A quel domaine de la sécurité
s'applique SAML ?
SAML
(Security Assertion Markup Language) se place sur le terrain de l'authentification.
Son objectif est plus précisément de proposer un langage standardisé
pour décrire les informations relatives au profil d'une personne
ou d'un composant ainsi que ses droits d'utilisation, en termes d'accès
applicatifs notamment. En d'autres termes, SAML est conçu pour rendre
interopérable les solutions d'authentification en permettant de véhiculer
entre elles des données d'identification.
Quels sont les éléments
décrits par SAML ?
En amont, ce langage spécifie
une manière générique de publier les informations
généralement mises à disposition par les autorités
de certification. Concrètement, il définit individus et
applicatifs sous forme d'objets métier (ou entités). A chacun
d'eux, il couple des attributs de profil - tels qu'une adresse e-mail
et un DNS (Domain Name System) dans le cas d'une personne, ou encore un
nom et un mot de passe. A cela, s'ajoutant les permissions de connexion
associées à l'entité ainsi décrite.
SAML ne s'arrête pas là. Cette infastructure couvre également
le mécanisme par lequel les solutions et leur dispositif d'accès
interroge les autorités. Une fonction qui passe notamment par la
génération d'une déclaration (profils, etc.) dotée
éventuellement de conditions d'utilisation (date limite de validité,
etc.).
A
quelle technologie s'adosse-t-il ?
SAML représente l'ensemble
des contenus à l'aide du meta-langage XML. Lors de l'échange
entre clients et autorités, il recommande d'exploiter WSDL (pour
Web Services Description Language) pour l'invocation et SOAP (Simple Object
Access Protocole) pour le transfert des déclarations. Bref, SAML
s'appuie en grande partie sur les technologies issues des Web Services.
Ce qui paraît logique au vu de son objet : fournir une infrastructure
d'intégration en couplage lâche.
Qui est à l'origine
de ce standard ?
Le projet SAML est orchestré
à partir de l'été 2001 par un groupe de travail de
l'OASIS (OASIS XML-Based Security Services Technical Committee - SSTC).
A l'origine, il est issu d'une proposition de l'éditeur Netegrity
connue sous le nom de S2ML (Security Services Markup Language).
Dans les mois qui suivent le dépôt, SSTC est rejoint par
de nombreuses sociétés, parmi lesquelles figurent aussi
bien des acteurs de la sécurité que des services Web (Commerce
One, Verisign et webMethods, etc.). Plus récemment, des géants
de l'informatique, comme Microsoft et IBM, ont décidé de
s'intéresser de près à SAML.
Y a-t-il un rapport
entre SAML et WS-Security ?
WS-Security est le standard avancé
par Microsoft
pour répondre aux problématiques d'interopérabilité des
plates-formes de sécurité quelles qu'elles soient. Pêle-mêle,
il traite des questions d'authentification et d'autorisation, mais également
de chiffrement, de signature électronique et de gestion de l'intégrité
des données.
Conçu pour accueillir des spécifications tierces, WS-Security
a été transmis l'été dernier à l'OASIS.
Suite à cette initiative, le groupement à mis sur pied un
groupe chargé notamment de dessiner l'articulation entre la spécification
de Microsoft et SAML. Au final, ce chantier devrait donc aboutir à
leur consolidation au sein d'un socle unique.
Quelles sont les solutions
compatibles avec ce langage ?
Au cours de l'année 2002,
une dizaine d'éditeurs se sont lancés dans des projets de
développement autour de SAML. Au programme des produits compatibles,
on compte notamment les systèmes de gestion d'accès de Baltimore
(Selectaccess), de Entegrity (AssureAccess), de Netegrity (Netegrity SAML
Affiliate Agent), de NetPoint (Oblix) et de ClearTrust (RSA).
Alors qu'IBM et Sun ont déjà
rendu leur infrastructure fidèle à SAML, Microsoft prévoit de son côté
d'intégrer la spécification à la plate-forme .Net ainsi qu'à son service
d'authentification mutualisée sur le Web (.Net My Services). Une initiative
qui contribue à le rapprocher d'un projet concurrent lancé par Sun sous
le nom de Liberty Alliance... qui fait de SAML son socle de référence.
[Antoine Crochet-Damais, JDNet]