Welche neuen Möglichkeiten bietet ein API-Management?
Der Blog-Beitrag soll Unternehmen, die Daten zusammentragen, pflegen und nutzen oder auch anderen Unternehmern zur Verfügung stellen, eine Orientierungshilfe bieten, zu entscheiden, ob sie ihr vorhandenes Datenmanagement mit einem API Management erweitern wollen. Nicht zuletzt hängt davon ab, wie komfortabel sich Datenbestände nutzen lassen, oder gar, ob man sie Dritten zur Verfügung stellen und damit Geld verdienen kann.
Heute gelten Daten, ob über Produkte, Dienstleistungen, Personen (auch wenn das mehr Google und Facebook betrifft, die mit Personendaten ihre Werbeeinnahmen erzielen) und vieles mehr als das Öl des Informationszeitalters. Die meisten von uns fragen täglich unzählige Daten im Internet ab, die zuvor jemand entsprechend aufbereitet dort hinterlegt hat.
Wer sich für diese Daten interessiert, dem ist es sicherlich egal, wie Unternehmen diese zusammenführen und so aufbereiten, dass sie nicht nur firmenintern genutzt, sondern auch extern, zum Beispiel einem Internetportal, zur Verfügung gestellt und somit integriert werden können. Und wer sich für diese Daten interessiert, fragt sich sehr wahrscheinlich auch nicht, wie das technisch funktioniert.
Für ein gut funktionierendes Datenmanagement gibt es natürlich mehrere Möglichkeiten. Das Zauberwort für einen zeitgemäßen und optimalen Datenfluss lautet aktuell API-Management. Dabei bietet das Management von APIs, die Abkürzung für Application Programming Interface, neue Optionen, Daten intern zu verwalten und extern bei anderen Unternehmen zu integrieren.
Produkt- oder Kundendaten wurden und werden bislang am ehesten in einem Product Information Managementsystem (PIM) oder in einem Customer Relationship Managementsystem (CRM) abgelegt. Solche Datensysteme zusammenzuführen, ist über APIs zwar schon lange möglich. Man konnte auf einfache Art und Weise bisher aber nur firmenintern auf die Daten zugreifen. Eine neue Generation von digitalen Werkzeugen (Tools) wie das API-Management ermöglicht es nun aber auch externen Partnern, auf firmeninterne Daten zuzugreifen und sie für den eigenen Bedarf zu nutzen und sie zum Beispiel auf der eigenen Website zu integrieren. So kann etwa die Pharmaindustrie mit diesem Tool Kunden wie Online-Apotheken ohne weiteres die eigenen Datensammlungen mit Namen von Präparaten, Preisen, Fachinformationen, Packungsbildern und Ähnliches zur Verfügung stellen. Diese Daten sind dann bisweilen das, was Dritte, also die Internet-User, bei entsprechender Schlagwortsuche finden.
Ein API-Management bietet darüber hinaus die Möglichkeit, die Daten gegen unbefugten Zugriff zu sichern. Das heißt jeder Kunde bekommt einen individuellen API-Key, also einen API-Zugangs-Schlüssel, so dass nur diejenigen auf die Daten zugreifen können, die den Zugangsschlüssel kennen. Das Unternehmen, das die Daten zur Verfügung stellt, hat im Gegenzug die Möglichkeit zu kontrollieren, wie oft externe Nutzer auf die Daten zugreifen, um bei auffällig hoher Frequenz die Informationen ggf. nur noch gegen Bezahlung zur Verfügung zu stellen. Oder im Falle eines Missbrauchsverdachts kann der Datenanbieter den Zugangsschlüssel löschen.
Ein weiterer Punkt beim API-Management ist die Möglichkeit der Monetarisierung, also dass ein Unternehmen für die Daten, die es einem externen Anbieter zur Verfügung stellt, Geld von diesem verlangt. Preisvergleichsportale sind ein typischer Fall für die Nutzung von Daten durch Dritte. Ob check24.de, ein Portal für die Bereiche Versicherungen, Finanzen, Energie, Telekommunikation, Reisen und Einkaufen, medizinfuchs.de oder andere Preisvergleichsportale, für jede dort zur Verfügung stehende Information könnte der Datenanbieter einen Centbetrag vom Produktanbieter verlangen, sobald jemand im Internet diese Produktinformation aufruft. Dies hätte für den Datenanbieter den Vorteil, dass er sich nicht durch aufwändiges Screen-Scraping – dabei läuft ein Robot über die Web-Seiten und greift deren Daten ab – die Informationen selbst von der Web-Seite des Produktanbieters abgreifen muss.
Auch exensio nutzt solche API-Management-Lösungen, insbesondere die als Open-Source verfügbaren, und ging der Frage nach:
Wie kann ein API-Management das digitale Pharma-Marketing unterstützen?
In diesem Blog-Post berichten wir über ein aktuelles Projekt bei einem unserer Pharma-Kunden.
Früher hat man APIs vor allem als Möglichkeit gesehen, verschiedene Dritt-Systeme wie PIM, CRM oder ERP (Enterprise-Resource-Planning) miteinander zu verknüpfen bzw. ein System in ein anderes zu integrieren, um Dateninformationen aus verschiedenen Quellen zusammenzuführen. Durch die Bereitstellung jedweder solcher Daten an Dritte können Unternehmen auch Geld verdienen. Sie mit dem richtigen Datenmanagement anzubieten wie APIs es ermöglichen, ist in diesem Zusammenhang eine wichtige Weichenstellung.
Einfach formuliert ermöglicht ein API-Management die Bereitstellung eben dieser Daten über APIs. Hierzu können Back-End-Services (bspw. als Micro-Services), die die Daten zur Verfügung stellen, orchestriert und die Autorisierung für den Zugriff der Daten gesteuert werden.
Grundsätzlich könnte man innerhalb eines Projekts selbst ein API-Management entwickeln. Es ist jedoch sinnvoll, nicht das Rad neu zu erfinden, sondern auf ein Tool zurückzugreifen, das es bereits gibt und das noch dazu auch als Open-Source verfügbar ist. Neben der Open-Source-Variante gibt es auch kostenpflichtige (proprietäre) Lösungen, hier können beispielsweise Apigee (von Google aufgekauft und nun Bestandteil der Google Cloud Platform), Axway oder Mulesoft genannt werden. Bei Mulesoft ist vielleicht noch zu erwähnen, dass deren Lösung auf einem Enterprise Service Bus basiert und damit auch gleich eine Integrationsplattform mitgeliefert wird. Bei den Open-Source-Varianten sind unter anderem KONG oder WSO2 bekannt.
API-Management ermöglicht Folgendes:
- Es stellt über Web-Schnittstellen Daten für den externen Zugriff zur Verfügung, zum Beispiel über REST APIs
- Zusammenführen von Zugriffen auf verschiedene Service APIs in einer zentralen API, um eine Bündelung existierender Services zu erreichen. Dies könnte im Pharmabereich der Zugriff auf den Preis eines Präparats in der einen Datensammlung und das dazugehörige Packungsbild in einer anderen sein, die dann gebündelt als eine Information zur Verfügung stehen.
- Verwaltung der API-Keys für die Zugangskontrolle, zusätzlich wird von den meisten Tools auch OAuth2 bzw. OpenID Connect unterstützt.
- Sammlung und Analyse von Nutzungsstatistiken. Hierfür bietet vor allem proprietäre Software Funktionen an, bei Open-Source muss diese meistens kostenpflichtig erworben werden. Mit Elasticsearch in Kombination mit Logstash und Kibana findet man ebenfalls eine geeignete Lösung.
- Portal mit Informationen zu den unterschiedlichen APIs. In unserem Fall haben wir das allerdings nicht benötigt. Diese Möglichkeit ist eher für Unternehmen gedacht, die ihre Services einem großen öffentlichen Nutzerkreis wie beispielsweise Google Maps zur Verfügung stellen wollen. In unserem Fall erhält der Nutzer der REST API entweder eine PDF- oder eine Swagger(https://swagger.io/)-Dokumentation der API.
- Monetarisierung der APIs, sprich der End-Kunde muss für die Benutzung der API Gebühren bezahlen. Das ist derzeit eher außerhalb der Pharma-Branche von Bedeutung, hatte daher in unserem Projekt keine Relevanz.
Und was bringt API Management für das digitale Pharma-Marketing?
Wir nähern uns der Thematik, welche Anforderungen unser Projekt zu erfüllen hatte, wenn wir Online-Apotheken oder Apps den Datenzugriff ermöglichen und gleichzeitig den Zugriff darauf steuern wollen. Denn auch die Pharma-Branche unterliegt immer mehr der Digitalisierung. Sie möchte daher Fachkreisen wie Ärzten und Apothekern höherwertige Informationen zur Verfügung stellen, um sie für die eigenen Produkte und Services zu gewinnen. So benötigen verschiedenste Web-Portale und mobile Apps Zugriff auf die Daten. Früher hat man den Zugriff nicht reglementiert, da diese nur firmenintern erfolgten. Diese zu dokumentieren, war daher nicht erforderlich. Sobald allerdings Externen, wie etwa Kunden, der Zugriff auf Daten gewährt werden soll, ist das natürlich nicht mehr vertretbar. Den Zugriff steuern nun API-Keys, die das eingeführte API Management-System verwalten kann. Dabei ist es auch möglich, dem Nutzer die API-Keys zu entziehen und damit den Zugriff zu verweigern. Des Weiteren wurde der ELK-Stack (Elasticsearch-Logstash-Kibana) für die Analyse bzw. das Reporting der Zugriffe aufgesetzt. So lassen sich jetzt fast in Echtzeit Zugriffs-Statistiken erstellen und auswerten. Mit Einführung des API Managements ergibt sich noch ein weiterer Vorteil: Das Gesamtsystem, das aktuell als Monolith existiert, soll zukünftig in zwei separate Services aufgeteilt werden. Durch die Einführung des API-Managements ändert sich die Schnittstelle zu den Clients allerdings nicht, obwohl wir im Hintergrund die Services, im Rahmen eines Refactorings, aufteilen.
Fazit
Durch die Einführung eines API-Managements lässt sich mit einem überschaubaren Budget der Zugriff auf Services einfach kontrollieren und überwachen. Auch der Einsatz von Open-Source hat sich bewährt.