|
|
|
|
Infrastructure & Chantiers |
WS-Security:
en route vers la standardisation |
La spécification mise au point par Microsoft, IBM et Verisign pour sécuriser les Web Services a été soumise à l'OASIS... plutôt qu'au WS-I. (Mercredi 3 juillet 2002) |
|
A
lire aussi:
Web
Services: IBM et Microsoft s'attaquent aux questions de
sécurité
WS-Security:
une réponse à tous les besoins de sécurité des Web Services
?
Les concepteurs de WS-Security,
Microsoft,
IBM
et Verisign,
viennent de soumettre leurs travaux à un consortium
indépendant : c'est OASIS qui a été
choisi pour mettre en oeuvre la démarche de standardisation
de cette spécification qui, rappelons le, a été
conçue pour sécuriser les échanges
mis en oeuvre sous forme de Web Services entre deux applications
distantes.
Un choix qui parait surprenant quand on sait que deux
de ces éditeurs (soit Microsoft et IBM) siègent
à la direction d'une autre organisation elle aussi
spécialisée sur le sujet : le désormais
fameux WS-I
(Web Services Interoperability Organisation). Chargé
de prendre en charge les tests d'interopérabilité
entre solutions à base de Web Services, ce dernier
a également pour vocation de compléter les
chantiers lancés par le W3C
(World Wide Web Consortium) autour des langages SOAP (Simple
Object Access Protocol) et de WSDL (Web Services Description
Language).
Un travail
amorcé depuis plusieurs mois déjà
Quel est l'objectif de WS-Security
(pour Web Services Security) ? Initié fin
2001 par Microsoft, cette spécification a pour
but de répondre au manque de sécurité
dont souffre les Web Services de première génération
- les interfaces SOAP et WSDL en l'occurrence. Un défaut
qui représenterait le principal frein à
l'expansion de cette nouvelle technologie d'intégration
d'applications. Rallié dans les mois qui suivent
par IBM et Verisign, le projet WS-Security couvre l'ensemble
des problématiques de sécurité d'un
processus transactionnel. De l'authentification des utilisateurs
et des composants en présence en passant par le
chiffrement, et la gestion de l'intégrité
des messages par le biais de certificats. "Concrètement,
il définit la manière de décrire
au sein d'un message SOAP les droits utilisateur correspondants
aux systèmes en présence", nous expliquait
Marc Gardette, architecte chez Microsoft France, lors
de la première publication de la spécification
en avril dernier (voir
l'article sur le sujet).
OASIS : un choix raisonnable ?
Reste
à savoir pourquoi les trois auteurs ont choisi
OASIS plutôt que le WS-I. La réponse à
cette question est sans doute à rechercher dans
le caractère indépendant de cette organisation.
Un statut qui lui permet d'accueillir sans distinction
l'ensemble des acteurs du marché. Pour preuve :
aux côtés de BEA, Cisco, Documentum, Netegrity
et SAP, Sun a également indiqué son intention
de participer au groupe
de travail lancé pour l'occasion par le consortium.
Pris en charge par le WS-I, ce dossier de standardisation
se serait sans doute révélé plus
difficile à mener à bien... voire quasiment
impossible. Principal obstacle à déplorer : l'absence
de Sun qui, alors que les rumeurs vont bon train autour
de son éventuelle entrée au WS-I, figure
encore parmi les grands absents de cette initiative. Principal
éditeur de plates-formes d'intégration aux
côtés de Microsoft, IBM et BEA, la société
de Palo Alto ne devait donc pas être mise à
l'écart.
A
lire aussi:
Web
Services: IBM et Microsoft s'attaquent aux questions de
sécurité
WS-Security:
une réponse à tous les besoins de sécurité des Web Services
?
|
|
|
|
|
|