Web Services: IBM et Microsoft
s'attaquent aux questions de sécurité Par le JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0204/020412_webservices.shtml Vendredi 12 avril 2002
|
|
A
lire aussi : Dossier: Web Services, la révolution en marche Web Services: Microsoft veut gagner la course à la standardisation La standardisation des Web Services serait-elle sur le point de prendre un nouveau virage ? Pour la plupart des analystes, le manque de mécanismes de sécurité constitue le principal frein à l'émergence de cette nouvelle technologie d'intégration. Il est vrai que jusqu'ici les propositions se faisaient plutôt rares sur ce terrain. On se rappelle néanmoins de l'initiative XKMS (XML Key Management Specification). Proposée il y a déjà un an par l'éditeur webMethods, cette spécification entend standardiser les opérations relatives au traitement des clefs publiques, à des fins de confidentialité et d'authentification. Aux côtés de webMethods, le consortium OASIS accueillait de son côté les projets XACML et SAML Objectif de ces spécifications: tenter de standardiser la description des politiques de droits d'accès relatives aux messages XML pour la première et la propagation des habilitations pour la seconde. Au delà de ces quelques projets, les travaux menés par les éditeurs pour compléter la couche de base restaient principalement cantonnés aux enjeux de gestion des transactions et aux mécanismes d'exécution de workflows applicatifs. Des problématiques notamment abordées par les protocoles BTP (OASIS) et WS-Transaction (Microsoft) dans le premier cas, et les langages WSFL (IBM) et XLang (Microsoft) dans le second. Vers une interface de sécurité universelle ? Afin de faire face à ce déficit, Microsoft, IBM et Verisign viennent de publier une nouvelle spécification. Baptisée Web Services Security (WS-Security), cette proposition qui
Suivant de quelques semaines le lancement par Microsoft et IBM du consortium WS-I (voir l'article sur le sujet), cette annonce prévoit d'adjoindre à ce premier socle 6 nouvelles spécifications dans les 18 mois. Une démarche qui a notamment pour but d'élaborer des systèmes de sécurité répondant plus précisément aux projets d'intégration inter-entreprises. Ces langages se classent en deux catégories.
Destinée à intégrer d'autres
modules en cas de besoins, la spécification WS-Security se veut
avant tout évolutive. Principale volonté exprimée
par les trois acteurs dans leur communiqué commun: concevoir un
cadre qui puisse s'adapter à n'importe quelle technologie de sécurité
tierce.... depuis le service d'authentification mutualisé de Microsoft
(Passport) jusqu'à la plate-forme concurrente initiée par
Sun (Liberty Alliance Project)... |