Quelles dissensions ont provoqué les standards SAML et WS-Security ?De fortes tensions sont clairement apparues entre les promoteurs de WS-Security et ceux de SAML. Les spécifications de ce dernier ont été stabilisées très tôt. WS-Security, lui, n’a percé qu’au bout de sa troisième mouture. Les deux
premières versions publiées sur le web n’ont suscité que peu d’intérêt. Mais, pour les services web, SAML est limité parce qu’il ne prend en compte que l’identification d’un utilisateur, tandis que WS-Security intervient au niveau des échanges entre
applications et y ajoute des services d’authentification.La complémentarité de ces deux standards les amènera-t-elle à converger ?L’Oasis travaille à la prise en compte, par WS-Security, des attributs SAML dans un message Soap. Les premiers modèles pour les profils d’authentification verront le jour dans deux mois. Reste à poser le cadre opérationnel de
l’infrastructure pour l’intégrité, le contexte du message et les politiques de sécurité. Et également à prendre en compte les standards de sécurité XML, qui avancent en ordre dispersé.Pour quelles raisons l’accouchement de ces standards de sécurité est-il si douloureux ?Le défi consiste à tirer ensemble tous ces fils, tout en ?”uvrant à combler les lacunes. Il faut ensuite créer un consensus parmi les fournisseurs. Le plan de route pour la sécurité des services web défini par IBM et Microsoft
apparaît comme un effort raisonnable. Le contrôle qu’ils exercent s’explique par les investissement énormes à consentir pour élaborer des standards. Peu de fournisseurs étant en mesure de le faire, la tâche échoit donc aux poids lourds.Dans ce contexte, comment progresse l’adoption de services web par les entreprises ?Les premiers déploiements hors du périmètre de l’entreprise n’interviendront pas avant l’année 2004. Toutefois, certains grands comptes ont commencé à faire éclater, au sein de leurs systèmes d’information, des applications
monolithiques en modules réécrits en langage Java.Le déploiement WS-Security peut-il servir de levier pour déployer largement des PKI ?Il est vrai que l’Oasis a créé, il y a peu, un groupe de travail autour de la PKI. Les services web peuvent induire l’effet de masse indispensable au décollage des PKI, à condition d’adjoindre à ces échanges interapplicatifs des
mécanismes de distribution et de gestion des clés et d’administration. Sur internet, la PKI s’est surtout imposée pour l’authentification des terminaux ?” grâce, en particulier, au succès du protocole SSL ?”, mais pas pour celle
des utilisateurs.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
