|
|
Sécurité |
SAML
: futur standard de sécurisation des Web Services ? |
RSA, Microsoft, Sun, etc. De nombreux éditeurs ont annoncé leur volonté d'implémenter la spécification du consortium OASIS... Certains proposent déjà des solutions. (Mercredi 21 août 2002) |
|
La plupart des experts s'accordent
à le dire : le principal frein au développement
des Web Services concernent les questions de sécurité.
Conçu pour assurer l'intégration d'applications
sans être intrusifs pour les systèmes en
présence, les Web Services, même si leur
sphère d'implémentation reste souvent cantonnée
à un périmètre interne, sont conçus
à l'origine pour offrir des méthodes standardisées
d'invocation de services distants... voire de dialogue
entre ces derniers. En clair, il s'agit ni plus ni moins
d'une technologie d'intégration B to B.
Seul
obstacle au tableau : les spécifications constituant
le socle des services Web, soit SOAP (pour l'échange
de données) et WSDL (pour l'invocation de composants),
ne prennent pas en charge les problématiques de
sécurité. Entendez par là la gestion
de l'intégrité des transactions, mais également
l'authentification et le chiffrement des informations.
Des points qui se révèlent pourtant particulièrement
sensibles en vue de déployer une infrastructure
d'intégration impliquant fournisseurs, partenaires
et clients. Pour palier à ce manque, plusieurs
éditeurs se sont lancés dès l'été
2001 dans une course aux propositions (voir le tableau
ci-dessous). Chacun avançant sa solution sans se
soucier, dans un premier temps du moins, de la cohérence
des projets : un élément pourtant essentiel
en vue d'aboutir à l'émergence d'un standard.
Pour l'heure, il semble que les contours d'une voie commune
se précise peu à peu. Son nom : SAML.
Vocabulaire
XML
Considéré
par le Gartner comme "un facteur important de maturation
des produits d'administration des droits d'accès
sur Internet", SAML (pour Security Assertions Markup
Language) est élaboré courant 2001 sous
l'égide du consortium OASIS.
Netegrity,
Bowstreet,
Commerce
One, Verisign, webMethods,
etc. Issus des mondes de l'intégration et de la
sécurité, ses supporters sont nombreux.
Quel est l'objectif de SAML ? Il a principalement
pour but de faciliter l'interopérabilité
entre outils d'authenfication sur Internet, en couvrant
à la fois les utilisateurs finaux mais également
les services applicatifs. Pour ce faire, il s'adosse à
un vocabulaire et un format de messages XML pour effectuer
des échanges d'identités - le tout est capable
de transiter par divers réseaux (SMTP et HTTP notamment).
"De cette façon, il sera plus aisé
par exemple de mettre en oeuvre une procédure de
Single Sign On (SSO ou login unique) pour accéder
à un ensemble de sites", nous expliquait Marc
Chanliau, chef produit chez Netegrity.
Les implémentations se multiplient
Au
fil des mois, le rang des partisans de SAML s'est largement
étoffé. Déjà, une douzaine d'éditeurs, parmi
lesquels on compte rien moins que Novell, Baltimore Technologies,
Netegrity
ou encore RSA Security, ont déjà rendu leur produit de
gestion des droits utilisateur conforme au langage de
l'OASIS. Seul grand absent de cette liste : Tivoli. Au
côté des acteurs positionnés sur le segment de
la sécurité, plusieurs géants de l'édition logicielle
ont également apporté leur soutien au projet. Alors qu'IBM
et Sun commercialisent déjà des outils fidèles à SAML,
Microsoft
a annoncé récemment qu'il prévoyait d'intégrer la spécification
à la plate-forme .Net ainsi qu'à son service d'authentification
mutualisée (.Net My Services). Une initiative qui contribue
à rapprocher ce dernier d'un projet concurrent lancé par
Sun sous le nom de Liberty Alliance... SAML fait son chemin.
Transaction/Sécurité
|
Transaction
|
SOAP-RP
(Microsoft)
|
Là
où SOAP impose une couche de transport unique de
bout en bout, SOAP-Routing Protocol fournit le support
d'une grande variété de protocoles réseau (TCP,
UDP, http, etc.) en permettant de les combiner. |
WS-Transaction
(Microsoft) |
XML Web Services Transaction Language vise
à garantir l'intégrité de transactions exécutées
via les Web Services. Il devrait
être prochainement être soumis par Microsoft
à un organisme de standardisation. |
BTP
(OASIS) |
Initié
par BEA, Business Transaction Protocol gère
l'intégrité des transactions longues
et complexes. |
Sécurité
|
SAML
(OASIS) |
Protocole
couvrant les problématiques d'authentifications
et d'habilitations des transactions SOAP. |
XKMS
(IETF) |
XML
Key Management Specification a pour but de standardiser
la manière de décrire infrastructures à clefs publiques
(XKMS). |
XACML
(OASIS) |
Access
Control Markup Language définit un schéma
pour décrire les politiques de droits d'accès
à des objets XML. |
WS-
Security (Microsoft) |
Conçu
pour intégrer diverses spécifications tierces (XKMS,
XrPM, etc.) , Web Services Security -qui est en
cours d'élaboration- offre des fonctions
d'autorisation d'accès et de chiffrement des échanges. |
|
|
|