Scope og etablere (forvaltning av) API Management i Altinn 3

[aas-tbuar]

API management refererer til prosessen med å opprette, distribuere, sikre, overvåke og vedlikeholde API-er (Application Programming Interfaces) på en kontrollert og skalerbar måte. Dette issuet skal dekke ansvar og oppgaver som ligger til Team Kunde.

• Dokumentasjon
• Onboarding
• Måling
• Bruksvilkår
• osv

Oppgaven får sannsynligvis oppfølgere når API management er etablert.

Out of scope

• Teknisk oppsett av API management - håndteres av plattformteam
• Teknisk sikring av kontroll på hvem som har tilgang - håndteres av prosjekt Modernisering
• Teknisk oppsett av måling av bruk av API - håndteres av prosjekt Modernisering
• Oversikt over API-er - etablere førsteversjon - håndteres av prosjekt Modernisering
• https://github.com/Altinn/kunde/issues/36 - avhengighet som håndteres som del av #14

### Tasks
- [ ] Oversikt over API-er - rutiner for vedlikehold
- [ ] Kontroll på hvem som har tilgang - etablere og vedlikeholde oversikt samt rutiner for QA
- [ ] Måling av bruk - behov/rutine for faste rapporter
- [ ] https://github.com/Altinn/kunde/issues/39
- [ ] Administrativ rutine for stenging av tilgang til API
- [ ] Rutiner for oppfølging av bruksvilkår for SBS

[lvbachmann]

Foreløpig oppsummering av behov/brukscase

(Liste hentet fra moderniseringsprosjektets oppgave "Kontroll på og oversikt over API-bruk". Det er ikke konkludert her med at API Management er løsningen på behovet.)

1. Vi ønsker å sjekke om et bestemt system (f.eks. Upscore) er blant de som kan bruke API-ene til Altinn i sitt system
2. Vi ønsker å vite om et bestemt system (f.eks. Fiken) faktisk har tatt i bruk API-ene til Altinn i sitt system. Herunder: Sjekk av om et bestemt system har tilgang til et bestemt API.
3. Vi ønsker å vite hvor stor andel av instansene for MVA-melding som er sendt via et bestemt system
4. Vi ønsker å vite hvilken leverandør som har lagd et SBS med et angitt navn for å verifisere at systemet er det det gir seg ut for
5. Vi ønsker å vite hvem vi kan kontakte dersom vi trenger dialog med et bestemt SBS, f.eks. hvis vi oppdager et uheldig bruksmønster
6. Vi ønsker å være sikre på at leverandør av SBS har godtatt vilkår for bruk av våre API-er før de tar dem i bruk
7. Vi ønsker, ved behov, å kunne stenge ute trafikken fra et bestemt SBS, f.eks. fordi det spammer løsningen med API-kall som medfører høye kostnader / ustabil drift
8. Som 7, men mer granulert – f.eks. at en SBS kan fortsette å brukes til innsending av MVA-melding, men stenges ute fra Skattemelding
9. Altinn II har støtte for å angi at tjeneste X kun er tilgjengelig fra portal. Noen kan ha samme ønske for Altinn 3 (selv om det ikke er eksplisitt etterspurt så langt)

[lvbachmann]

Potensielt overlappende diskusjon i arkitekturforum: https://github.com/Altinn/architecture-decision-log/issues/9

[lvbachmann]

Hypotese til vedlikehold av API-oversikt: Alle produkteiere som tilbyr API-er har ansvar for vedlikehold av sine beskrivelser. Bør være sjekkliste-punkt i DOD.