A lire aussi :
Web
Services: IBM et Microsoft s'attaquent aux questions de
sécurité
"L'architecture WS-Security
vise à faire face à l'ensemble des problématiques
de sécurité auxquelles peut avoir faire
face un processus transactionnel mis en oeuvre entre Web
Services", résume Marc Gardette, architecte
système chez Microsoft
France. Fruit d'un travail commun entre Microsoft,
IBM
et Verisign,
cette spécification qui a été proposée
à l'origine par le géant de Redmond a pour
but de décrire l'ensemble des pratiques de sécurité
les plus couramment utilisées. Objectif à
terme: élaborer une interface qui assure l'interopérabilité
entre solutions de sécurité d'entreprise,
reposant sur des technologies hétérogènes.
L'ensemble
des méthodes prises en compte
WS-Security
couvre en premier lieu l'authentification de la partie
cliente, c'est-à-dire l'émetteur du message SOAP. Dans
le cas d'une architecture de Web Services, ce client
peut
renvoyer à un individu mais également à une application
(ou composant) ou encore à une machine. D'où la
prise en compte par la spécification de divers mécanismes
: le couple identifiant/mot de passe, la méthode du jeton
de sécurité et celles des certificats notamment. "Concrètement,
WS-Security définit la manière de décrire au sein d'un
message SOAP les droits utilisateur correspondant à ces
différents systèmes de sécurité", détaille
Marc Gardette. Comment éviter que la connexion
entre deux Web Services ne soit "sur écoute" ? Ici,
entre en jeu le chiffrement et la gestion de l'intégrité
des messages, pour lesquels le langage propose un vocabulaire
de gestion de certificats: des outils qui peuvent être
utilisés aussi bien pour chiffrer un document électronique
que pour le signer.
Après la publication des spécifications
de WS-Security, les trois acteurs attendent pour
l'heure que leur projet emporte l'adhésion d'autres
partenaires avant de le soumettre à un organisme
de standardisation -comme le W3C ou OASIS par exemple.
A lire aussi :
Web
Services: IBM et Microsoft s'attaquent aux questions de
sécurité
|