Was ist ein API-Ökosystem?

Ein Fokus auf das API-Ökosystem ist sowohl im Rahmen der digitalen Transformation eines Unternehmens als auch bei der Entwicklung einer API-Strategie und API-First-Geschäftsmodellen nützlich. Indem Unternehmen den Fokus auf das API-Ökosystem und nicht nur auf die API selbst legen, können sie strategische und geschäftliche Vorteile erzielen, darunter bessere Developer und Customer Experience, eine geringere API-Ausbreitung, eine höhere IT-Sicherheit und eine verbesserte Effizienz der Anwendungsentwicklung.

Die Schlüsselkomponenten eines API-Ökosystems lassen sich im Allgemeinen in drei Hauptkategorien unterteilen: Technologie (APIs und zugehörige Infrastruktur), Menschen (Anbieter, Verbraucher und Community) und Governance (Standards, Richtlinien, Unterstützungssysteme und Assets).

Die technische Infrastruktur eines API-Ökosystems besteht aus mehreren verschiedenen Komponenten, die alle auf unterschiedliche Weise miteinander verbunden sind, ähnlich einem Spinnennetz. Die APIs selbst sind die radialen Fäden, die Teile des Webs miteinander verbinden, während API-Gateways, Datenbanken, Anwendungen und Dienste sowie andere Infrastrukturen Schnittstellen, Knotenpunkte und Rahmen des Webs bilden.

Eine API ist ein Satz von Regeln oder Protokollen, der es Softwareprogrammen ermöglicht, miteinander zu kommunizieren, um Daten, Funktionen und Funktionalitäten auszutauschen. APIs ermöglichen es Anwendungsinhabern, ihre Daten und Dienste sowohl internen als auch externen Nutzern einfach und sicher zugänglich zu machen.

APIs werden für Unternehmensanwender immer wichtiger. Unternehmen haben im Durchschnitt mehr als 600 Endgeräte in der Produktion, und ganze Unternehmen begannen als APIs, darunter Unternehmen, die Zahlungen abwickeln, Unternehmen, die E-Mail-Daten anreichern, und Finanzdienstleistungsunternehmen.  

Ein API Gateway ist eine Software-Ebene, die einen einzigen Einstiegspunkt für Clients (wie Web-Anwendungen oder mobile Anwendungen) bietet, um auf mehrere Backend-Dienste zuzugreifen und gleichzeitig die Interaktionen zwischen Client und Server zu verwalten.

API Gateways empfangen einen API-Aufruf, manchmal auch als API-Anfrage bezeichnet, und leiten ihn je nach Art der Anfrage an einen oder mehrere Backend-Services weiter. Das Gateway kompiliert dann die angeforderten Daten und sendet sie in einer einzigen Antwort an den Client zurück. Gateways ermöglichen es den Clients, mehrere Ressourcen in einem einzigen Aufruf abzufragen, anstatt mehrere Endgeräte mit mehreren Aufrufen abfragen zu müssen.

Ein API Gateway, das Dienste in einem Gesundheitssystem orchestriert, könnte beispielsweise einer Anwendung ermöglichen, Daten aus mehreren Ressourcen – wie etwa den Krankenakten eines Patienten, der Zahlungshistorie und der aktuellen Terminplanung – mit einem einzigen API-Aufruf abzurufen.

API-Gateways zentralisieren auch andere wichtige Aufgaben, wie zum Beispiel:

• Lastausgleich: Verteilung des Datenverkehrs, um eine Überlastung einzelner Server zu verhindern.
  
  
• Ratenbegrenzung: Begrenzung der Anzahl von Anfragen pro Benutzer, um das Risiko bestimmter Arten von Angriffen zu reduzieren, wie z. B. Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe), bei denen ein zu hoher Datenverkehr die Sicherheitsprotokolle überfordert.
  
  
• Authentifizierung: Einsatz von Verifizierungsmethoden und -protokollen wie OAuth (Open Authorization) zur Zuweisung von Token, die einen temporären und spezifischen Zugriff ermöglichen.

Datenbanken sind ein integraler Bestandteil eines API-Ökosystems – sie speichern die Rohdaten, die Anwendungen zum Funktionieren benötigen. APIs dienen als Vermittler und ermöglichen so eine stabile und sichere Interaktion von Anwendungen mit Datenbanken. APIs bieten die Schnittstelle, mit der Anwendungen Operationen – wie Erstellen, Lesen, Aktualisieren oder Löschen (CRUD) – in der Datenbank ausführen können.

APIs bieten außerdem eine zusätzliche Sicherheitsebene, indem sie den Zugriff authentifizieren und validieren, um sicherzustellen, dass nur von Clients, die dazu autorisiert sind, auf Ressourcen zugegriffen werden kann. Und APIs sorgen für Interoperabilität im System, sodass Anwendungen, die in verschiedenen Programmiersprachen geschrieben oder auf verschiedenen Plattformen entwickelt wurden, auf dieselben Datenbanken zugreifen können.

Anwendungen sind das technologische Frontend des gesamten API-Ökosystems; es sind Anwendungen wie mobile Apps, Web-Apps oder Desktop-Software, mit denen ein Nutzer, ob digital oder menschlich, interagiert (und nicht die API selbst).

Innerhalb der Anwendung kann ein Benutzer eine Aktion auswählen, bei der die Anwendung eine externe Datenquelle oder Dienste erreichen muss, um die Aktion abzuschließen. Dieser Austausch erfolgt über die API. Eine Anfrage, oft auch als API-Aufruf oder Abfrage bezeichnet, wird an die API gesendet, die die Anfrage an den für die angeforderte Ressource zuständigen Backend-Dienst weiterleitet. Die angeforderten Daten werden dann über die API an den Client zurückgegeben.

Microservices, oder eine Microservice-Architektur, ist ein Ansatz zur Anwendungsentwicklung, der eine Anwendung in viele verschiedene unabhängige Services unterteilt, die separat gebaut und betrieben werden können. Microservices sind keine „kleinen Dienste“, sondern ein architektonischer Ansatz zur Integration vieler Dienste in einer Anwendung. Microservices sind aufgrund ihrer Flexibilität nützlich, denn sie ermöglichen die unabhängige Skalierung und Wiederverwendung von Diensten.

Diese Dienste arbeiten alle zusammen und kommunizieren oft über APIs oder ein Service-Mesh. APIs werden auch verwendet, um Microservices mit externen Anwendungen und Systemen zu verbinden und so Interoperabilität und nahtlose Integration zu ermöglichen.

In vielen Fällen wird vor diesen Diensten ein API-Gateway eingesetzt, um eingehende API-Anfragen entgegenzunehmen, sie an den entsprechenden Dienst (oder die entsprechenden Dienste) weiterzuleiten und die Antwort in einer einzigen umfassenden Antwort an den Client zurückzusenden.

Continuous Integration/Continuous Delivery (CI/CD)-Pipelines sind Teil des Ökosystems, da diese Pipelines häufig zur Entwicklung, Bereitstellung und Aktualisierung von APIs verwendet werden.

Eine CI/CD-Pipeline ist ein Workflow, der den Prozess des Schreibens, Integrierens, Testen und Bereitstellen von Code automatisiert. Entwickler können selbstständig Code schreiben und Änderungen mit Tools wie Git verfolgen. Der Code wird automatisch durch die Pipeline zum Testen und zur Validierung verschieben. Der validierte Code wird dann in Testumgebungen oder Repositories wie GitHub integriert. Die CI/CD-Pipeline ist ein Weg, um die Entwicklungszeit von APIs oder Software zu verkürzen, Kosten zu senken, Fehler frühzeitig zu erkennen und die Zusammenarbeit im Team zu verbessern.

Die CI/CD-Pipeline ist für den Endbenutzer nicht sichtbar; es handelt sich um eine gängige Methode, um Code von der Entwicklung zur Bereitstellung zu verschieben und Software und APIs durch regelmäßige Updates kontinuierlich zu verbessern.

Das Developer Portal ist eine zentrale Anlaufstelle, die alles enthält, was ein Entwickler zum Verständnis, zur Nutzung, Integration und Optimierung von APIs benötigt. Es ist ein grundlegender Bestandteil des gesamten API-Ökosystems. Ein Developer Portal umfasst typischerweise einen Großteil oder alle der folgenden Elemente:

• API-Dokumentation: Ein Repository aller API-Endpunkte, HTTP-Methoden und Anfrageparameter, Fehlercodes, Beispiele für Anfragen und Antworten, Authentifizierungsdaten und weitere Informationen zur API.
  
  
• Anleitungen und Tutorials: Eine Auswahl hilfreicher Dokumente zum Einstieg, oft mit Beispielen und Best Practices.
  
  
• Interaktive Werkzeuge: Eine Spielwiese oder Sandbox, in der Entwickler die API ausprobieren können, ohne selbst Code schreiben zu müssen.
  
  
• Analyse: Ein Dashboard für Entwickler, um ihre API-Nutzung zu verfolgen, einschließlich Anrufvolumen, Antwortzeiten, Ratenbegrenzungen, Nutzungsquoten und weiteren Metriken.
  
  
• Unterstützung: Eine Auswahl nützlicher Dokumente wie FAQs, Änderungsprotokolle, Whitepapers, Webinare, Release Notes und Kontaktinformationen.

API-Management-Plattformen ähneln der intern ausgerichteten Version des extern ausgerichteten Developer Portals. Ein API-Managementsystem bietet Kontrollmöglichkeiten für Teams, die für die API-Überwachung verantwortlich sind, mit Werkzeugen für die Bereitstellung und Außerbetriebnahme während des gesamten API-Lebenszyklus, die Verwaltung des Datenverkehrs, die Fehlerverfolgung, die Durchsetzung von Sicherheits- und Governance-Richtlinien und oft auch die Verwaltung von Abrechnung und Abonnements.

Der menschliche Aspekt des API-Ökosystems lässt sich ebenfalls in drei Gruppen unterteilen:

Die API-Anbieter sind die Personen und Teams, die für die Erstellung und Veröffentlichung der APIs verantwortlich sind, die den Kern des Ökosystems bilden. Dazu gehören unter anderem:

• Entwickler, die Frameworks auswählen, den Code schreiben, API-Endgeräte erstellen, konfigurieren und bauen und unter anderem Fehler finden und beheben.
  
  
• Produktmanager, die das API-Entwicklungsteam leiten und die großen Fragen stellen und beantworten, wie zum Beispiel: „Für wen ist das gedacht?“ „Was soll das leisten?“ „Wie passt das in unsere bestehende IT-Umgebung?“ und „Welche Funktionen muss es haben?“ API-Produktmanager verwalten häufig Partnerschaften und fungieren als Bindeglied zwischen den Entwicklern und anderen Stakeholdern.
  
  
• DevOps-Ingenieure, die dabei helfen, kontinuierliche Integration/Continuous Delivery (CI/CD)-Pipelines zu erstellen und zu automatisieren, automatisierte DevOps-Workflows, die zur Optimierung der API-Bereitstellung, Tests und Optimierung genutzt werden.
  
  
• Sicherheitsingenieure, die sich auf den Schutz vor data breach und anderen Sicherheitsbedrohungen spezialisiert haben. APIs sind darauf ausgelegt, Daten offenzulegen, wenn auch in begrenztem Umfang, was sie zu einem häufigen Angriffsvektor macht. API-Sicherheitsingenieure spielen eine entscheidende Rolle bei der Sicherung von APIs sowie der Anwendungen und Systeme, die sie verbinden.

Das sind die Entwickler, die APIs nutzen, um Anwendungen und Systeme zu integrieren und neue Produkte und Dienstleistungen zu entwickeln. API-Nutzer sind ein entscheidender Bestandteil des Ökosystems – schließlich ist die API genau für diese Zielgruppe konzipiert.

Die Verbraucher können intern sein und demselben Unternehmen angehören, das die API bereitstellt, extern mit eingeschränktem Zugriff oder öffentlich mit vollem Zugriff. API-Design und Dokumentation können je nach Zielgruppe unterschiedlich sein.

Zum Beispiel kann eine selbsterklärendere Benutzererfahrung für eine öffentliche API von Vorteil sein, da die Anbieterorganisation möglicherweise den Bedarf an umfangreicher Fehlersuche und Support reduzieren möchte.

Insbesondere bei öffentlichen APIs kann die Community – eine breitere Gruppe, die Konsumenten und andere Stakeholder umfasst – ein wichtiger Bestandteil des gesamten API-Ökosystems sein. Die Community besteht typischerweise aus internen Entwicklern, Open-Source-Mitwirkenden und Hobbyisten, Geschäftspartnern sowie alltäglichen Nutzern der Anwendungen, die auf die API angewiesen sind, um auf Daten oder Dienste zuzugreifen. Die Community kann zur Verbesserung und Innovation einer API beitragen, indem sie:

• Erstellung oder Entdeckung neuer Anwendungsfälle für eine API
  
  
• Überwachung, das Erkennen von Fehlern, Fehlern oder Verbesserungsmöglichkeiten
  
  
• Aufbau eines Ad-hoc-Systems für Support und Dokumentation auf Plattformen wie Reddit, Stack Overflow und GitHub
  
  
• Hilfe bei der Festlegung und Beibehaltung von Best Practices und anderen Standards
  
  
• Bewerbung einer API gegenüber anderen Entwicklern, Nutzern und Kunden

API-Governance bezieht sich auf die Standards, Richtlinien und Praktiken, die bestimmen, wie ein Unternehmen seine APIs entwickelt, bereitstellt und nutzt. Ziel der API-Governance ist die Förderung von Konsistenz, Zuverlässigkeit, Sicherheit und Effizienz.

API-Governance kann Styleguides, Sicherheitsrichtlinien, Namenskonventionen, Versionsstrategie, Qualitätsstandards, Richtlinien zur Reaktion auf Vorfälle und Katastrophen und vieles mehr umfassen. Für viele Branchen, einschließlich des Gesundheitswesens, umfasst die Governance auch rechtliche Compliance-Entscheidungen, wie HIPAA-Anforderungen oder andere branchen- oder regionsspezifische Vorschriften.

Ein erfolgreiches API-Ökosystem bringt sowohl Unternehmen als auch Entwicklern erhebliche Vorteile:

• Schnellere Innovation: Unternehmen können auf bestehenden Diensten aufbauen und so die Markteinführung neuer Produkte beschleunigen.
  
  
• Erweiterte Reichweite: Entwickler von Drittanbietern erstellen Integrationen, die Unternehmensdienste für neue Plattformen und Benutzer zugänglich machen.
  
  
• API-Sprawl-Minderung: Organisierte API-Bibliotheken und begleitende Dokumentationen helfen Teams, bestehende Dienste zu finden und zu nutzen und verhindern so die Erstellung redundanter Dienste und APIs.
  
  
• Geschäftlicher Nutzen und Monetarisierung: APIs können durch Nutzungsgebühren, Premium-Tarife oder durch die Förderung der Akzeptanz von Kernprodukten zu Gewinnbringern werden.
  
  
• Erhöhte Sicherheit: Ein effektives API-Ökosystem gewährleistet die konsequente Einhaltung von API-Sicherheitsstandards und -protokollen, wie beispielsweise die Verwendung von OAuth. Ein effektives Ökosystemmanagement trägt dazu bei, die Entstehung von Schatten-APIszu reduzieren – also von Ad-hoc-APIs, die ohne Berücksichtigung oder gar Zustimmung der IT-Teams erstellt werden.
  
  
• Wettbewerbsvorteile und Netzwerkeffekte: Die Integration von Unternehmens-APIs durch externe Entwickler treibt die Wechselkosten in die Höhe und führt zu Bindungs- und Lock-in-Effekten. Je mehr Entwickler auf einer Plattform aufbauen, desto wertvoller wird die Plattform, wodurch ein sich selbst verstärkender Kreislauf entsteht, den Wettbewerber nur schwer überwinden können.

• Reduzierte Komplexität: Zugang zu anspruchsvollen Funktionen über einfache Schnittstellen ohne tiefgehende Fachkenntnisse.
  
  
• Fokus auf Differenzierung: Konzentrieren Sie sich darauf, einzigartige Funktionen zu schaffen, statt auf Standardinfrastruktur.
  
  
• Composability: Nutzen Sie Dienste verschiedener Anbieter, um neue, innovative Anwendungen zu schaffen.
  
  
• Berufliche Flexibilität: Transfers von Fähigkeiten mit beliebten APIs zwischen Unternehmen und Projekten.