SAML : futur
standard de sécurisation des Web Services ?
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0208/020821_saml.shtml
Mercredi 21 août 2002
La plupart des experts s'accordent à
le dire : le principal frein au développement des Web
Services concernent les questions de sécurité. Conçu
pour assurer l'intégration d'applications sans être intrusifs
pour les systèmes en présence, les Web Services, même
si leur sphère d'implémentation reste souvent cantonnée
à un périmètre interne, sont conçus à
l'origine pour offrir des méthodes standardisées d'invocation
de services distants... voire de dialogue entre ces derniers. En clair,
il s'agit ni plus ni moins d'une technologie d'intégration
B to B.
Seul obstacle
au tableau : les spécifications constituant le socle des
services Web, soit SOAP (pour l'échange de données)
et WSDL (pour l'invocation de composants), ne prennent pas en charge
les problématiques de sécurité. Entendez par
là la gestion de l'intégrité des transactions,
mais également l'authentification et le chiffrement des informations.
Des points qui se révèlent pourtant particulièrement
sensibles en vue de déployer une infrastructure d'intégration
impliquant fournisseurs, partenaires et clients. Pour palier à
ce manque, plusieurs éditeurs se sont lancés dès
l'été 2001 dans une course aux propositions (voir le
tableau ci-dessous). Chacun avançant sa solution sans se soucier,
dans un premier temps du moins, de la cohérence des projets :
un élément pourtant essentiel en vue d'aboutir à
l'émergence d'un standard. Pour l'heure, il semble que les
contours d'une voie commune se précise peu à peu. Son
nom : SAML.
Vocabulaire XML
Considéré
par le Gartner comme "un facteur important de maturation des
produits d'administration des droits d'accès sur Internet",
SAML (pour Security Assertions Markup Language) est élaboré
courant 2001 sous l'égide du consortium OASIS.
Netegrity,
Bowstreet,
Commerce
One, Verisign, webMethods,
etc. Issus des mondes de l'intégration et de la sécurité,
ses supporters sont nombreux. Quel est l'objectif de SAML ? Il
a principalement pour but de faciliter l'interopérabilité
entre outils d'authenfication sur Internet, en couvrant à la
fois les utilisateurs finaux mais également les services applicatifs.
Pour ce faire, il s'adosse à un vocabulaire et un format de
messages XML pour effectuer des échanges d'identités
- le tout est capable de transiter par divers réseaux (SMTP
et HTTP notamment). "De cette façon, il sera plus aisé
par exemple de mettre en oeuvre une procédure de Single Sign
On (SSO ou login unique) pour accéder à un ensemble
de sites", nous expliquait Marc Chanliau, chef produit chez Netegrity.
Les implémentations se multiplient
Au fil
des mois, le rang des partisans de SAML s'est largement étoffé. Déjà,
une douzaine d'éditeurs, parmi lesquels on compte rien moins que Novell,
Baltimore Technologies, Netegrity
ou encore RSA Security, ont déjà rendu leur produit de gestion des
droits utilisateur conforme au langage de l'OASIS. Seul grand absent
de cette liste : Tivoli. Au côté des acteurs positionnés sur
le segment de la sécurité, plusieurs géants de l'édition logicielle
ont également apporté leur soutien au projet. Alors qu'IBM
et Sun commercialisent déjà des outils fidèles à SAML, Microsoft
a annoncé récemment qu'il prévoyait d'intégrer la spécification à
la plate-forme .Net ainsi qu'à son service d'authentification mutualisée
(.Net My Services). Une initiative qui contribue à rapprocher ce dernier
d'un projet concurrent lancé par Sun sous le nom de Liberty Alliance...
SAML fait son chemin.
Transaction/Sécurité
|
Transaction
|
SOAP-RP
(Microsoft)
|
Là
où SOAP impose une couche de transport unique de bout en bout,
SOAP-Routing Protocol fournit le support d'une grande variété
de protocoles réseau (TCP, UDP, http, etc.) en permettant de
les combiner. |
WS-Transaction
(Microsoft) |
XML Web Services Transaction Language vise
à garantir l'intégrité de transactions exécutées via
les Web Services. Il devrait
être prochainement être soumis par Microsoft à
un organisme de standardisation. |
BTP
(OASIS) |
Initié
par BEA, Business Transaction Protocol gère l'intégrité
des transactions longues et complexes. |
Sécurité
|
SAML
(OASIS) |
Protocole
couvrant les problématiques d'authentifications et d'habilitations
des transactions SOAP. |
XKMS
(IETF) |
XML
Key Management Specification a pour but de standardiser la manière
de décrire infrastructures à clefs publiques (XKMS). |
XACML
(OASIS) |
Access
Control Markup Language définit un schéma pour décrire
les politiques de droits d'accès à des objets XML. |
WS-
Security (Microsoft) |
Conçu
pour intégrer diverses spécifications tierces (XKMS, XrPM, etc.)
, Web Services Security -qui est en cours d'élaboration-
offre des fonctions d'autorisation d'accès et de chiffrement
des échanges. |
[Antoine Crochet Damais, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|