarkeit stellen Systemgrenzen dar und somit im Rahmen einer Zero Trust Architektur schützenswert. Im Rahmen unserer Kundenprojekte haben wir diverse Werkzeuge für Security Scans und Security Quality Gates bei unseren Kunden eingeführt. Diese Tools bieten eine breite Abdeckung und die Möglichkeit der Einbindung in automatische Prozesse. So lassen sich häufige Fehler bereits früh erkennen und eine gute Grundabdeckung für API Security erzielen. Selbstverständlich sind für kritische Systeme auch manuelle Prüfungen und Überlegungen notwendig. Kein Automatismus ermöglicht keine fachlich sinnvollen Prüfungen. Auch Einschätzungen bzgl. schützenswerter Daten und deren Schutz muss manuell erfolgen. Deshalb ergänzen wir bei Bedarf die automatischen Werkzeuge durch manuelle Freigabeprozesse geschulter Spezialisten.

Auch relevant sind Bereiche wie Laufzeitsicherheit und Anomalie Erkennung von Datenverkehr. Hier gibt es ebenfalls spezialisierte Werkzeuge und bewährte Mittel, um die Sicherheit zu verbessern. Unser Ansatz richtet sich nach einem Security First Vorgehen, bei dem wir die API-Sicherheit bereits bei Anforderungserhebung und Design berücksichtigen.

Unternehmensstrategie und Governance

Neben den eher technischen Themen der API-Entwicklung und des Betriebs haben APIs auch immer eine strategische Bedeutung. Sie dienen als fachliche Abstraktion und bieten eine direkte Repräsentation des Unternehmensportfolio. Somit übersteigt ihre Bedeutung die einer rein technischen Schnittstelle. Stattdessen sind APIs in der Digitalisierung eines Unternehmens von entscheidender Bedeutung, da sie die Integration, Vernetzung und Automatisierung der digitalen Produkte treiben. Details dazu sind in diesem Blogartikel erläutert: .

Da APIs in diesem Kontext nicht isoliert betrachtet werden, sondern als Produktlandschaft des Unternehmens zu verstehen sind, ist ein hohes Maß an Governance notwendig, um die Synergien dieser Produkte zu ermöglichen. APIs dürfen nicht als Beiwerk von Anwendungen entstehen, sie stehen im Vordergrund bei der Schaffung digitaler Dienstleistungen. Das bedeutet, ein Unternehmen muss den Überblick über die vorhandenen APIs behalten und Neuentwicklungen gezielt steuern.

Außerdem sind die Werkzeuge und Prozessketten rund um die API-Verwaltung meist als Plattformlösungen implementiert. Das bedeutet, dass zentrale Werkzeuge geschaffen werden, die dann den Produktteams als Service bereitgestellt werden. Das erfordert eine durchdachte Produktauswahl und feste Verantwortungen bei der Erstellung und Wartung dieser Plattformlösungen. Hier müssen also Rollen und Budgets geschaffen werden, die diese Umsetzungen ermöglichen. Das ist nicht mehr Aufgabe einzelner Produktteams, sondern muss unternehmensweit zentral beauftragt und gemanaged werden.

Fazit

Die Erstellung und Verwaltung einer API-Landschaft eines Unternehmens ist eine vielschichtige und herausfordernde Aufgabe. Es gilt, technische, aber auch fachliche und strategische Fragestellungen zu bearbeiten. Diese verschiedenen Handlungsfelder bringen jeweils eigene Herausforderungen und Anforderungen mit sich. Selbstverständlich müssen die daraus resultierenden Aufgaben nicht alle zugleich gelöst werden. Eine iterative Herangehensweise mit direkt verprobaren Teilergebnissen kann bei der Einführung hilfreich sein. Um einen Überblick über den Fortschritt Ihrer API-Initiative zu gewinnen, haben wir einen Fragebogen entwickelt. Prüfen Sie Ihre Strategie und planen Sie Ihr weiteres Vorgehen: https://www.ars.de/details/api_maturity_wie_reif_sind_unsere_schnittstellen.

Blogautor

Johannes Brühl
Softwarearchitekt ARS Computer und Consulting GmbH
Kontakt
Ihr Erfolg ist unser Ziel

Stehen Sie vor komplexen IT-Projekten? Mit unserer Expertise bieten wir Ihnen maßgeschneiderte Lösungen. Erfahren Sie mehr.

Unsere Leistungen
Werde Teil unseres Teams

Wir suchen ständig nach neuen Talenten. Für dich haben wir genau die richtige Stelle. Schau dir unsere offenen Positionen an.

Zu unseren Jobangeboten

Noch Fragen? Wir helfen Ihnen gerne!

Blog 10.10.24

DevOps? Warum APIOps der nächste logische Schritt ist

APIOps erweitert DevOps-Praktiken auf APIs, um deren Entwicklung zu automatisieren und zu optimieren. Dieser Ansatz verbessert Qualität, Sicherheit und Geschwindigkeit im API-Management.
Blog 07.07.23

Amazon EC2: Performance richtig messen und optimieren!

Im Blog zeigen wir Ansätze zum Messen und Verwalten der Leistung von EC2-Instanzen. Zudem erfahren Sie, wie Sie mit IBM Turbonomic die Performance der darauf betriebenen Anwendungen optimieren.
Kompetenz 29.07.21

API Economy & API Management

Eine beschleunigte und sichere Bereitstellung von Daten und Services eröffnet neue Geschäftsmodelle z.B. im Kontext B2B, B2C. Daneben sind interne API Ökosysteme" im Kontext von Cloud- native Architekturen, Microservices, Internet of Things und Mobile Use Cases nicht mehr Wegzudenken.
Cloud Technologie Managed Service
Produkt

Apigee - API Management

API Management mit Google Cloud simplifizieren. Das Bauen, Sichern, Veröffentlichen, Überwachen und Skalieren der eigenen APIs wird zentral auf Apigee geregelt. Jetzt Termin vereinbaren!
Event

Next-Gen API Management

Erleben Sie, wie nahtlose Integration wirklich funktioniert- mit praxisnahen Lösungen, echten Hands-on-Demos und Networking mit Expert*innen in der IBM Zürich.
Whitepaper

Whitepaper: Eine Einführung ins API Management

Was genau sind APIs, welche Use Cases gibt es und wie können sie unterschiedliche Geschäftsziele unterstützen? Erfahren Sie in unserem kostenlosem Whitepaper.
Leistung 27.04.23

API Management Plattform - Apigee | Google Cloud

Apigee ist eine coole Plattform für die Verwaltung von APIs. Damit können Unternehmen APIs erstellen, schützen, veröffentlichen und analysieren.
Blog 18.06.20

The Future-Proof Business: API-Management

Die Aufzeichnung des zweiten Teiles unserer gemeinsam mit CROZ und Red Hat gehosteten Webinarreihe, "The Future-Proof Business" ist jetzt zum Nachsehen verfügbar!
Kompetenz

API Maturity Fragenkatalog

Finden Sie heraus, wo Ihre API-Strategie wirklich steht! Mit unserem API Maturity Fragenkatalog erhalten Sie eine fundierte Bewertung Ihrer API-Landschaft und konkrete Handlungsempfehlungen.
Referenz

API Economy für HUK-COBURG

Mit Definition von API Design Richtlinien wurde für HUK-COBURG der Weg in die API Economy geschaffen. Dabei wurde Erfordernissen nach Automation und Security Enforcement Rechnung getragen
Blog 28.04.23

Bestandteile und Dienste einer API Plattform

Grundlegende Erläuterungen zu API (Lifecycle) Management, durchdachtes API Design und den Sinn hinter API-Management
Blog 12.12.24

API-Dokumentation jenseits der Bestandsaufnahme

API-Dokumentation ist kein Luxus, sondern essenziell für fehlerfreie Prozesse. Erfahren Sie, warum OpenAPI oft nicht reicht und wie Sie mit Spring REST-Docs prozessgetriebene, getestete und aktuelle API-Dokumentation erstellen.
Wissen

REST-API und andere kleine Helferlein

Der Sterling Integrator wird in vielen Unternehmen zusammen mit dem Sterling File Gateway als zentrale Schnittstelle und Datendrehscheibe eingesetzt. In diesem Artikel erhalten Sie ein Update-Review zu Sterling B2B Integrator 5.2.6.2 und Filegateway 2.2.6.2.
Blog 15.04.23

Die vielfältigen Bestandteile API-basierter Produkte

API ist technisch betrachtet ein System mit Schnittstellen, z.B. REST. Was gehört zu einem guten API-Design? Wie wird ein API-Produkt erfolgreich?
Blog 11.11.24

API Maturity: Wie reif sind unsere Schnittstellen?

API-Reife: Wie fit sind Ihre Schnittstellen für die Digitalisierung? Erfahren Sie, wie API-Reifegradmodelle Integration, Skalierbarkeit und Effizienz in Ihrem Unternehmen fördern können.
Referenz

Erfolgreiche Einführung organisationsweiter API-Landschaften

ARS unterstützte die Automotive-Software-Tochter eines führenden deutschen Automobilherstellers erfolgreich bei der Einführung und Pflege organisationsweiter API-Landschaften.
Blog 16.03.23

Wie die MACH-Architektur und API-First helfen können

Heute habe ich Sven Baumgart, Gründer und CEO von Tremaze, zu Gast. Gemeinsam mit Sven tauchen wir in die Welt der App-Entwicklung ein. Tremaze hat zwei Anwendungen, Tremaze und Tagea, entwickelt. In der neuen insights!-Folge verrät Sven, wie sie bei der App-Entwicklung mit nur vier Vollzeitentwicklern vorgehen und wie die MACH-Architektur und der API-First Ansatz helfen können, kostengünstig Apps zu aufzubauen. Außerdem geht Sven auf ihre Herausforderungen und Best Practises ein.
Service

API Economy, DevOps, Low Code & MACH

Kundenorientierte Lösungen zu den Themen API Economy, DevOps, Low Code und MACH (Microservices, API-first, Cloud-native und Headless Architecture)

Blog 30.03.23

Eine API kommt selten allein - APIs in der freien Wildbahn

API's als Produkt zu verstehen ist ein Merkmal agiler Arbeitsweise. API's sind immer im Kontext des geplanten Services und des Ökosystems zu betrachten.
Referenz

HUK-COBURG: Mit ARS in 90 Tagen in die API Economy

Durch die Unterstützung von ARS gelang der HUK-COBURG im Rahmen einer zeitkritischen Initiative der Sprung in die API Economy.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!