مدیریت هویت و دسترسی (IAM) برای حفاظت از برنامهها و APIهای دیجیتال حیاتی است. IAM برای تفکیک دسترسی مناسب API برای شرکا، مصرفکنندگان عمومی و اکنون با رشد هوش مصنوعی مولد، عوامل AI بسیار مهم است. با این حال، همیشه بخشی از ذهنیت اصلی محصول که در ابتدای طرحهای API امروزی وجود دارد، نیست.
یکی از افرادی که تجربه زیادی در API و IAM دارد، الیزابت فالک، مدیر بخش فعالکنندههای کسبوکار دیجیتال در شرکت بیمه If P&C است، یک شرکت بزرگ بیمه که در منطقه نوردیک و بالتیک فعالیت میکند. IAM بخشی مهم از استراتژی کلی کسبوکار API در If P&C است که کلید تلاشهای تحول دیجیتال شرکت در شبکه شرکایش میباشد.
به گفته فالک، اتخاذ ذهنیت محصول برای API و IAM بسیار موثر بوده است. به کارگیری اصول محصول در API و IAM منجر به کاهش زمان ورود به بازار، بهبود فرایند پذیرش شرکا، تجربه بهتر توسعهدهندگان و درآمد مستقیم شده است. IAM همچنین نقش مهمی در ارائه دسترسی شخصیسازی شده و امن به عوامل AI برای APIها خواهد داشت، پیشبینی میکند فالک.
مصاحبه با الیزابت فالک
سوال: برخی از موارد استفاده کلیدی API در If P&C کدامند و چگونه با استراتژی دیجیتال شما همراستا هستند؟ شرکای شما چگونه از پلتفرم API بهره میبرند؟
فالک: If P&C از APIها برای تعبیه خدمات بیمه در اکوسیستمهای شرکا مانند نمایندگیهای خودرو، پلتفرمهای املاک و خدمات بهداشتی استفاده میکند. پلتفرم API ما از بیش از ۷۰ شریک خارجی، ۱۲۰ تیم داخلی پشتیبانی میکند و بیش از ۴۰ میلیون درخواست API ماهانه را مدیریت میکند.
موارد استفاده کلیدی شامل جریانهای دریافت پیشنهاد و خرید بیمه، رسیدگی به دعاوی و تولید سرنخ است. شرکایی مانند Viking، SBAB Bank، Polestar و Preglife از APIها برای موارد مختلفی استفاده میکنند، مانند بهبود مدیریت دعاوی، مدیریت مالی شخصی، جریان خرید خودرو و حمایت از زنان در دوران بارداری.
سوال: اهمیت کنترل دسترسی و امنیت در این زمینه چیست؟ مدیریت دسترسی و هویت برای شرکای مختلف و نیازهای متنوع چقدر چالشبرانگیز است؟
فالک: مدیریت هویت و دسترسی و امنیت برای موفقیت در استراتژی API ما حیاتی است. APIها با استفاده از انواع مختلف جریانهای OAuth و مکانیزمهای امنیتی دیگر محافظت میشوند. ما از Curity Identity Server، Azure API Management و پلتفرم F5 بهصورت ترکیبی برای حفاظت از APIهای خود استفاده میکنیم. IAM دسترسی محدود شده در کانالها و دستگاهها را تضمین میکند، همراه با ابزارهای نظارت بر ترافیک مخرب و پاسخ به حوادث مطابق با مقررات DORA.
ما همچنین بررسیهای IAM از برنامههای خود و شرکایمان انجام میدهیم تا مطمئن شویم که مطابق با بهترین شیوههاست. مدیریت دسترسی شرکا به پرتال توسعهدهندگان و سایر پرتالها پیچیده است، اما از طریق تأمین هویت فدرال (SSO)، احراز هویت چندعاملی (MFA) یا احراز هویت BankID انجام میشود.
سوال: چرا ذهنیت محصول برای استراتژیهای API و IAM شما موثر بوده است؟ چگونه این قابلیتها را در طول زمان توسعه میدهید و چه مزایای تجاری مشاهده کردهاید؟
فالک: ذهنیت محصول تضمین میکند که APIهای مناسب برای مشتریان و شرکای خود توسعه دهیم. ما از فرآیندهای مدلسازی کسبوکار کلاسیک استفاده میکنیم تا مطمئن شویم ارزش ارائه شده است. همکاری نزدیک بین کسبوکار و IT ضروری است و مهم است که APIها را فقط به عنوان دارایی فنی نبینیم.
مدیریت APIها به عنوان محصول برای تجربه خوب مشتری API و مدیریت چرخه عمر API مهم است. پرتال توسعهدهندگان ما مانند فروشگاهی برای محصولات API است — به عنوان فهرست موجودی با خدمات خودکار و شفافیت برای مشتریان داخلی و خارجی API عمل میکند.
ذهنیت محصول از مقیاسپذیری، مدیریت چرخه عمر، رعایت قوانین و نوآوری حمایت میکند که منجر به پذیرش نرمتر و رضایت بهتر شرکا میشود. مزایای کسبوکار شامل کاهش زمان ورود به بازار، حضور بیشتر در رویدادهای زندگی مشتریان و درآمد مستقیم از طریق فروش تعبیهشده بیمه است.
سوال: If P&C چگونه مدیریت هویت و دسترسی شرکا را اجرا کرده است؟ چه فناوریها، استانداردها یا ابزارهایی برای حمایت از ذهنیت محصول مفید بودهاند؟
فالک: IAM شرکا عمدتاً با استفاده از Curity Identity Server برای احراز هویت، مدیریت هویت مصرفکننده برای مدیریت ویژگیهای هویتی و خدمات پشتیبان برای مجوزدهی پیادهسازی شده است. فدراسیون هویت (SSO)، MFA و BankID روشهایی هستند که بسته به سطح تضمین مورد نیاز برای احراز هویت شرکا استفاده میشوند. رعایت استانداردهایی مانند OpenID Connect و SCIM کلیدی است.
فرایند پذیرش شرکا به API شامل توافقهای قانونی، طراحی مسیر مشتری، ارزیابی IAM برای بررسی امنیت و دسترسی خودکار از طریق پرتال توسعهدهندگان است. این روش کار اطمینان حاصل میکند که رعایت قوانین و تجربه یکسان در مصرف APIها حفظ میشود.
سوال: آیا چالشهایی در پیادهسازی استراتژی API و IAM وجود داشته و چگونه بر آنها غلبه کردهاید؟ درسهای آموخته شده چیست؟
فالک: یکی از چالشهای اصلی ما نبود APIهای پشتیبان و دادههای غیرساختاریافته یا در دسترس نبودن دادهها بود که ارائه آنها از طریق API دشوار است. ما شرکتی با سالها تجربه و فناوری قدیمی، شامل مینفریمها و فرایندهایی هستیم که تولید API را چالشبرانگیز میکنند.
ما این چالشها را با تمرکز بر اصول Data Mesh و API-First و استفاده از معماری میکروسرویس مدرن حل کردهایم. بیش از پنج سال پیش، مهاجرت به پلتفرمهای مدرن IAM و API را آغاز کردیم و فرآیند تأیید تولید (PAP) را برای اطمینان از رعایت بهترین شیوهها و دستورالعملها برقرار کردیم.
درسهای آموخته شده شامل اهمیت همکاری کسبوکار و IT، هماهنگی اولیه در معماری، تمرکز بر در دسترس بودن و مالکیت داده، توسعه پلتفرمهای IAM و API مطابق نیازهای جدید و مدیریت ریسکهای امنیت و حریم خصوصی در طول توسعه و پذیرش است.
سوال: در آینده چه روندهایی شکلدهنده استراتژیهای API و IAM خواهند بود؟
فالک: روندهای آینده شامل پشتیبانی از مشتریان به صورت شخصیسازی شده، به موقع و امن در عصر دیجیتال یکپارچه است. انتظار داریم اکوسیستم شرکای خود را گسترش دهیم و در نتیجه نیاز بیشتری به خودکارسازی و خدمات خودکار برای APIها و قابلیتهای IAM ایجاد شود.
APIها و IAM برای راهحلهای AI و به ویژه برای دسترسی عوامل AI به دادهها و عملکردها کلیدی هستند. پشتیبانی از پروتکلهایی مانند Model Context Protocol (MCP) یا پروتکلهای مشابه برای خدمترسانی ساختارمند و امن به عوامل اهمیت خواهد داشت. مشتریان و کارکنانی که از عوامل AI استفاده میکنند، به دادههای دقیق، شخصیسازی شده و به موقع نیاز دارند و قابلیتهای API و IAM نقش مهمی در آن خواهند داشت.
علاوه بر این، DORA، European Identity Wallet و Financial Data Access Regulation (FiDA) بر استراتژیهای API و IAM ما و سایر شرکتهای مالی در اروپا تأثیر خواهند گذاشت.
