Formation Sécuriser et Manager son API

Aujourd’hui, le consommateur est mobile, connecté en tout lieu et en permanence. Face à cet enjeu, de nombreuses entreprises, désireuses de pouvoir bâtir rapidement de nouvelles applications front-end sur différents devices et d’ouvrir leur système d’information, nous sollicitent pour les aider à construire leur API.

Face à ces enjeux liés à la transformation digitale des entreprises, la sécurisation et le management des API devient une question centrale afin d’assurer en particulier la sécurisation des échanges, l’authentification des requêtes ou encore la gestion des limitations d’usages.

Cette formation Sécuriser et Manager son API vise à partager le savoir-faire acquis ces dernières années en réalisant plusieurs APIs pour nos clients. Son objectif est de vous permettre de sécuriser et de manager une API dans le cadre de travaux pratiques.

Objectif opérationnel : 

Savoir sécuriser et manager une API.

Objectifs pédagogiques : 

À l'issue de cette session, vous serez en mesure de manager et de sécuriser une API en vous inspirant des bonnes pratiques et des standards actuels, et en vous appuyant sur les patterns utilisés par les Géants du Web.

• Sécuriser une API : API_KEY, OAuth2, OpenID Connect.
• Mettre en œuvre un portail développeur
• Manager une API : console d’administration, statistiques d’usage, quotas, etc.

Public :

Cette formation s'adresse aux Développeurs, Architectes web et Chefs de projets web.

Prérequis :

Pour suivre cette formation dans de bonnes conditions, il est fortement conseillé d'avoir des connaissances de base du Web (HTTP, HTML, URI) et d’un langage de développement. Il est également important d'avoir lu la Refcard RESTful API Design. Il est recommandé d'avoir suivi la Formation API : ouvrir son SI & développer son modèle d’affaire (Réf. DMSI).

Jour 1

Introduction

Tour de table
Présentation du programme de la formation

L'essentiel sur la sécurisation et le management d'API

API : enjeux et définition
Sécurité :
- Types de ressources « publiques et privées
- Les principes : Throttling, DOS, Authentication, Authorization, Accouting
- Mécanismes de sécurisation : API_KEY, OAuth2, OpenID Connect
Portail développeur :
- Exemples des Géants du Web
- Les fonctionnalités essentielles : enrolment, documentation, interface Try-it, support (FAQ, Forum), etc.
Console de supervision :
- Les fonctionnalités : habilitation des développeurs et de leurs applications, statistiques d'usage, quotas/throttling, reporting
Panorama des solutions d'API Management du marché

Sécuriser ses ressources avec une App_key et OAuth2

Sécuriser ses ressources publiques par une App_Key avec une solution d'API Management
Sécuriser ses ressources privées par OAuth2 avec une solution d'API Management

Gérer l’authentification

Mire de login
Récupérer l'identité de l'utilisateur

Gérer les habilitations

Gérer les habilitations de l’utilisateur connecté via les scopes OAuth2

Jour 2 : Sécuriser et manager une API

Mettre en place un portail développeur

Mettre en place la documentation publique de son API
Interfaces Try-it
Enrôlement des consommateurs de son API

Mettre en place un portail d'API Management

Créer des profils d’utilisateurs et des habilitations
Reporting et statistiques d’usage
Gérer les quotas

Mettre en œuvre d’OpenID Connect

Bilan et clôture de la formation

Formation avec apports théoriques, échanges sur les contextes des participants et retours d’expérience des formateurs, complétés de mises en situation. Les travaux pratiques sont réalisés à l'aide de technologies et outils standards de l'écosystème Open source API et API Management : KONG, 3SCALE, Anvil connect, etc.

La formation est orientée « API craftsmanship » et met l'accent sur les compétences de codage des développeurs. Elle repose notamment sur le principe du développement dirigé par les tests (TDD : Test Driven Development).

Une API et un front vous vous seront donnés : vous devrez sécuriser et manager l’API, avec l’aide des formateurs.