Passer au contenu

SAML relie les systèmes de sécurité

Dérivé du langage S2ML mis au point par Netegrity, SAML normalise les échanges de données de sécurité interentreprises. Il est en cours de standardisation à l’Oasis.

À l’image des systèmes d’information, les processus de sécurité tendent enfin à s’uniformiser. Au sein d’une même entreprise, cette harmonisation peut na”tre de la mise en place d’une solution de gestion centralisée des droits d’accès, telle que SiteMinder de Netegrity, qui permet d’établir un système d’authentification unique (Single Sign-On ou SSO) des utilisateurs. Dopé par ses 75 % de parts de marché sur ce secteur, Netegrity cherche désormais à appliquer le concept de SSO aux échanges interentreprises. “Le seul moyen d’y parvenir sans divulguer notre technologie était de créer un standard”, explique Marc Chanliau, responsable produit à Netegrity. Déjà à l’origine du développement de S2ML (Security Services Markup Language), l’éditeur crée en décembre 2000 un comité technique au sein de l’organisme de normalisation Oasis, entouré d’une douzaine de partenaires de renom ; le successeur de S2ML s’appellera SAML (Security Assertion Markup Language) et devra constituer le premier langage universel d’échange de données de sécurité (authentification, autorisation, profils).

De multiples applications

SAML n’a pas pour but de développer de nouvelles technologies : il décrit simplement des données existantes, basées sur XML. Première application attendue, un SSO universel grâce auquel les internautes ne saisiront qu’une fois leur login et leur mot de passe, même s’ils sont basculés de site en site. “Le premier serveur web contacté renvoie sur le navigateur de l’internaute un artefact SAML, que le serveur suivant utilisera pour récupérer l’assertion SAML correspondante : celle-ci décrit les données d’authentification et les attributs de l’utilisateur. Elle n’est pas cryptée, mais juste signée par XML-Dsig”, détaille Marc Chanliau. En usage B-to-B, SAML joue également les médiateurs entre les systèmes de chaque partenaire : des assertions peuvent par exemple se greffer sur des ordres d’achat, le tout étant éventuellement encapsulé par des protocoles de type Soap ou ebXML. Même si la certification de SAML 1. 0 n’est pas attendue avant fin 2001-début 2002, Netegrity annonce déjà deux solutions compatibles : AffiliateMinder pour les réseaux de partenaires et TransactionMinder pour sécuriser les transactions. Autant battre le fer, tant qu’il est chaud…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Julie de Meslon