SAML, un (futur) standard pour les solutions de gestion des droits d'accès

Agé de seulement deux ans, le marché des solutions d'administration des droits d'accès utilisateur sur Internet devrait se structurer et gagner en maturité. C'est du moins l'avis que vient d'émettre le Gartner Group dans une note datée du 29 mai 2001. Deux facteurs motivent cette position. Primo, le cabinet estime que les projets e-business différés à cause de la conjoncture vont être remis sur l'établis d'ici à la fin de l'année. Secundo, le Gartner voit dans le standard SAML en cours de gestation un puissant facteur de maturation de l'offre.

Faire du SSO une réalité
Elaboré sous la tuelle de l'OASIS, SAML (pour Security Assertions Markup Language) est soutenu par plusieurs éditeurs tels que Netegrity, Bowstreet, Commerce One, Verisign ou encore webMethods. A l'origine, il s'agit d'une proposition de Netegrity connue sous le nom de S2ML (Security Services Markup Language). Elle a notamment pour but de faciliter l'interopérabilité entre les solutions de gestion des droits utilisateurs sur Internet. "De cette façon, il sera plus aisé par exemple de mettre en oeuvre une procédure de Single Sign On (SSO ou login unique) pour accéder à un ensemble de sites", illustre Marc Chanliau, chef produit chez Netegrity, expert XML et grand artisan de ce travail de standardisation.

Concrètement, SAML définit des formats de messages XML et un vocabulaire pour véhiculer des informations qui composent une procédure d'authenfication. Attention, ce protocole ne représente pas une nouvelle architecture de sécurité ou un nouveau procédé de chiffrement; il se "contente" (et c'est là sans doute l'une des clefs de son possible succès) de standardiser le dialogue entre les plates-formes existantes. D'autres travaux sont d'ailleurs en cours pour standardiser la manière de décrire les politiques de droit d'accès (XACML) ou encore les infrastructures à clefs publiques (XKMS). Ainsi, SAML ne couvre pas la négociation des modalités d'authentification entre plusieurs parties. "Pour que SAML entre en action, les parties concernées doivent s'être entendues sur le modèle d'authentification, la politique de droit d'accès, etc", souligne Marc Chanliau. En fait, SAML intervient pour industrialiser les échanges de messages relatifs à l'authentification.

Authentifier les individus et... les Web Services
Ces échanges SAML pourront emprunter différentes voies de transport, de HTTP à SNMTP en passant par SOAP, la méthode d'invocation des Web Services. Car, comme le précise Marc Chauliau, "il ne s'agit pas seulement de faciliter l'authentification des individus mais aussi des Web Services qui, dans un contexte d'intégration B to B", s'invoquent les uns les autres.

Quand les utilisateurs pourront-ils bénéficier de produits estampillés SAML ? Dans sa note, Gartner Group indique que les premières implémentations pourraient apparaître d'ici à la fin de l'année. Un pronostic un brin "optimiste" de l'avis de Marc Chauliau. Toutefois, comme à l'habitude dans ces chantiers de standardisation, les éditeurs n'attendront certainement pas la validation de la spécification pour en tenir compte dans leurs produits. Netegrity, pour sa part, travaille d'ores et déjà à l'intégration de S2ML dans son produit Transaction Minder. "Dès que SAML sera validé, il ne sera pas très compliqué d'établir des correspondances entre les balises de S2ML et de SAML", note Marc Chauliau. Probable que d'autres suivront cette voie, d'autant que, comme le rappelle la note du Gartner, Netegrity occupe clairement aujourd'hui la place de leader sur un marché que des challengers comme HP, Tivoli et Novell entendent bien occuper.