Gérez et exposez vos APIs avec WSO2

• Bonnes bases HTTP/REST et JSON
• Notions OAuth2/OIDC souhaitées
• Java non indispensable mais utile pour extensions (policies/handlers)

• Concevoir, publier et gouverner des APIs REST/GraphQL/Async dans APIM 4.6
• Mettre en place API Products, versioning et lifecycle avec bonnes pratiques
• Sécuriser les APIs (OAuth2, OIDC, mTLS, JWT, scopes, Key Managers externes)
• Configurer politiques de throttling avancées (SLA, quotas par requête / par token IA, plans business)
• Exploiter analytics & observabilité (dashboards, alerting, logs, traces)
• Déployer APIM en mode tout-en-un ou distribué, et comprendre les scénarios multi-environnements / fédérés
• Manager des APIs IA/LLM et exposer des endpoints compatibles MCP.

Jour 1 — Fondamentaux APIM 4.6 & cycle de vie

Introduction à l’API Management moderne

• APIs comme produits (valeur, gouvernance, monétisation)
• Rôle d’un API Manager vs gateway
• Panorama WSO2 APIM et cas d’usage entreprise

Architecture APIM 4.x

• Plans: control plane / management plane / data plane
• All-in-one vs distribué, HA, multi-environnements
• Notions de fédération de gateways et déploiements hybrides

Prise en main: Portails & rôles

• Publisher, Dev Portal, Admin Portal
• Tenants, organisations, RBAC, groupes et permissions

Design & création d’API

• Import OpenAPI/Swagger, mock, endpoints, mediation simple
• REST vs GraphQL vs Async (intro selon besoin)
• Bonnes pratiques de naming, context, resources

Publication, versioning & API Products

• Lifecycle, dépréciation, retrait
• Versioning “in place” / nouvelle version
• API Products: packaging d’APIs, plans, subscriptions

TP fil rouge jour 1

• Créer une API depuis OpenAPI
• Publier v1, créer v2 + déprécier v1
• Créer un API Product et exposer un bundle cohérent

Jour 2 — Sécurité, politiques avancées, analytics & APIs IA

Sécurité & gestion des accès

• OAuth2, OIDC, scopes, JWT
• Key Manager interne vs externe (ex. WSO2 IS/Asgardeo)
• mTLS, CORS, API keys, subscriptions

Throttling & SLA avancés

• Policies (application / subscription / API / resource)
• Plans business, limitations par consommateur
• quotas et rate limits token-based pour APIs IA/LLM

Observabilité & Analytics

• Stats d’usage, latence, erreurs, adoption
• Alerting, export, intégrations SIEM/APM
• Bonnes pratiques d’exploitation

Déploiement, upgrade & opérations

• Install rapide, conf externalisée, CI/CD
• Stratégies d’upgrade et points d’attention (4.2?4.5 sans migration, migrations 4.3/4.4)

APIs IA, LLMs & MCP

• Exposer une API “LLM-backed” via APIM
• Gouvernance coûts/usage: token analytics, throttling par token
• Introduction et usage de MCP Gateway
• Scénarios: agents IA consommant des APIs internes

TP fil rouge jour 2

• Sécuriser l’API (OAuth2 + scopes)
• Créer 2 plans SLA (standard / premium)
• Mettre une policy de quota token-based (cas IA)
• Suivre trafic & alertes dans Analytics