La sécurité
figure au coeur de la problématique de déploiement
des Web Services en environnement B to B. Objet
de tous les regards depuis quelques mois : les technologies
et solutions de sécurisation qui, sur ce terrain,
commencent tout juste à apparaître... On
se souvient des chantiers initiés l'année
dernière par les éditeurs et les organismes
de standardisation autour de langages relatifs à
l'authentification (SAML, XKMS, etc.) ainsi qu'au chiffrement
des messages - avec XML encryption notamment. Plus récemment,
certaines sociétés, dont Novell, Baltimore
Technologies ou encore RSA Security, ont dévoilé
des outils conçus pour répondre à
ces problématiques. Dernier épisode en date :
le lancement par Netegrety d'une application de gestion
des droits d'accès appliquée à l'univers
des Web Services.
L'authentification
des applications clientes
Lorsqu'elle
est utilisée pour assurer un dialogue entre deux
systèmes d'entreprise distincts, il est important
qu'une interface de Web Services s'accompagne d'un dispositif
pour authentifier les applications clientes, puis autoriser
ou non les invocations en question.
Tel est l'enjeu que se propose de relever Netegrity
avec son nouvel outil. Baptisé TransactionMinder,
il s'adosse à la technologie mise au point par
l'éditeur autour de son produit de contrôle
des accès utilisateur (WebMinder). "Concrètement,
TransactionMinder commence par extraire les informations
d'authentification (signatures électroniques
et autres certificats) de la requête (SOAP) avant
de valider cette demande au regard des profils de l'annuaire
de l'entreprise, détaille Guillaume
Absi, responsable technique Europe du Sud chez Netegrity.
Notez que cette méthode s'étend également
à la gestion des droits, au cas par cas, lors
de l'appel d'un processus impliquant plusieurs services
Web."
Afin
d'affiner le système, des règles peuvent
éventuellement être définies en
fonction du contenu même du message. "Ce
paramétrage assure par exemple le blocage de
l'accès en cas d'apparition d'un mot clé
ou d'une valeur particulière dans le corps de
celui-ci", ajoute-t-on chez Netegrity.
SOAP
et autres types de messages XML
Supportant les standards SAML
(pour Security Assertions Markup Language) et XML encryption,
TransactionMinder prend en charge le format SOAP en standard.
Il est en outre livré avec une interface de programmation
d'applications (API) en vue d'assurer la lecture d'autres
types de messages XML. A cela s'ajoute également
un mécanisme d'extraction lui permettant de s'adapter
à des vocabulaires particuliers de description
de données d'authentification. "Ce qui devrait
faciliter la prise en compte de futurs standards dans
ce domaine", conclut Guillaume Absi.
|
[