Das Azure API Management versteht sich als hybride Multi-Cloud-Managementplattform für APIs in allen denkbaren Umgebungen. Da es sich um eine Plattform-as-a-Service handelt, kümmert sie sich um den vollständigen Lebenszyklus der Programmierschnittstellen.
Die Architektur von Azure API Management.
(Bild: Microsoft)
Die Zeiten wandeln sich. Im Spannungsfeld zwischen Software- und Systemarchitektur hat es über die Jahrzehnte viele Strömungen und Ideen von Enterprise Service Bus bis serviceorientierte Architektur (SOA) gegeben. Im Kern ging es dabei immer um die Frage, ob die „Intelligenz“ am Endpunkt oder im Bus unterzubringen ist.
Ganz generell verlagert sich beim Migrieren von Anwendungen in die Cloud ein Großteil der Komplexität, die bei klassischen Anwendungsdesign in der Software-Architektur steckte, in die Systemarchitektur. Dazu gehören Messaging-Lösungen ebenso wie APIs. Zu letzteren gehören mitnichten nur RESTful-APIs, auch wenn diese die Cloud-Welt dominieren.
Als PaaS, also Platform-as-a-Service, kann das AzureAPI-Gateway dabei helfen, die Komplexität der Back-End-Architektur von API-Konsumenten zu abstrahieren. Die Plattform dient dazu, Dienste sicher bereitzustellen, egal ob diese in Azure oder außerhalb gehostet sind. Außerdem unterstützt der Dienst die User beim „Beobachten“, Schützen oder Beschleunigen ihrer APIs sowie dabei, die API-Nutzung durch interne oder externe Nutzer zu überwachen.
Use Cases für API Management
Zu den populärsten Anwendungsfällen dieses Dienstes gehört zum Beispiel die B2B-Integration: stehen APIs Partnern und Kunden zur Verfügung, erleichtern sie die Integration von Geschäftsprozessen oder den Austausch von Daten. APIs eliminieren nämlich den Mehraufwand, der üblicherweise mit einer Point-to-Point-Integration einhergeht.
Zur Skalierung der B2B-Integrationen tragen insbesondere die API-Gateway-Funktionen Self-Service-Ermittlung und Self-Service-Onboarding bei. Auch die API-orientierte App-Integration ist ein Parade-Use-Case – schließlich ist eine API nicht anderes, als ein einfach einsetzbares, selbstbeschreibendes und standardisiertes Verfahren, um Anwendungen, Daten, Services oder Prozesse verfügbar zu machen und den Zugriff darauf zu verwalten.
Häufig kommen APIs auch zum Einsatz, um Legacy-Backends zu abstrahieren bzw. zu modernisieren, und sie mit Hilfe neuer Cloud-Dienste modernen Anwendungen zugänglich zu machen. So helfen APIs dabei, Innovationen zu testen bzw. voranzutreiben – ohne die Risiken und Verzögerungen, welche letztlich die Kosten treiben, die mit einer Migration einhergehen würden.
APIs kommen auch zum Einsatz, um Benutzerumgebungen wie Web-Anwendungen, mobile Anwendungen und IoT-Anwendungen zu realisieren: Schließlich lassen sich APIs problemlos wiederverwenden, was Entwicklung und Amortisation beschleunigt.
Komponenten von API Management
Das Microsoft Azure API Management stellt alle erforderlichen Funktionalitäten zur Verfügung, um erfolgreich ein API-Programm implementieren zu können, bei dem jede API aus einer oder mehreren Operationen besteht und zu einem oder mehreren „Produkten“ hinzugefügt werden kann.
User abonnieren dann einfach das „Produkt“, das diese API enthält und können dann Operationen in der der API aufrufen, natürlich in Abhängigkeit der jeweiligen Nutzungsrichtlinien. Im Detail besteht das API-Management aus dem eigentlichen API-Gateway, der Verwaltungsoberfläche im Azure-Portal für das Erstellen und Verwalten von APIs und einem Entwickler-Portal.
Die Architektur von Azure API Management.
(Bild: Microsoft)
Das API-Gateway als zentraler Dienst dient dem Akzeptieren und Weiterleiten von API-Aufrufen an die jeweiligen Backends, dem Überprüfen von API-Keys, JWTs, Zertifikaten oder anderen Anmeldeinformationen sowie der Erzwingung von Nutzungskontingenten oder der Drosselung der Übertragungsraten. Es erlaubt zudem ein dynamisches Transformieren von APIs ohne Code-Änderungen, das Zwischenspeichern von Backend-Antworten sowie das Protokollierung der Metadaten jedes Aufrufs zwecks weitergehender Analyse.
Im Azure-Portal-Blade von API-Management lassen sich API-Schemas definieren (oder vorhandene importieren), APIs zu „Produkten“ bündeln, Richtlinien konfigurieren, Transformationen oder Kontingente sowie die API-Nutzung überwachen. Außerdem dient das Azure-Portal der Benutzerverwaltung.
Entwickler und Entwicklerinnen verwenden das Developer-Portal zum Testen ihrer APIs mit der interaktiven Konsole, zum Erstellen von Konten und Anfordern von API-Schlüsseln sowie zur Analyse der eigenen Nutzung. Außerdem stellt das Portal die API-Dokumentation zur Verfügung.
Begrifflichkeiten
Das API-Management stellt so genannte „Produkte“ zur Verfügung. Jedes dieser Produkte enthält eine oder mehrere APIs mit Titel, Beschreibung und Nutzungsbedingungen, die offen oder geschützt sein können. Über „Gruppen“ (Administratoren, Entwickler, Gäste) wird die Sichtbarkeit von Produkten für verschiedene User realisiert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In einer API-Management- oder kurz APIM-Dienstinstanz ist ein „Entwickler“ ein Benutzerkonto. Dies wird von einem Administrator erstellt, entweder unmittelbar oder in Form einer Einladung, wobei jeder Developer Mitglied in einer oder mehreren der o. a. Gruppen ist und Produkte abonnieren kann, in den entsprechenden Gruppen sichtbar sind.
Beispiel-Szenario
Ein eigenes Szenario kann aus mehreren Front-End- und Back-End-Diensten bestehen. Dabei stellen sich dann meist Fragen: Wie erfährt z. B. der Client, welche Endpunkte er aufrufen muss? Was soll beim Einführen neuer oder Ändern vorhandener Dienste passieren? Wie gehen Dienste mit einer SSL-Beendigung um oder wie ist die Authentifizierung auszuhandeln? Hier kommt dann ein API-Gateway ins Spiel.
Beispiel-Szenario für das API-Management.
(Bild: Microsoft)
Allgemein kann ein API-Gateway als Reverse Proxy zwischen Clients und Diensten agieren. Es leitet Anforderungen von Clients an Dienste weiter und kann verschiedene übergreifende Aufgaben wie Authentifizierung, SSL-Terminierung oder eine Ratenbegrenzung zur Verfügung stellen.
Ohne API-Gateway müssten Clients Anforderungen immer direkt an die jeweiligen Front-End-Dienste senden. Dies kann mitunter zu zahlreichen Problemen führen, z. B. zu komplexerem Client-Code oder zu einer direkten Kopplung zwischen Client und Backend, bei der der Client Informationen zur Aufspaltung der einzelnen Dienste braucht. Dies erschwert die Verwaltung oder bedingt, dass für einen einzelnen Vorgang möglicherweise mehrere Dienste aufgerufen werden müssten, was wiederrum zu zusätzlichen Network Roundtrips zwischen Client und Server führen würde.
Jeder öffentliche Dienst müsste dann auch Aspekte wie Authentifizierung, SSL sowie Ratenbegrenzung behandeln und ein Client-freundliches Protokoll wie HTTP oder WebSocket zur Verfügung stellen. Dies wiederrum schränkt die in Frage kommenden Kommunikationsprotokolle ein. Zudem stellen öffentliche Endpunkte stets ein potenzielles Angriffsziel dar.
Erstellen eine Backend-API
Im folgenden abschließenden Beispiel wollen wir nun eine einfache Backend-API über das Azure-Portal bereitstellen. Ein Azure-Account wird hierfür vorausgesetzt.
Anmelden beim Azure-Account in der Azure CLI und Festlegen benötigter Variablen.
(Bild: Drilling / Microsoft)
Zum Erstellen einer ersten API-Management-Instanz verwenden wir die Azure-CLI, konkret den Befehl „az apim create“. Dazu legen wir zuerst einige Variablen fest, neben Location und E-Mail-Adresse vor allem den Namen der API:
Erstellen einer neuen APIM-Instanz in einer neuen Ressourcengruppe.
(Bild: Drilling / Microsoft)
Dann erstellen wir eine passende Ressourcen-Gruppe und schließlich die APIM-Instanz im „Consumption“-Plan. Für diesen Beispiel importieren wir nun eine Back-End-API mit OpenAPI-Spezifikation im Azure Portal.
Das API Management im Azure-Portal mit einen großen Katalog an Vorlagen. Wir verwenden „OpenAPI“.
(Bild: Drilling / Microsoft)
Hierfür suchen wir im Azure Portal nach „API Management-Dienste“, wählen die erstellte API Management-Instanz aus und navigieren dort zum Eintrag APIs. Nun klicken wir im Abschnitt „Create from definition“ auf „OpenAPI“, setzen den Sichtbarkeits-Schieberegler auf „Full“ und füllen den Dialog „Create from OpenAPI specification“ wie folgt aus.
Eine offene Konferenz-API auf Basis der OpenAI/Swagger-Spezifikationen.
(Bild: Drilling / Microsoft)
Der Eintrag unter OpenAPI-Spezifikationen lautet: https://conferenceapi.azurewebsites.net/, eine auf Swagger basierende Beispiel-OpenAPI-Spezifikation für ein Konferenzverwaltungssystem. Anzeigename, Name und Beschreibung lassen sich nach Wunsch ausfüllen, um dann auf „Create“ zu klicken.
Prüfen der Einstellungen für die Backend-API.
(Bild: Drilling / Microsoft)
Damit wird die neue Konferenz-API erstellt und wir müssen nun ein Backend angeben. Hierfür navigieren wir im Hauptfenster der API auf der rechten Seite zu „Settings“ und prüfen, dass bei „Web service URL“ der Wert https://conferenceapi.azurewebsites.net/ eingetragen wurde. Das Häkchen im Abschnitt „Subscription“ bei „Subscription required“ entfernen wir, um die Demo nicht unnötig zu erschweren.
Auswahl eines API-Aufrufs zum Testen direkt im Azure-Portal.
(Bild: Drilling / Microsoft)
Nun lässt sich die API prüfen, ein Klick auf „Test“ genügt. Anschließend können wir uns einen beliebigen Aufruf der API wählen, z. B. „GetSessions“. Auf der rechten Seiten finden sich beispielsweise diverse Abfrageparameter wie „speakername“ sowie weiter unten den „Request URL“ und der „Http-Request“. Ein ggf. erforderlicher Ocp-Apim-Subscription-Key, der dieser API zugeordnet ist, würde automatisch ausgefüllt.
Ein erfolgreicher Test-Aufruf.
(Bild: Drilling / Microsoft)
Ist alles okay, können wir auf „Send“ klicken und sollten im positiven Fall einen HTTP-Response mit dem Status Code „200“ und der Liste der gewünschten Speaker im HTTP1.1-Format erhalten.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/6c/976cff4c82dd3a99f7fdd0fe4704feea/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/2a/67/2a670dcc420afba3d42871595592803a/0126619828v1.jpeg "Schritt für Schritt: So lassen sich BaaS-Backends konfigurieren und per SDK nahtlos in Anwendungen integrieren. (Bild: © hakinmhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/ec/5bec8aa7fa6c3c28572a5d1bf28a1566/0128302554v1.jpeg "Azure Storage Discovery ist ein vollständig verwalteter Dienst, der unternehmensweite Transparenz über Azure Blob Storage-Datenbestände bietet. (Bild: © Aliaksandr Marko - stock.adobe.com)")