API management
En informatique, l'API management (ou gestion d'API) est une discipline qui consiste à exploiter au mieux les API sans mettre en péril le système d'information[1] et sans affecter l’expérience utilisateur.
L’API Management, regroupe l’ensemble des procédures, technologies et équipes chargées de la publication sécurisée d’API dans une entreprise. Il peut s’agir d’API internes au système d’information ou externes destinées à des partenaires[2].
En d'autres termes, l'API management est un outil de management, comme son nom l'indique, qui permet de gérer la publication, la promotion et la supervision des échanges de données entre un service fournisseur et un service client, au sein d'un environnement sécurisé et évolutif[3].
Enfin, l’API Management s’appuie sur des plateformes composées d’une passerelle (Gateway), d’une console d’administration et de supervision, d’un portail donnant accès aux développeurs, aux documentations des API. Ces systèmes intègrent de plus de fonctionnalités : hybridation, monétisation et streaming[4].
Composants de la solution API management
Bien que les solutions d'API management se distinguent selon les fournisseurs, les fonctionnalités suivantes se trouvent généralement dans les produits de gestion d'API: la passerelle d’API, l'outil de publication, le portail des éditeurs, l'outil de communication de données et le service de monétisation d'accès à l'API.
Passerelle d'API
La passerelle d’API (en anglais, gateway) est le nom générique d'un dispositif permettant de relier deux réseaux informatiques de types différents, par exemple un réseau local et le réseau Internet. Dans le cadre de la discipline de l'API management, cette passerelle a vocation de diriger le trafic des API. Il est possible de regrouper une collection de serveurs de gestion et de serveurs de passerelle pour créer des clusters (grappes de serveurs en français) afin d'équilibrer la charge et d'isoler le trafic. Un cluster a une seule adresse réseau via laquelle vous pouvez accéder à ses fonctions.
Outil de publication
L'outil de publication est l'interface de l'utilisateur que les fournisseurs d'API utilisent pour définir les API, leurs politiques d'accès et d'utilisation, l'exécution de débogage ainsi que la gestion du cycle de leur cycle de vie de l'API.
Portail des Ă©diteurs
Le portail des éditeurs, aussi appelé API store est un site communautaire pour les abonnés à l'API qui sont tenus par les fournisseurs d'API. Il comprend la documentation, la console interactive de l'API pour tester les API, la possibilité de s'abonner aux API et de gérer les abonnements et le service de soutien du fournisseur ou de la communauté de l'API.
En 2013, L'Oréal a mis en place le portail d'API management baptisé AppTalk. Ce portail d'API management visait à répondre au besoin d’urbanisation du système d'information interne de la recherche et développement (ou « R&D ») de l’entreprise[5]..
L'outil de communication de données
L'outil de communication de données (en anglais, reporting) et d'analyse permet d'avoir une visibilité claire sur l'utilisation de l'API. C'est en outre un outil de marketing qui permet de mesurer le comportement des abonnés et ainsi permettre à l'éditeur de l'API d'optimiser son offre.
Le service de monétisation d'accès à l'API
Le service de monétisation d'accès à l'API permet de monétiser les API hébergées chez le fournisseur d'API choisis.
Les enjeux de l'API Management
Ils sont de trois ordres et concernent les stratégies de différenciations, l'acculturation aux concepts de la gestion des API et enfin le suivi de l'évolution des API dans le temps[6].
Stratégie de différenciation
L’API Management représente une formidable opportunité de différentiation et de développement commercial pour les entreprises sur leurs marchés. En effet, les capacités d'ouverture procurées par les API au niveau du système d’information facilitent grandement les échanges Business to Business et les partenariats par la création de nouvelles offres. De cette manière, l’expérience utilisateur, l’image de l’entreprise, ainsi que sa capacité d’innovation s’en trouvent renforcés.
Acculturation aux concepts de la gestion des API
Aujourd’hui, l’API Management s’accompagne de nouveaux concepts avec lesquels les équipes métiers et techniques doivent se familiariser. Cela passe par une phase d’apprentissage où l’organisation doit également intégrer de nouvelles fonctions et de nouveaux modes de gouvernance. Ces dernières sont relatives à une nécessaire approche API produit qui s’étend du marketing des API à leur diffusion et à leur commercialisation.
Suivi de l'Ă©volution des API dans le temps
La définition d’une feuille de route adaptée au système d'information (SI) est l’une des clés pour la mise en service d’un projet d’API Management solide et évolutif. De surcroît, il est important de veiller à un suivi de l'évolution des API au fil du temps afin d’en maîtriser la complexité et de bénéficier d’un niveau de performance et de sécurité indispensables à la bonne exécution de tels projets.
Fournisseurs
La large adoption des API a conduit à l'émergence de produits hétérogènes de gestion d'API intégrés, de projets open source et d'offres de logiciel en tant que service (en anglais software as a service, SaaS).
Voici 15 fournisseurs leaders sur le marché de l'API Management définis par Forrester Research[7] - [8] de 2014 à 2016 : 3scale, Apigee, Roguewave (Ex Akana), Axway, CA Technologies, Gravitee.io, IBM, Informatica, Intel Services, MuleSoft, Software AG, Tibco Software, Tyk Technologies et WSO2.
Économie
En 2016, selon Gartner, à propos des plateformes d'API management, Gartner distingue sept leaders disposant à la fois d'une bonne maturité, d'une offre complète et d'un bon potentiel de mise en œuvre de leur vision[9]. Dans son Magic Quadrant, publié en [10], le cabinet Gartner a distingué sept éditeurs dans le carré des leaders du marché de l'API management : Apigee, racheté en septembre par Google, MuleSoft, CA Technologies, IBM, API Connect, Tibco Software, l'éditeur allemand Software AG, Red Hat et l'éditeur français Axway. L'API management n'est donc pas seulement un sujet dépendant des technologies de l'information puisqu’il est au cœur même du développement des organisations[11]. Lorsque nous utilisons une application pour smartphone pour réserver un hôtel, par exemple ou pour accéder aux services météorologiques[12], nous utilisons les API ; nous vivons dorénavant dans une économie API, déclare le cabinet d'étude Gartner[13]. Il existe aussi des solutions telles que l'EDI qui utilisent l'API pour fonctionner[14] - [15] - [16].
Gartner estime que le marché de l'API management qui plafonnait à 70 millions de dollars évoluera de 40 % chaque année[17].
Selon Forrester Research, aux États-Unis, les dépenses annuelles consacrées à la l'API management se sont élevées à 140 millions de dollars en 2014 et devraient atteindre 660 millions de dollars d'ici 2020[18].
Composantes logiques d'Azure Api management
Voici les principales composantes logiques d'Azure API Management :
- Les API : ce sont les services web ou les microservices exposés par une organisation via des points de terminaison HTTP. Les API sont définies dans Azure API Management en utilisant des fichiers Swagger ou OpenAPI.
- Les produits : les produits sont des groupes logiques d'API, qui sont utilisés pour gérer l'accès aux API. Les produits sont configurés avec des règles d'accès, qui spécifient les conditions d'utilisation des API.
- Les développeurs : les développeurs sont les utilisateurs de l'API, qui peuvent s'inscrire à des produits pour accéder aux API. Chaque développeur a un compte dans Azure API Management, qui contient des informations d'identification et des métriques de consommation d'API.
- Les clés d'API : les clés d'API sont des jetons d'authentification qui permettent aux développeurs d'accéder aux API. Les clés d'API sont générées pour chaque développeur qui s'inscrit à un produit et sont utilisées pour authentifier les requêtes d'API.
- Les politiques : les politiques sont des règles de gestion qui peuvent être appliquées aux API. Les politiques peuvent être utilisées pour ajouter des fonctionnalités de sécurité, de transformation ou de routage à une API.
- Les analyses : les analyses fournissent des informations sur l'utilisation des API par les développeurs. Les analyses peuvent inclure des métriques sur les performances de l'API, la consommation de données et les erreurs de requête.
En combinant ces composantes, Azure API Management fournit une plate-forme de gestion d'API complète et flexible pour les organisations qui cherchent à exposer et à gérer leurs API de manière efficace.
Interactions
Les différents composants d'Azure API Management interagissent les uns avec les autres pour fournir une solution de gestion d'API complète. Voici quelques exemples d'interactions entre les composants :
- Les produits sont utilisés pour grouper les API et définir des règles d'accès pour les développeurs. Les clés d'API sont générées pour chaque développeur qui s'inscrit à un produit, ce qui leur permet d'accéder aux API incluses dans le produit.
- Les politiques peuvent être appliquées à une API pour ajouter des fonctionnalités de sécurité, de transformation ou de routage. Par exemple, une politique peut être utilisée pour ajouter une authentification basée sur un jeton OAuth à une API, ou pour transformer le format de réponse d'une API pour répondre aux besoins spécifiques des clients.
- Les analyses fournissent des informations sur l'utilisation des API par les développeurs, ce qui permet aux organisations de surveiller la consommation d'API et de prendre des décisions éclairées sur l'évolution de leurs produits.
- Les développeurs peuvent accéder à l'API en utilisant les clés d'API générées pour eux lorsqu'ils s'inscrivent à un produit. Les métriques de consommation d'API sont également associées à chaque développeur, ce qui permet aux organisations de suivre l'utilisation de l'API par les développeurs individuels.
En combinant ces interactions, Azure API Management fournit une solution de gestion d'API flexible et évolutive qui permet aux organisations de publier, de protéger et de gérer leurs API de manière efficace.
Interface
L'interface utilisateur d'Azure API Management est une interface Web intuitive qui permet aux développeurs et aux administrateurs de gérer facilement les API et les produits API. Voici un aperçu des principales sections de l'interface :
- Tableau de bord : la page d'accueil de l'interface utilisateur affiche des graphiques et des statistiques sur les API et les produits API. Elle permet également de créer rapidement de nouveaux produits API ou de nouvelles API.
- API : cette section permet de créer, de configurer et de gérer les API. Elle comprend des fonctionnalités telles que la définition de l'interface, la configuration de l'authentification, la gestion des versions et la publication.
- Produits : cette section permet de créer, de configurer et de gérer les produits API. Les produits API sont des regroupements logiques d'API qui peuvent être associés à des plans de tarification pour contrôler l'accès des utilisateurs.
- Analytique : cette section permet de surveiller et d'analyser l'utilisation des API et des produits API. Elle comprend des fonctionnalités telles que le suivi des demandes, la gestion des clés d'API et la création de rapports.
- Sécurité : cette section permet de configurer la sécurité des API et des produits API. Elle comprend des fonctionnalités telles que la gestion des certificats, des clés d'API, des autorisations et des politiques de sécurité.
- Développeurs : cette section permet de gérer les développeurs qui accèdent aux API et aux produits API. Elle comprend des fonctionnalités telles que la création de comptes de développeurs, la gestion des autorisations et des rôles, et la création de portails développeurs personnalisés.
- Opérations : cette section permet de gérer les opérations d'API et de produits API, telles que les tâches de maintenance et les mises à jour.
En utilisant cette interface utilisateur, les développeurs et les administrateurs peuvent facilement créer, gérer et surveiller les API et les produits API, tout en bénéficiant d'une sécurité et d'une conformité accrues.
Composantes logiques de l'Application Gateway avec le WAF
L'Application Gateway avec le WAF (Web Application Firewall) est une solution de passerelle d'application Web qui fournit un routage, une distribution de charge, une protection et une sécurité avancés pour les applications Web. Voici les principales composantes logiques de l'Application Gateway avec le WAF :
- La couche de mise en réseau : cette couche fournit un point d'entrée pour le trafic HTTP et HTTPS et permet le routage du trafic vers les ressources appropriées. Elle comprend des adresses IP publiques et privées, des ports d'écoute, des groupes de sécurité réseau, des règles de routage et de répartition de charge.
- Le WAF : le WAF est une fonctionnalité de sécurité avancée qui permet de protéger les applications Web contre les attaques de couche 7, telles que les attaques par injection SQL, les attaques par cross-site scripting (XSS) et les attaques par force brute. Il utilise des règles de sécurité personnalisables pour détecter et bloquer les attaques.
- La couche d'application : cette couche gère les connexions HTTP et HTTPS et fournit des fonctionnalités avancées, telles que la répartition de charge, la mise en cache, la réécriture d'URL, l'authentification et l'autorisation.
- Les pools de serveurs : les pools de serveurs sont des groupes de machines virtuelles ou de conteneurs qui hébergent les applications Web. Ils sont configurés avec des règles de répartition de charge pour acheminer le trafic de manière équilibrée entre les différentes instances.
- Les règles de routage : les règles de routage sont utilisées pour acheminer le trafic vers les ressources appropriées en fonction de critères tels que l'URL demandée, l'adresse IP source, la méthode HTTP ou les en-têtes de requête.
- Les listes de contrôle d'accès : les listes de contrôle d'accès sont utilisées pour autoriser ou refuser l'accès à l'application en fonction de critères tels que l'adresse IP source ou le nom d'utilisateur.
En combinant ces composants, l'Application Gateway avec le WAF fournit une solution de passerelle d'application Web hautement disponible, évolutive et sécurisée pour les applications Web.
Interactions
Les différents composants de l'Application Gateway avec le WAF interagissent entre eux pour fournir une solution de passerelle d'application Web complète et sécurisée. Voici quelques exemples d'interactions entre les composants :
- La couche de mise en réseau permet de configurer des adresses IP publiques et privées pour l'Application Gateway, ainsi que des ports d'écoute pour les connexions HTTP et HTTPS. Les règles de routage sont utilisées pour acheminer le trafic vers les ressources appropriées, telles que les pools de serveurs qui hébergent les applications Web.
- Le WAF est intégré à l'Application Gateway et peut être configuré pour protéger les applications Web contre les attaques de couche 7. Les règles de sécurité personnalisables sont utilisées pour détecter et bloquer les attaques, tandis que les listes de contrôle d'accès permettent d'autoriser ou de refuser l'accès en fonction de critères spécifiques.
- La couche d'application fournit des fonctionnalités avancées, telles que la répartition de charge, la mise en cache, la réécriture d'URL, l'authentification et l'autorisation. Ces fonctionnalités sont configurées à l'aide de règles et de politiques qui définissent les conditions d'application.
- Les pools de serveurs sont configurés avec des règles de répartition de charge pour acheminer le trafic de manière équilibrée entre les différentes instances. Les connexions HTTP et HTTPS sont gérées par la couche d'application, qui peut utiliser des algorithmes de répartition de charge basés sur la capacité ou la disponibilité des serveurs.
En combinant ces interactions, l'Application Gateway avec le WAF fournit une solution de passerelle d'application Web évolutive et sécurisée qui permet aux organisations de protéger leurs applications Web contre les menaces de sécurité tout en offrant des fonctionnalités avancées de routage et de répartition de charge.
interface
L'interface utilisateur pour Azure Application Gateway est une interface Web intuitive qui permet aux développeurs et aux administrateurs de gérer facilement les passerelles d'application Web et les configurations associées. Voici un aperçu des principales sections de l'interface :
- Vue d'ensemble : la page d'accueil de l'interface utilisateur affiche des informations sur l'Ă©tat actuel de la passerelle d'application Web et des liens vers les sections principales de l'interface.
- Configuration : cette section permet de configurer la passerelle d'application Web et ses composants. Elle comprend des fonctionnalités telles que la configuration de la mise en réseau, la création de règles de routage, la configuration du WAF, la création de pools de serveurs, la gestion des certificats SSL, et la configuration des paramètres de sécurité.
- Règles de routage : cette section permet de configurer les règles de routage qui déterminent comment le trafic est acheminé vers les pools de serveurs. Elle comprend des fonctionnalités telles que la définition des conditions de routage, la définition des actions à effectuer sur le trafic, et la configuration des règles de répartition de charge.
- WAF : cette section permet de configurer le pare-feu applicatif Web (WAF) intégré à la passerelle d'application Web. Elle comprend des fonctionnalités telles que la configuration des règles de sécurité, la définition des listes de contrôle d'accès, et la configuration des journaux WAF.
- Pools de serveurs : cette section permet de gérer les pools de serveurs qui hébergent les applications Web. Elle comprend des fonctionnalités telles que la configuration des serveurs de back-end, la définition des règles de répartition de charge, et la configuration des paramètres de surveillance de la santé.
- Certificats SSL : cette section permet de gérer les certificats SSL utilisés par la passerelle d'application Web. Elle comprend des fonctionnalités telles que la création de certificats SSL, l'importation de certificats existants, et la configuration des paramètres de sécurité des certificats.
- Paramètres : cette section permet de configurer les paramètres de la passerelle d'application Web, tels que les journaux, la surveillance de la santé, et les paramètres de mise à jour.
En utilisant cette interface utilisateur, les développeurs et les administrateurs peuvent facilement créer, gérer et surveiller les passerelles d'application Web et les configurations associées, tout en bénéficiant d'une sécurité et d'une conformité accrues.
Composants
application gateway
Une passerelle d'application (Application Gateway en anglais) est un service de réseau qui agit comme un point d'entrée unique pour les applications web et les services API. Elle est utilisée pour optimiser, sécuriser et gérer le trafic entrant vers les applications web et les API en utilisant diverses fonctionnalités telles que l'équilibrage de charge, la mise en cache, la sécurité, la répartition du trafic et bien d'autres.
Voici les étapes générales du fonctionnement d'une passerelle d'application :
- Configuration : L'administrateur configure les règles et les paramètres pour la passerelle d'application, y compris les paramètres de mise en cache, l'équilibrage de charge, les certificats SSL, les règles de routage, les politiques de sécurité, etc.
- Réception de la requête : Lorsqu'un utilisateur envoie une requête à l'application web ou à l'API, elle est envoyée à la passerelle d'application via une adresse IP publique.
- Routage : La passerelle d'application analyse la requête et la route vers le serveur cible approprié (par exemple, le serveur Web ou le serveur API), en fonction des règles de routage configurées.
- Optimisation : La passerelle d'application peut mettre en cache certaines parties de la réponse de l'application pour améliorer les performances et réduire la latence pour les utilisateurs.
- Sécurité : La passerelle d'application peut également fournir des fonctionnalités de sécurité telles que la validation de jetons JWT, le pare-feu d'applications web (WAF), la protection contre les attaques DDoS et la protection contre les menaces courantes.
- Réponse : Lorsque le serveur cible répond à la requête, la passerelle d'application renvoie la réponse au client qui a initié la requête.
- Suivi et analyse : La passerelle d'application peut également collecter des données de suivi et d'analyse pour permettre à l'administrateur de surveiller les performances de l'application, d'analyser les tendances de trafic et de déterminer les goulots d'étranglement.
En résumé, une passerelle d'application agit comme un point d'entrée unique pour les applications web et les API, offrant une variété de fonctionnalités pour optimiser, sécuriser et gérer le trafic entrant. Le fonctionnement de la passerelle d'application implique la réception de la requête, le routage vers le serveur cible, l'optimisation, la sécurité, la réponse et le suivi et l'analyse[19] - [20].
Types d’écouteur
Multisite. Cette configuration d’écouteur est requise lorsque vous souhaitez configurer le routage en fonction d’un nom d’hôte ou de domaine pour plusieurs applications web sur la même passerelle d’application.
Règles de routage des requêtes
Quand un écouteur accepte une requête, la règle de routage de requête transfère la requête au back-end ou la redirige ailleurs
Composants de passerelle d’application[21] :
Sécurité
Application Gateway
Chiffrement des données en transit : L'Application Gateway chiffre les données en transit à l'aide du protocole SSL/TLS (Secure Sockets Layer/Transport Layer Security). SSL/TLS est un protocole de sécurité qui permet de chiffrer les données en transit entre l'Application Gateway et le client, afin de protéger les données contre les interceptions et les violations.
WAF : l'intégration de WAF et d'Application Gateway peut aider à renforcer la sécurité des applications web en offrant une protection DDoS intégrée et une protection contre les attaques applicatives web telles que les injections SQL, les cross-site scripting (XSS), les falsifications de requêtes entre sites (CSRF), les attaques de force brute, etc. Cela permet de protéger les applications web contre les attaques de différentes natures et d'assurer la confidentialité, l'intégrité et la disponibilité des données.
Azure DDoS Protection ?
Api management
Chiffrement des données en transit : Chiffrement des données en transit à l’aide du protocole TLS (Transport Layer Security) 1.2 afin protéger les données lors de leur déplacement entre les services cloud et vous. Tout le trafic sortant d’un centre de données est chiffré en transit, même si la destination du trafic est un autre contrôleur de domaine situé dans la même région. TLS 1.2 est le protocole de sécurité par défaut utilisé. TLS fournit une authentification forte, la confidentialité et l’intégrité des messages (activation de la détection de falsification et d’interception des messages), l’interopérabilité, la flexibilité des algorithmes, ainsi que la facilité de déploiement et d’utilisation.
Azure Policy : Cette page constitue un index des définitions de stratégie intégrées Azure Policy pour la Gestion des API Azure[22].
La stratégie "validate-jwt" est une politique de sécurité qui peut être utilisée dans les API Management pour valider les JWT (JSON Web Tokens) inclus dans les requêtes des utilisateurs. Cette stratégie permet de s'assurer que seuls les utilisateurs authentifiés ont accès aux ressources protégées par l'API.
Lorsqu'un utilisateur envoie une requête à une API qui utilise la stratégie "validate-jwt", l'API Management extrait le JWT de l'en-tête de la requête et le valide en utilisant les paramètres de validation configurés. Ces paramètres peuvent inclure la vérification de la signature JWT, la vérification de l'expiration du JWT, la vérification du type de jeton et la vérification des informations de l'émetteur du JWT.
Journalisation
Activer la journalisation pour l’investigation de sécurité : l'activation de la journalisation pour l'investigation de sécurité peut aider à identifier les problèmes de sécurité potentiels ou les activités suspectes.
Compte de stockage : le compte de stockage sera utilisé pour stocker les journaux de l'Application Gateway.
RBAC (Role-Based Access Control) : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. key vault et api management ou l'application gateway
Mesure de sécurité commun
Réseau virtuel : VNet (Virtual Network) est un service de réseau virtuel Azure qui permet de créer un réseau privé virtuel dans le cloud Azure. Un VNet est une représentation isolée et privée d'un réseau physique dans le cloud Azure. Il peut être utilisé pour héberger des machines virtuelles (VM), des applications web, des services cloud et d'autres ressources de cloud computing.
Azure Private Link : Avec Azure Private Link, le trafic entre la ressource Azure et l'utilisateur final ou le client ne passe pas par Internet. Au lieu de cela, le trafic est acheminé de manière privée à travers le backbone Azure, ce qui améliore la sécurité et la confidentialité des données en transit. Azure Private Link prend également en charge les points de terminaison privés pour les partenaires et les services tiers, ce qui permet aux clients d'accéder à des ressources tierces de manière sécurisée.
Key Vault : L'utilisation d'un Key Vault avec l'Application Gateway permet de sécuriser les certificats et les clés utilisés pour le trafic SSL (Secure Sockets Layer) entre l'Application Gateway et le client.
Citations
- « L’API management permet de faciliter l’exposition des services (les API) aux partenaires de l’entreprise. Bien maîtrisée, cette méthode, inspirée du SOA, permet de faciliter le déploiement des solutions, l’animation des communautés, mais aussi de contrôler l’usage qui est fait des API. »[23]
- « La gestion d’API consiste à ce que la solution administre les autorisations et la sécurité entre les fonctions appelées et les réponses, tout en gérant les audits, les transformations (s’assurer par exemple que les fonctions d’appels formulent leurs appels d’une façon comprise par les fonctions de réponses). »[24]
- « Au-delà de ses origines historiques, l’API management prend sa source dans les fondamentaux des architectures orientés services. »[25]
Notes et références
- « L’API management expliqué à mon boss », sur nexworld.fr,
- « API Management, définition et enjeux », sur Nexworld, (consulté le )
- « Présentation de Gestion des API », sur microsoft.com, (consulté le )
- « API Management, définitions et enjeux », sur Nexworld, (consulté le )
- Alain Clapaud, « Comment les APIs transforment l’IT et les services chez L'Oréal : Tout en APIs d’ici trois ans », sur lemagit.fr
- « Les enjeux de l'API Management », sur Nexworld, (consulté le )
- (en) Charles Babcock, « Forrester Names Top API Management Vendors », sur informationweek.com, (consulté le )
- (en) Randy Heffner, « The Forrester Wave™: API Management Solutions, Q4 2016 : The 14 Providers That Matter Most And How They Stack Up », sur forrester.com, (consulté le )
- « Magic Quadrant for Full Life Cycle API Management », sur gartner.com, (consulté le )
- « Gartner Reprint », sur www.gartner.com (consulté le )
- Frédérick Miszewski, « Pourquoi l’API management n’est pas un sujet IT », Nexworld,‎ (lire en ligne, consulté le )
- Mariano Boni, « L’API management expliqué à mon boss », Document vidéo, sur nexworld.fr, (consulté le )
- (en) Paolo Malinverno, Mark O'Neill, « Magic Quadrant for Full Life Cycle API Management », sur gartner.com, (consulté le )
- « API : une forme d’EDI en service web », sur EDI Services,
- « PORTAIL, EDI OU API : COMMENT CHOISIR SON MODE D’ÉMISSION ? », sur Communauté Chorus Pro
- (en) « EDI vs. API in Data Exchange: What to Choose When Integrating with Business Partners », sur European Business Magazine
- (en) Loraine Lawson, « Gartner: SOA Governance and API Management Markets Merging », sur itbusinessedge.com,
- (en) Michael Yamnitsky, « The API Management Solutions Market Will Quadruple By 2020 As Business Goes Digital », sur forrester.com, (consulté le )
- https://learn.microsoft.com/fr-fr/azure/application-gateway/how-application-gateway-works
- https://www.pbeck.co.uk/2022/07/azure-application-gateway-basics.html
- https://learn.microsoft.com/fr-fr/azure/application-gateway/application-gateway-components
- https://learn.microsoft.com/fr-fr/azure/api-management/policy-reference
- Guillaume Serries, « API management : contrôler l'écosystème informatique », sur zdnet.fr, (consulté le )
- Clive Longbottom, « API : une économie ou une tour de Babel ? », sur lemagit.fr (consulté le )
- Jean-Nicolas Biarrotte-Sorin, « Entreprise numérique : Be API ! », sur journaldunet.com, (consulté le )