A quel
domaine de la sécurité s'applique SAML ?
SAML
(Security Assertion Markup Language) se place sur le terrain
de l'authentification. Son objectif est plus précisément
de proposer un langage standardisé pour décrire
les informations relatives au profil d'une personne ou
d'un composant ainsi que ses droits d'utilisation, en
termes d'accès applicatifs notamment. En d'autres
termes, SAML est conçu pour rendre interopérable
les solutions d'authentification en permettant de véhiculer
entre elles des données d'identification.
Quels
sont les éléments décrits par SAML ?
En amont, ce
langage spécifie une manière générique
de publier les informations généralement
mises à disposition par les autorités
de certification. Concrètement, il définit
individus et applicatifs sous forme d'objets métier
(ou entités). A chacun d'eux, il couple des attributs
de profil - tels qu'une adresse e-mail et un DNS (Domain
Name System) dans le cas d'une personne, ou encore un
nom et un mot de passe. A cela, s'ajoutant les permissions
de connexion associées à l'entité
ainsi décrite.
SAML ne s'arrête pas là. Cette infastructure
couvre également le mécanisme par lequel
les solutions et leur dispositif d'accès interroge
les autorités. Une fonction qui passe notamment
par la génération d'une déclaration
(profils, etc.) dotée éventuellement de
conditions d'utilisation (date limite de validité,
etc.).
A
quelle technologie s'adosse-t-il ?
SAML représente
l'ensemble des contenus à l'aide du meta-langage
XML. Lors de l'échange entre clients et autorités,
il recommande d'exploiter WSDL (pour Web Services Description
Language) pour l'invocation et SOAP (Simple Object Access
Protocole) pour le transfert des déclarations.
Bref, SAML s'appuie en grande partie sur les technologies
issues des Web Services. Ce qui paraît logique
au vu de son objet : fournir une infrastructure
d'intégration en couplage lâche.
Qui
est à l'origine de ce standard ?
Le projet SAML
est orchestré à partir de l'été
2001 par un groupe de travail de l'OASIS (OASIS XML-Based
Security Services Technical Committee - SSTC). A l'origine,
il est issu d'une proposition de l'éditeur Netegrity
connue sous le nom de S2ML (Security Services Markup
Language).
Dans les mois qui suivent le dépôt, SSTC
est rejoint par de nombreuses sociétés,
parmi lesquelles figurent aussi bien des acteurs de
la sécurité que des services Web (Commerce
One, Verisign et webMethods, etc.). Plus récemment,
des géants de l'informatique, comme Microsoft
et IBM, ont décidé de s'intéresser
de près à SAML.
Y a-t-il un rapport entre SAML et WS-Security ?
WS-Security est
le standard avancé par
Microsoft pour
répondre aux problématiques d'interopérabilité
des plates-formes de sécurité quelles
qu'elles soient. Pêle-mêle, il traite des questions
d'authentification et d'autorisation, mais également
de chiffrement, de signature électronique et
de gestion de l'intégrité des données.
Conçu pour accueillir des spécifications
tierces, WS-Security a été transmis l'été
dernier à l'OASIS. Suite à cette initiative,
le groupement à mis sur pied un groupe chargé
notamment de dessiner l'articulation entre la spécification
de Microsoft et SAML. Au final, ce chantier devrait
donc aboutir à leur consolidation au sein d'un
socle unique.
Quelles
sont les solutions compatibles avec ce langage ?
Au cours de l'année
2002, une dizaine d'éditeurs se sont lancés
dans des projets de développement autour de SAML.
Au programme des produits compatibles, on compte notamment
les systèmes de gestion d'accès de Baltimore
(Selectaccess), de Entegrity (AssureAccess), de Netegrity
(Netegrity SAML Affiliate Agent), de NetPoint (Oblix)
et de ClearTrust (RSA).
Alors qu'IBM et Sun ont
déjà rendu leur infrastructure fidèle
à SAML, Microsoft prévoit de son côté d'intégrer
la spécification à la plate-forme .Net ainsi qu'à son
service d'authentification mutualisée sur le Web (.Net
My Services). Une initiative qui contribue à le rapprocher
d'un projet concurrent lancé par Sun sous le nom de
Liberty Alliance... qui fait de SAML son socle de référence.
|
[