|
|
|
|
Infrastructure & Chantiers |
Web
Services: IBM et Microsoft s'attaquent aux questions de
sécurité |
Les deux éditeurs dévoilent une série de propositions pour standardiser la sécurité de ces nouvelles technologies d'intégration. (Vendredi
12 avril 2002) |
|
A lire aussi :
Dossier: Web
Services, la révolution en marche
Web
Services: Microsoft veut gagner la course à la standardisation
La standardisation des Web Services serait-elle sur le
point de prendre un nouveau virage ? Pour la plupart
des analystes, le manque de mécanismes de sécurité
constitue le principal frein à l'émergence
de cette nouvelle technologie d'intégration. Il
est vrai que jusqu'ici les propositions se faisaient plutôt
rares sur ce terrain. On se rappelle néanmoins
de l'initiative XKMS (XML Key Management Specification).
Proposée il y a déjà un an par l'éditeur
webMethods, cette spécification entend standardiser
les opérations relatives au traitement des clefs
publiques, à des fins de confidentialité
et d'authentification. Aux côtés de webMethods,
le consortium OASIS accueillait de son côté
les projets XACML et SAML Objectif de ces spécifications:
tenter de standardiser la description des politiques de
droits d'accès relatives aux messages XML pour la première
et la propagation des habilitations pour la seconde.
Au delà de ces quelques projets, les travaux menés
par les éditeurs pour compléter la couche
de base restaient principalement cantonnés aux
enjeux de gestion des transactions et aux mécanismes
d'exécution de workflows applicatifs. Des problématiques
notamment abordées par les protocoles BTP (OASIS)
et WS-Transaction (Microsoft) dans le premier cas, et
les langages WSFL (IBM) et XLang (Microsoft) dans le second.
Vers une interface de sécurité
universelle ?
Afin de faire
face à ce déficit, Microsoft, IBM et Verisign
viennent de publier une nouvelle spécification.
Baptisée Web Services Security (WS-Security),
cette proposition qui
devrait
être prochainement déposée auprès
d'un organisme de standardisation en vue d'être
normalisée est construite pour inclure l'ensemble
des systèmes nécessaires à la mise
en oeuvre d'une transaction sécurisée entre
deux Web Services. Pour ce faire, elle intégre
notamment les spécifications mises au point par
le W3C autour du chiffrement et de la signature des documents
XML - XML Encryption et
XML Signature. Objectif : créer une interface universelle
permettant à des systèmes de sécurité
basés sur des technologies hétérogènes
de s'invoquer mutuellement.
Suivant de quelques semaines le lancement par Microsoft
et IBM du consortium WS-I (voir
l'article sur le sujet), cette annonce prévoit
d'adjoindre à ce premier socle 6 nouvelles spécifications
dans les 18 mois. Une démarche qui a notamment
pour but d'élaborer des systèmes de sécurité
répondant plus précisément aux projets
d'intégration inter-entreprises. Ces langages se
classent en deux catégories.
- WS-Policy, WS-Trust et
WS-Privacy décrivent la procédure
de sécurité, ainsi que les parties impliquées
dans cette procédure et la manière dont
un Web Service est tenu de la prendre en compte avant
de s'exécuter.
- WS-Secure Conversation,
WS-Federation et WS-Authorization se chargent
de définir comment est authentifié un
message alors que les deux parties en présence
utilisent des technologies différentes -des
fonctions comparables à celles que met en oeuvre
une solution de Single Sign On.
Destinée à intégrer
d'autres modules en cas de besoins, la spécification
WS-Security se veut avant tout évolutive. Principale
volonté exprimée par les trois acteurs
dans leur communiqué commun: concevoir un cadre
qui puisse s'adapter à n'importe quelle technologie
de sécurité tierce.... depuis le service
d'authentification mutualisé de Microsoft (Passport)
jusqu'à la plate-forme concurrente initiée
par Sun (Liberty Alliance Project)...
A lire aussi :
Dossier: Web
Services, la révolution en marche
Web
Services: Microsoft veut gagner la course à la standardisation
|
|
|
|
|
|