¿Qué es un ecosistema de API?

Centrarse en el ecosistema de API resulta útil tanto como parte de la transformación digital de una organización como en la formulación de una estrategia de API y modelos de negocio que dan prioridad a las API . Al desarrollar sus iniciativas centrándose en el ecosistema de API, en lugar de limitarse a la propia API, las organizaciones pueden obtener ventajas estratégicas y empresariales, entre las que se incluyen una mejor experiencia del cliente y del desarrollador, una reducción de la proliferación de API, una mayor seguridad de TI y una mayor eficiencia en el desarrollo de aplicaciones.

Los componentes clave de un ecosistema de API se pueden dividir generalmente en tres categorías principales: tecnologías (API e infraestructura asociada), personas (proveedores, consumidores y comunidad) y gobierno (normas, políticas, sistemas de soporte y activos).

La infraestructura técnica de un ecosistema de API consta de varios componentes diferentes, todos ellos conectados entre sí de diversas maneras, a modo de una telaraña. Las propias API son los hilos radiales que unen las distintas partes de la red, mientras que las puertas de enlace de API, las bases de datos, las aplicaciones y los servicios, así como otras formas de infraestructura, conforman los cruces, los nodos y la estructura de la red.

Una API es un conjunto de reglas o protocolos que permite a los programas de software comunicarse entre sí para intercambiar datos, características y funcionalidades. Las API permiten a los propietarios de aplicaciones poner sus datos y servicios a disposición de consumidores internos y externos de forma sencilla y segura.

Las API son cada vez más vitales para los usuarios empresariales de hoy en día; las empresas tienen, de media, más de 600 endpoints de API en producción, y hay negocios enteros que surgieron a partir de API, entre ellos empresas de procesamiento de pagos, empresas de enriquecimiento de datos de correo electrónico y empresas de servicios financieros.  

Una puerta de enlace de API es una capa de software que presenta un único punto de entrada para que los clientes (como aplicaciones web o móviles) accedan a múltiples servicios de backend, a la vez que gestiona las interacciones cliente/servidor.

Las puertas de enlace de API reciben una llamada de API, también conocida como solicitud de API, y la redirigen a uno o más servicios de backend, dependiendo de la naturaleza de la solicitud. A continuación, la puerta de enlace compila los datos solicitados y los devuelve al cliente en una única respuesta. Las puertas de enlace permiten a los clientes consultar varios recursos en una sola llamada, en lugar de tener que consultar varios endpoints con varias llamadas.

Por ejemplo, una puerta de enlace de API que orquesta servicios en un sistema sanitario podría permitir que una aplicación obtenga datos de múltiples recursos (como el historial médico de un paciente, su historial de pagos y su agenda actual) mediante una sola llamada a la API.

Las puertas de enlace de API también centralizan otras tareas críticas, como:

• Equilibrio de carga: distribución del tráfico para evitar la sobrecarga de un único servidor.
  
  
• Limitación de velocidad: restricción del número de solicitudes por usuario para reducir el riesgo de ciertos tipos de ataques, como los ataques de denegación de servicio distribuido (ataques DDoS), que se basan en un exceso de tráfico para saturar los protocolos de seguridad.
  
  
• Autenticación: uso de métodos y protocolos de verificación, como OAuth (Open Authorization), para asignar tokens de acceso, lo que permite un acceso temporal y específico.

Las bases de datos son una parte integral de los ecosistemas de API: almacenan los datos sin procesar que las aplicaciones necesitan para funcionar. Las API sirven de intermediarias y permiten así a las aplicaciones interactuar con las bases de datos de forma estable y segura. Las API proporcionan la interfaz que permite a las aplicaciones realizar operaciones (como CRUD o crear, leer, actualizar o eliminar) en la base de datos.

Las API también proporcionan una capa de seguridad al autenticar y validar el acceso para ayudar a garantizar que solo los clientes autorizados puedan acceder a los recursos. Y las API aportan interoperabilidad al sistema, permitiendo que las aplicaciones escritas en distintos lenguajes de programación o creadas en plataformas diferentes puedan acceder a las mismas bases de datos.

Las aplicaciones constituyen el frontend tecnológico de todo el ecosistema de las API; son las aplicaciones (como las aplicaciones móviles, las aplicaciones web o el software de escritorio) con las que interactúa el usuario, ya sea digital o humano (y no la propia API).

Dentro de la aplicación, el usuario puede seleccionar una acción que requiera que la aplicación acceda a una fuente externa de datos o servicios para completarla. Este intercambio se completa a través de la API. Se envía una solicitud, a menudo denominada llamada o consulta a la API, a la API, que la redirige al servicio de backend responsable del recurso solicitado. A continuación, los datos solicitados se devuelven al cliente a través de la API.

Los microservicios, o una arquitectura de microservicios, son un enfoque de la creación de aplicaciones que divide una aplicación en muchos servicios independientes diferentes que se pueden crear y operar por separado. Los microservicios no son “servicios pequeños”, sino un método arquitectónico para integrar muchos servicios en una aplicación. Los microservicios son útiles por su flexibilidad, ya que permiten escalar y reutilizar los servicios de forma independiente.

Todos estos servicios funcionan de manera conjunta, a menudo comunicándose a través de API o mediante una malla de servicios. Las API también se utilizan para conectar microservicios a aplicaciones y sistemas externos, lo que permite la interoperabilidad y una integración fluida.

En muchos casos, se utiliza una puerta de enlace de API delante de estos servicios para gestionar las solicitudes de API entrantes, redirigirlas al servicio (o servicios) correspondiente y devolver la respuesta al cliente en una única respuesta completa.

Los pipelines de integración continua/entrega continua (CI/CD) forman parte del ecosistema porque suelen utilizarse para desarrollar, implementar y actualizar las API.

Un pipeline de CI/CD es un flujo de trabajo que automatiza el proceso de escritura, integración, prueba e implementación de código. Los desarrolladores pueden escribir código de forma independiente, realizando un seguimiento de los cambios con herramientas como Git, y el código pasa automáticamente por el pipeline de desarrollo para su prueba y validación. A continuación, el código validado se integra en entornos de prueba o repositorios como GitHub. El pipeline de CI/CD es una forma de reducir el tiempo de desarrollo de API o software, disminuir los costes, detectar errores de forma temprana y mejorar la colaboración entre equipos.

El pipeline de CI/CD no es visible para el usuario final; se trata de una metodología habitual que se utiliza para trasladar el código desde el desarrollo hasta la implementación y mejorar continuamente el software y las API mediante actualizaciones periódicas.

El portal para desarrolladores es un centro que reúne todo lo que un desarrollador puede necesitar para comprender, utilizar, integrar y optimizar las API. Es una parte fundamental del ecosistema general de API. Por lo general, un portal para desarrolladores incluye la mayoría o la totalidad de los siguientes elementos:

• Documentación de la API: un repositorio que recoge todos los endpoints de la API, los métodos HTTP y los parámetros de solicitud, los códigos de error, ejemplos de solicitudes y respuestas, las credenciales de autenticación y otra información relativa a la API.
  
  
• Guías y tutoriales: una selección de documentos útiles para empezar, que a menudo incluyen ejemplos y buenas prácticas.
  
  
• Herramientas interactivas: Un entorno de pruebas o aislado en el que los desarrolladores pueden probar la API sin necesidad de escribir código.
  
  
• Análisis: un panel de control para que los desarrolladores puedan realizar un seguimiento del uso de su API, incluyendo el volumen de llamadas, los tiempos de respuesta, los límites de frecuencia, las cuotas de uso y otras métricas.
  
  
• Soporte: una selección de documentos útiles, como preguntas frecuentes, registros de cambios, informes técnicos, webinars, notas de la versión e información de contacto.

Las plataformas de gestión de API son como la versión interna del portal para desarrolladores externo. Un sistema de gestión de API ofrece controles a los equipos encargados de la supervisión de las API, con herramientas para su implementación y retirada a lo largo de todo el ciclo de vida de las API, la gestión del tráfico, el seguimiento de errores, la aplicación de políticas de seguridad y gobierno y, a menudo, la gestión de la facturación y las suscripciones.

El componente humano del ecosistema de API también puede dividirse en tres grupos:

Los proveedores de API son las personas y los equipos responsables de crear y publicar las API en el núcleo del ecosistema. Entre ellos pueden figurar:

• Desarrolladores que eligen marcos, escriben el código, crean, configuran y desarrollan endpoints de API, y detectan y corrigen errores, entre otras tareas.
  
  
• Gestores de productos que dirigen el equipo de desarrollo de API, planteando y respondiendo a las preguntas fundamentales, tales como: “¿Para quién es esto?”, “¿Qué debe hacer?”, “¿Cómo encaja esto en nuestro entorno de TI actual?” y “¿Qué características debe tener?”. Los gestores de productos de API suelen gestionar las colaboraciones y actuar como enlace entre los desarrolladores y otras partes interesadas.
  
  
• Ingenieros DevOps que contribuyen a crear y automatizar los pipelines de integración continua/entrega continua (CI/CD), así como flujos de trabajo automatizados de DevOps destinados a agilizar la entrega, las pruebas y la optimización de las API.
  
  
• Ingenieros de seguridad especializados en la protección contra vulneraciones de datos y otras amenazas de seguridad. Las API están diseñadas para exponer datos, aunque de forma limitada, lo que las convierte en un vector común de ataque. Los ingenieros de seguridad de API desempeñan un papel vital en la protección de las API y de las aplicaciones y sistemas que conectan.

Estos son los desarrolladores que utilizan API para integrar aplicaciones y sistemas y crear nuevos productos y servicios. Los consumidores de API son una parte crucial del ecosistema; al fin y al cabo, es a este grupo al que está destinada la API.

Los consumidores pueden ser internos, parte de la misma organización que proporciona la API, externos con acceso limitado o consumidores públicos con acceso completo. El diseño y la documentación de la API pueden diferir en función de quién sea el usuario al que va dirigida.

Por ejemplo, una experiencia de usuario más intuitiva puede resultar beneficiosa para una API pública, ya que la organización proveedora podría preferir reducir la necesidad de realizar una gestión exhaustiva de incidencias y prestar asistencia.

Especialmente en el caso de las API públicas, la comunidad (un grupo más amplio que incluye a los usuarios y otras partes interesadas) puede constituir una parte fundamental del ecosistema global de las API. La comunidad suele estar formada por desarrolladores internos, colaboradores de código abierto y aficionados, business partners y usuarios cotidianos de las aplicaciones que dependen de la API para acceder a datos o servicios. La comunidad puede contribuir a la mejora y la innovación de una API mediante:

• Creación o descubrimiento de nuevos casos de uso para una API
  
  
• Monitorización y detección de fallos, errores u oportunidades de mejora
  
  
• Creación de un sistema ad hoc de soporte y documentación en plataformas como Reddit, Stack Overflow y GitHub
  
  
• Consolidación y difusión de buenas prácticas y otras normas
  
  
• Promoción de una API entre otros desarrolladores, usuarios y clientes

El gobierno de las API se refiere a las normas, políticas y prácticas que dirigen cómo una organización desarrolla, implementa y utiliza sus API. El objetivo de crear el gobierno de las API es promover la coherencia, la fiabilidad, la seguridad y la eficiencia.

El gobierno de las API puede incluir guías de estilo, políticas de seguridad, convenciones de nomenclatura, estrategias de control de versiones, estándares de calidad, políticas de respuesta a incidentes y desastres, etc. Para muchos sectores, incluida la sanidad, el gobierno también incluye decisiones de cumplimiento legal, como los requisitos de la HIPAA u otras normativas específicas del sector o de la región.

Un ecosistema de API eficaz ofrece importantes beneficios tanto para las empresas como para los desarrolladores:

• Innovación más rápida: las empresas pueden basarse en los servicios existentes, acelerando el tiempo de comercialización de nuevos productos.
  
  
• Mayor alcance: los desarrolladores externos crean integraciones que permiten que los servicios empresariales lleguen a nuevas plataformas y usuarios.
  
  
• Reducción de la proliferación de API: las bibliotecas de API organizadas y la documentación que las acompaña ayudan a los equipos a encontrar y utilizar los servicios existentes, evitando la creación de servicios y API redundantes.
  
  
• Valor empresarial y monetización: las API pueden convertirse en generadoras de beneficios a través de cuotas de uso, niveles prémium o impulsando la adopción de productos básicos.
  
  
• Mayor seguridad: un ecosistema de API eficaz garantiza el cumplimiento sistemático de las normas y los protocolos de seguridad de las API, como el uso de OAuth. Una gestión sólida del ecosistema ayuda a reducir la aparición de API en la sombra, es decir, API creadas de forma improvisada sin tener en cuenta (o incluso sin el conocimiento) de los equipos de TI.
  
  
• Ventajas competitivas y efectos de red: la integración de las API empresariales por parte de desarrolladores externos aumenta los costes de cambio y genera efectos de fidelización y de dependencia. Cuantos más desarrolladores crean aplicaciones en una plataforma, más valiosa se vuelve esta, lo que genera un ciclo que se refuerza a sí mismo y que resulta difícil de superar para los competidores.

• Menor complejidad: acceda a funciones sofisticadas a través de interfaces sencillas sin necesidad de contar con conocimientos especializados en la materia.
  
  
• Enfoque en la diferenciación: céntrese en crear características únicas en lugar de una infraestructura genérica.
  
  
• Componibilidad: aproveche los servicios de distintos proveedores para crear aplicaciones nuevas e innovadoras.
  
  
• Flexibilidad profesional: transfiera habilidades con las API más populares entre empresas y proyectos.