Par le JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0204/020412_webservices.shtml
Vendredi 12 avril 2002
Dossier: Web
Services, la révolution en marche
Web
Services: Microsoft veut gagner la course à la standardisation La standardisation des Web Services serait-elle sur le point de prendre un nouveau virage ? Pour la plupart des analystes, le manque de mécanismes de sécurité constitue le principal frein à l'émergence de cette nouvelle technologie d'intégration. Il est vrai que jusqu'ici les propositions se faisaient plutôt rares sur ce terrain. On se rappelle néanmoins de l'initiative XKMS (XML Key Management Specification). Proposée il y a déjà un an par l'éditeur webMethods, cette spécification entend standardiser les opérations relatives au traitement des clefs publiques, à des fins de confidentialité et d'authentification. Aux côtés de webMethods, le consortium OASIS accueillait de son côté les projets XACML et SAML Objectif de ces spécifications: tenter de standardiser la description des politiques de droits d'accès relatives aux messages XML pour la première et la propagation des habilitations pour la seconde.
Au delà de ces quelques projets, les travaux menés par les éditeurs pour compléter la couche de base restaient principalement cantonnés aux enjeux de gestion des transactions et aux mécanismes d'exécution de workflows applicatifs. Des problématiques notamment abordées par les protocoles BTP (OASIS) et WS-Transaction (Microsoft) dans le premier cas, et les langages WSFL (IBM) et XLang (Microsoft) dans le second.
Vers une interface de sécurité universelle ?
Afin de faire face à ce déficit, Microsoft, IBM et Verisign viennent de publier une nouvelle spécification. Baptisée Web Services Security (WS-Security), cette proposition qui
|
|
Suivant de quelques semaines le lancement par Microsoft et IBM du consortium WS-I (voir l'article sur le sujet), cette annonce prévoit d'adjoindre à ce premier socle 6 nouvelles spécifications dans les 18 mois. Une démarche qui a notamment pour but d'élaborer des systèmes de sécurité répondant plus précisément aux projets d'intégration inter-entreprises. Ces langages se classent en deux catégories.
- WS-Policy, WS-Trust et WS-Privacy décrivent
la procédure de sécurité, ainsi que les parties
impliquées dans cette procédure et la manière dont
un Web Service est tenu de la prendre en compte avant de s'exécuter.
- WS-Secure Conversation, WS-Federation et WS-Authorization se chargent de définir comment est authentifié un message alors que les deux parties en présence utilisent des technologies différentes -des fonctions comparables à celles que met en oeuvre une solution de Single Sign On.
Destinée à intégrer d'autres
modules en cas de besoins, la spécification WS-Security se veut
avant tout évolutive. Principale volonté exprimée
par les trois acteurs dans leur communiqué commun: concevoir un
cadre qui puisse s'adapter à n'importe quelle technologie de sécurité
tierce.... depuis le service d'authentification mutualisé de Microsoft
(Passport) jusqu'à la plate-forme concurrente initiée par
Sun (Liberty Alliance Project)...
A lire aussi :
Dossier: Web
Services, la révolution en marche
Web
Services: Microsoft veut gagner la course à la standardisation