06/11/2001
SAML,
un (futur) standard pour les solutions de gestion des
droits d'accès
Agé
de seulement deux ans, le marché des solutions
d'administration des droits d'accès utilisateur
sur Internet devrait se structurer et gagner en maturité.
C'est du moins l'avis que vient d'émettre le
Gartner Group dans une note datée du 29 mai 2001.
Deux facteurs motivent cette position. Primo, le cabinet
estime que les projets e-business différés
à cause de la conjoncture vont être remis
sur l'établis d'ici à la fin de l'année.
Secundo, le Gartner voit dans le standard SAML en cours
de gestation un puissant facteur de maturation de l'offre.
Faire du SSO une réalité
Elaboré sous la tuelle de l'OASIS,
SAML (pour Security Assertions Markup Language) est
soutenu par plusieurs éditeurs tels que Netegrity,
Bowstreet, Commerce One, Verisign ou encore webMethods.
A l'origine, il s'agit d'une proposition de Netegrity
connue sous le nom de S2ML (Security Services Markup
Language). Elle a notamment pour but de faciliter l'interopérabilité
entre les solutions de gestion des droits utilisateurs
sur Internet. "De cette façon, il sera plus
aisé par exemple de mettre en oeuvre une procédure
de Single Sign On (SSO ou login unique) pour accéder
à un ensemble de sites", illustre Marc Chanliau,
chef produit chez Netegrity, expert XML et grand artisan
de ce travail de standardisation.
Concrètement, SAML définit des formats
de messages XML et un vocabulaire pour véhiculer
des informations qui composent une procédure
d'authenfication. Attention, ce protocole ne représente
pas une nouvelle architecture de sécurité
ou un nouveau procédé de chiffrement;
il se "contente" (et c'est là sans
doute l'une des clefs de son possible succès)
de standardiser le dialogue entre les plates-formes
existantes. D'autres travaux sont d'ailleurs en cours
pour standardiser la manière de décrire
les politiques de droit d'accès (XACML) ou encore
les infrastructures à clefs publiques (XKMS).
Ainsi, SAML ne couvre pas la négociation des
modalités d'authentification entre plusieurs
parties. "Pour que SAML entre en action, les parties
concernées doivent s'être entendues sur
le modèle d'authentification, la politique de
droit d'accès, etc", souligne Marc Chanliau.
En fait, SAML intervient pour industrialiser les échanges
de messages relatifs à l'authentification.
Authentifier les individus
et... les Web Services
Ces échanges SAML pourront emprunter différentes
voies de transport, de HTTP à SNMTP en passant
par SOAP, la méthode d'invocation des Web Services.
Car, comme le précise Marc Chauliau, "il
ne s'agit pas seulement de faciliter l'authentification
des individus mais aussi des Web Services qui, dans
un contexte d'intégration B to B", s'invoquent
les uns les autres.
Quand les utilisateurs pourront-ils bénéficier
de produits estampillés SAML ? Dans sa note,
Gartner Group indique que les premières implémentations
pourraient apparaître d'ici à la fin de
l'année. Un pronostic un brin "optimiste"
de l'avis de Marc Chauliau. Toutefois, comme à
l'habitude dans ces chantiers de standardisation, les
éditeurs n'attendront certainement pas la validation
de la spécification pour en tenir compte dans
leurs produits. Netegrity, pour sa part, travaille d'ores
et déjà à l'intégration
de S2ML dans son produit Transaction
Minder. "Dès que SAML sera validé,
il ne sera pas très compliqué d'établir
des correspondances entre les balises de S2ML et de
SAML", note Marc Chauliau. Probable que d'autres
suivront cette voie, d'autant que, comme le rappelle
la note du Gartner, Netegrity occupe clairement aujourd'hui
la place de leader sur un marché que des challengers
comme HP, Tivoli et Novell entendent bien occuper.
|