QUELLE SOLUTION D'API MANAGEMENT PEUT M'AIDER ?
Commencer le quizz !
PANORAMA DES SOLUTIONS
D'API MANAGEMENT
Consulter le benchmark
OCTO et l'API Management.
Si OCTO a acquis au fil des ans un positionnement de leader d’opinion, c’est grâce à une politique éditoriale qui privilégie des contenus utiles, écrits par nos experts et mis en valeur par la créativité de nos équipes artistiques.
3scale.
3scale est une plateforme crée en 2007 qui permet de manager (partager, sécuriser, contrôler et monétiser) ses APIs pour des usages internes ou externes. La gateway est écrite en Lua et les portails en Ruby. La solution a été rachetée par Red Hat en 2016 et open-sourcée.
- > L’aura/le support Red Hat autour du produit
- > Excellent time to market de la mise en œuvre avec le mode hybride
- > Pure player de l'API Management (il ne s'agit pas d'une solution ESB
offrant des fonctionnalités de transcodage mais de management d'API)
- > Solution basée sur une API (API first) de très bonne qualité et bien
documentée qui permet d'automatiser le paramétrage et le déploiement (DEVOPS / infra
as code)
- > Pricing compétitif pour la version PRO
- > Communauté présente sur internet (on trouve des réponses en cas de
problème)
- > Solution open
source
- > Complexité de la mise en œuvre de la sécurité (via LUA) qui nécessite des
développeurs·euses expérimentés
- > Très orientée déploiement hybride avec des portails en SaaS initialement
(si un contexte on-premise est souhaité)
- > Mais revirement on-premise de la stratégie depuis le rachat de Red Hat qui
incite à l'utilisation d'OpenShift et de Red Hat SSO (Keycloak)
- > Pas de fonctionnalité de transcodage (ce qui peut être perçu comme un
avantage) sauf si utilisé avec FUSE ESB proposé par Red Hat
- > Gestion de SOAP sommaire (ce qui peut être perçu comme un avantage)
Apigee.
Apigee est une plateforme d'API management orientée cloud, permettant de sécuriser et de manager des API, fondée en 2004 sous le nom de Sonoa Systems. Apigee a été rachetée par Google en 2016.
- > Le support Google autour du produit est efficace et agréable
- > Solution packagée mais developer-friendly (communauté et documentation sur
internet)
- > Le produit est très flexible pour répondre à des besoins spécifiques, car
s'appuie sur un mécanisme de paramétrage XML de policies en point & click qu'on
assemble comme des LEGO®
- > Pertinence de l'offre en mode full SaaS
- > Pure player API, avec une bonne maturité : déploiement multi-tenant et
multi-environnement, monitoring de bout en bout, push notifications...
- > Le coût de la licence élevé par rapport aux autres solutions
- > Marketing de l'offre et produit très orienté ESB (construction des API en
façade via des policies en point & click, plutôt que Management d’API) avec un
risque de vendor lock-in. On finit par développer beaucoup de fonctionnalités dans
le produit y compris la sécurisation OAuth2/OIDC.
- > Pas de mode hybride pour le moment: offre très (trop) orienté SaaS
- > Architecture assez monolithique
- > Maintenabilité du paramétrage des policies et de la programmation dans le
produit
AWS.
AWS TODO.
- > TODO
- > TODO
Axway.
La solution d'API Management AXWAY est un produit Français détenu par Sopra-Steria. Historiqueemnt c'est un ESB qui en acquérant la solution Vordel d'API Management en 2011 a migré vers une solution API.
- > Maturité constatée : beaucoup déployé en France dans des contextes SOA
- > Fonctionnalités ESB de transcodage
- > Mode hybrid et multi-datacenter
- > Mauvais time to market de la mise en œuvre
- > Pas de communauté : dépendance vis à vis de l’éditeur
- > Complexité et non-flexibilité d’une solution paquagée
- > Mindest ESB plus qu'API
Broadcom.
Créer, sécuriser, délivrer et manager des APIs en gérant le cycle de vie total via la solution d'API Management de CA Technologies
- > Maturité constatée : beaucoup déployé en France dans des contextes SOA
- > Fonctionnalités ESB de transcodage
- > Mauvais time to market de la mise en œuvre
- > Pas de communauté : dépendance vis à vis de l’éditeur
- > Complexité et non-flexibilité d’une solution paquagée
- > Mindest ESB et non API
Gravitee.
GRAVITEE est une solution open source d'API Management et d'Access Management made in France.
- > Se concentre sur les fonctionnalités essentielles (gestion des usages,
authentification et authorisation...)
- > Support N1/N2 réactif et agréable
- > Positionnement de challenger sur le marché : apport d'évolutions
régulier
- > Mise en place simple et rapide
- > Solution trop jeune sur certains aspects (documentation, portail
développeur qui nécessite de nombreux re-développements...)
IBM.
IBM API Connect est une plateforme d'API Management contenant un ensemble de solutions : API Manager, Gateway, portail développeur, Cloud Manager... En 2018, IDC.com annonce qu'IBM est en position de leader avec 22% de parts de marché.
- > Support d'IBM
- > Produit accessible à des non-développeurs·euses : approche clickodrome,
possibilité de générer des APIs à partir de modélisations...
- > Intégration facilitée lorsqu'on travaille déjà avec des produits IBM : il
est par exemple possible de gérer des APIs REST générées à partir d'applications
mainframe écrites en COBOL
- > Portail développeur agréable et personnalisable via des thèmes
- > Intégration de LoopBack et Strongloop (projets open
source NodeJS)
- > Tire un vaste panel de solutions IBM : Datapower, IBM Cloud, etc. Avec un
réel risque de vendor lock-in
- > Coût de la licence
- > Impossible de se passer du support IBM en cas d'incidents
- > Quid de la maintenabilité du code généré ? Passer par une telle solution
lie encore plus le Système d'Information à IBM
- > Faible présence en France et peu de références d’API en production
- > Complexité de la version On-Premise
- > Le time to market constaté de la mise en œuvre est généralement
important
Kong.
Kong Inc. offre une plateforme du même nom, basée sur Nginx et Cassandra/PostreSQL, pour manager, monitorer et publier des API et des Microservices. Le produit a été développé initialement en 2009 à Milan. En 2015 la gateway a été open-sourcée et est aujourd'hui très populaire.
- > Solution basée sur une API (API first) de très bonne qualité et bien
documentée
- > Haute personnalisation possible via une mécanisme de plugin. Kong Hub
permet d'accéder à des plugins gratuits ou payants qui permettent d'implémenter
certaines fonctionnalités (comme API_KEY et Bearer token)
- > La gateway est open
source et largement déployée
- > Architecture et performances de la gateway
- > Couplage avec Auth0 simple via le plugin JWT
- > Pure player de l'API Management (il ne s'agit pas d'un ESB maquillé)
- > Kong complète sa ligne de produits en permanence (Vitals, Immunity ou
encore Kuma sont des produits sortis en 2018/2019), lui permettant d'être présent
sur l'API Management et les microservices (Kubernetes, Services mesh)
- > Le développement de Plugins en LUA nécessite des développeurs·euses expérimentés
- > La version Enterprise Edition (EE) a un coût de licence conséquent qui
permet d'accéder à des produits de qualité (portail développeur, monitoring, plugins
entreprises...) mais pas indispensables.
- > Pas de système de monétisation de l'API pour le moment
- > Connaissances légères sur l'accompagnement autour des problématiques de
sécurisation d'API OIDC, OAuth2
- > Acteur n'ayant pas les épaules d'un Google ou d'un Red Hat pour
accompagner les entreprises. On peut légitimement se demander quel grand groupe va
racheter la solution ?
Microsoft.
MICROSOFT AZURE API Management permet de publier des APIs au monde extérieur, à des partenaires et aux développeurs·euses internes afin d'exposer leur données et data services. MICROSOFT a racheté en 2013 la startup de Washington-D.C. Apiphany. La solution offre des fonctionnalités analitics et de securisation des ressources, un portail développeur pour améliorer la détectabilité des APIs avec des équipes internes, des partenaires externes et des clients, un module de transformation de services existants via la mise en oeuvre de façades.
- > Stratégie full SaaS
- > Intégration dans un écosystème MS AZURE
- > Support de l’éditeur Microsoft
- > Bundle de APIphany
- > Point d’attention sur le “vendor locking” avec Microsoft
- > Rarement déployé (en France)
- > Customisation du portail encore très limité
- > Très peu de documentation sur la sécurisation et couplage fort avec les
solutions Azure
Mulesoft.
MuleSoft, Inc. est une société basée à San Francisco, Californie, qui fournit une solution d'intégration pour connecter les applications, les données et les terminaux. En 2006, Mulesoft fournie un ESB puis une plateforme d'intégration "as a service" (iPaaS), avec des fonctionnalités de gestion d'APIs : un centre de design pour designer et construire des APIs, un centre de management pour analyser, manager, et monitorer les APIs, un moteur de runtime pour connecter les applications enterprise on-premises ou cloud afin d'éliminer les besoins d'intégration spécifiques point-à-point. En Mai 2018, Mulesoft est acquise par Salesforce.
- > Maturité constatée sur la plateforme Digital et la SOA
- > Fonctionnalités ESB de transcodage
- > Quelques références d'API et de portail développeur en production
- > Mauvais time to market de la mise en œuvre
- > Pas de communauté : dépendance vis à vis de l’éditeur
- > Complexité et non-flexibilité d’une solution paquagée
- > Mindest ESB, automatisation des processus de l'entreprise plus qu'API
Software AG.
Software AG est un éditeur de logiciel allemand qui offre une solution "Digital Business Platform" permettant l‘intégration, la gestion des processus, le développement d’applications adaptives, l’analytique en temps réel et la gestion d‘architecture d’entreprise. La solution d'API Management propose les fontionalités : gateway & microgateway, portail développeur, statistiques d'usage & quotas, publication & sécurisation sur le cloud.
- > Maturité constatée sur la plateforme Digital et la SOA
- > Fonctionnalités ESB de transcodage
- > Quelques références d'API et de portail développeur en production
- > Mauvais time to market de la mise en œuvre
- > Pas de communauté : dépendance vis à vis de l’éditeur
- > Complexité et non-flexibilité d’une solution paquagée
- > Mindest ESB, automatisation des processus de l'entreprise plus qu'API
TIBCO Cloud™ Mashery® API Management.
TIBCO Software Inc. est une companie américaine qui fournit une plateforme d'integration, d'analytics des festion d'évenements pour les entreprises. Il s'agit d'un middleware ESB qui permet la communication temps réele en contexte B2B,B2C. En Août 2015, TIBCO a racheté Mashery, une solution d'API management préalablement rachetée par Intel.
- > Stratégie full SaaS
- > Intégration dans un écosystème MS AZURE
- > Support de l’éditeur Microsoft
- > Bundle de APIphany
- > Point d’attention sur le “vendor locking” avec Microsoft
- > Rarement déployé (en France)
- > Customisation du portail encore très limité
- > Très peu de documentation sur la sécurisation et couplage fort avec les
solutions Azure
Tyk.
Tyk est une plateforme d'API Management développée initialement à Londres en 2014, qui offre une gateway open source écrite en Go, un portail développeur et un tableau de bord sur les API avec des fonctionnalités d'analytiques.
- > Dashboard pratique, offrant des rapports statistiques simples et déjà
intégrés
- > Solution simple et accessible offrant un bon time to market en SaaS
- > Coût de licence attractif et progressif
- > Pure player de l'API Management (il ne s'agit pas d'un ESB maquillé)
- > Le support N1/N2 est réactif et très sympathique
- > Utilisation en SaaS ou on-premise de qualité
- > Fonctionnalités manquantes et BUG pour le mode Hybride. Par exemple, la
gateway Saas reste active
- > Sécurisation API basique : Le flow client credentials OAuth2 utilise des
tokens opaques et ne gère pas les scopes. Pas d'implémentation OIDC (obligation
d'utiliser une solution tierce)
- > Plugins JS laborieux à mettre en place
- > La documentation souffre de cohérence globale et de mises à jours (il
arrive de devoir lire le code GO pour comprendre certains mécanismes)
- > Compétence du support N3 (faible compréhension des problématiques de
sécurisation OIDC/OAuth2, de performance, de déploiement, etc.)
- > L'API est d'une qualité perfectible au regard des standards REST
(identifiants de ressources non homogènes, etc.)
WSO2.
WSO2 est un fournisseur de technologie open-source fondé en 2006. Il offre une plate-forme d'entreprise pour l'intégration d'interfaces de programmation d'applications, d'applications et de services Web localement et sur Internet.
- > Solution open source
- > Solution connue et éprouvée depuis la vague ESB-light
- > Solution pertinente dans un ecosystème Java
- > Documentation complexe (plus de 1600 pages...)
- > Retours d’expérience mitigés : solution complexe à mettre en oeuvre,
comportements contre-intuitifs, personnalisation compliquée à mettre en oeuvre,
nombreuses limitations...
- > Faible communauté d'entraide sur internet lorsque l'on rencontre des
problèmes sur des sujet avancés : problématiques de sécurisation d'API OIDC,
OAuth2
- > Forte emprunte ESB-light (brique de transcodage)
- > WSO2 éditant une suite de logiciels qui s'intègrent les uns aux autres
(analytics, ESB, authentification...), il y a un risque de vendor lock-in
- > Le coût des licences on-premise : la facturation se fait à l'instance et
grimpe donc très rapidement