Compatible Liberty Alliance, WS-Security
' compliant ', SAML Inside... Pour un peu, on pourrait confondre les suites de gestion d'identités avec des paquets de lessive tant les éditeurs abusent du marketing autour de normes et standards. La fédération des identités est le moteur de cette fièvre. Le principe est louable. Fédérer les identités, c'est organiser des relations de confiance entre partenaires afin de partager des informations d'authentification ou des profils d'utilisateurs. L'intérêt pour les entreprises est certain. Une identité peut être ainsi véhiculé d'une entreprise à une autre, des identités externes deviennent gérables.
' La difficulté principale réside en fait aujourd'hui non dans le volet technique, mais dans les contraintes légales, organisationnelles et procédurales, autrement plus complexes à mettre en ?"uvre ' tempère toutefois Eric Nataf, chef de produit pour Identity Lifecycle Manager 2007 chez Microsoft.
Des contraintes techniques déjà prises en compte
Mais qu'apportent vraiment ces standards ?
' Pas grand-chose qu'on ne savait faire auparavant ! ', répond Bruno Vincent, architecte senior chez Octo Technology. WS-Security embarque la sécurité des services web au niveau du contenu (message) plutôt que du contenant (la couche transport). Or, il nécessite donc que les applications échangeant des informations d'authentification et habilitation incorporent ces services de sécurité, et donc qu'elles soient compatibles WS-Security. Or la couche transport permet déjà ces transferts de services de sécurité, via le protocole HTTPS utilisable depuis un navigateur web.
' Et sans avoir à recoder les applications, puisque la gestion du protocole HTTPS est fourni par défaut par les serveurs web et serveurs d'applications. Vue la complexité de WS-Security et consorts, c'est un détail qui a toute son importance ', insiste Bruno Vincent. WS-Security apporte toutefois un gain d'usage en évitant toute rupture protocolaire. Lorsque les données transitent par des
' bonds ' entre diverses applications, le chiffrement ne se déroule pas de bout en bout. Les messages peuvent donc être lus et modifiés. Est-ce si problématique ?
' Non, car on fait rarement passer des flux chez des intermédiaires en qui l'on n'a pas confiance ', dit Bruno Vincent. Pour autant WS-Security peut être utile dans l'interopérabilité menée par les éditeurs.
' C'est le standard que nous avons retenu avec Microsoft pour fédérer nos annuaires e-dir et AD, et ce de manière sécurisée ', précise Christophe Therrey, Directeur Général de Novell France.
Démarrage en flèche d'OpenID
De son côté, le standard Liberty Alliance a les défauts de ses qualités. Ce que résume bien Cyril Gollain, responsable Solution Gestion des Identités de BT Global Services :
' Liberty Alliance fournit une énorme boîte à outils, capable de répondre à n'importe quel cas d'usage. ' Ce qui explique le succès fulgurant et étonnant d'OpenID, projet open source d'authentification décentralisée. Orange, pourtant membre fondateur de Liberty Alliance, l'a récemment adopté. A terme, une fusion des deux standards est envisageable. Ariel Gordon, directeur marketing Enablers (Gestion des Identités) chez Orange émet l'hypothèse d'une version 2 d'OpenID aux fonctions étendues. Cyril Gollain penche plus pour un Liberty Alliance
' allégé ' mais
' qui ne serait pas OpenID, trop focalisé sur l'authentification alors que l'enjeu de la fédération des identités nest pas là. '
Votre opinion