Passer au contenu

Sécurité et transactionnel pour les services web

Les années 2000 et 2001 ont été marquées par la définition du duo Soap-WSDL. L’année 2002 voit l’émergence des standards définissant la sécurité, la gestion des transactions et la gestion des processus métiers.

En simplifiant le commerce électronique, les services web emportent l’adhésion du marché. Le duo constitué du protocole Soap (Simple object access protocol) et du langage de description de services WSDL (Web services description language) facilite l’usage de services web indépendamment des logiciels utilisés. Toutefois, ce duo pâtit de l’absence de mécanismes de gestion en matière de sécurité, de transactions et de processus d’échange. En collaboration avec VeriSign, IBM et Microsoft ont donc proposé, en avril 2002, la technologie WS-Security. Elle entend unifier des technologies auparavant inconciliables telles que les infrastructures à clés publiques (ou PKI) ou les mécanismes d’identification de Kerberos. De plus, elle prend en charge les concepts de confidentialité, d’intégrité des messages et d’authentification des interlocuteurs.

Nouvelles technologies de gestion des transactions

WS-Security précise comment associer aux messages Soap des informations sur le chiffrement XML, la signature XML du W3C, les certificats X509 ou les tickets Kerberos, sans imposer de choix. La technologie a été confiée au consortium Oasis pour sa standardisation. Sun Microsystems et les éditeurs d’EAI ont rejoint ce groupe de travail, ce qui est bon signe. Il faut noter que l’architecture proposée par IBM, Microsoft et VeriSign comprend six autres technologies à déterminer.Par ailleurs, en août 2002, IBM et Microsoft, rejoints par BEA Systems ont annoncé des briques technologiques de gestion des transactions et des processus. La première, WS-Coordination, définit des schémas de coordination d’applications intra ou interentreprises sous l’égide d’un coordinateur. Elle indique comment propager un contexte entre applications. Deuxième brique, WS-Transaction gère les transactions. Elle reprend des principes de XAML (Transaction authority markup language) et de BTP (Business transaction protocol). Mais WS-Transaction s’appuie sur WS-Coordination pour les transactions courtes (les transactions Acid classiques) et celles, longues, du B to B. Elle définit plusieurs protocoles de coordination tels que la validation à deux phases pour les transactions courtes ou le BAP (Business agreement protocol) pour les transactions longues. Quant à BPEL4WS (Business process execution language for web services), il gère aussi bien les processus internes à l’entreprise que les processus externes, avec ses partenaires. Cette description est traitée par un moteur de workflow, à la manière des précédents langages XLang, de Microsoft ; et WSFL, d’IBM. Il faudra attendre 2003 pour que les produits commerciaux intègrent ces technologies de façon mature. Leur mise en production devrait débuter en 2004.

Reste à standardiser l’administration

Mais il restera aussi à standardiser l’administration et la facturation des échanges. En attendant, les services web peuvent épauler une plate-forme d’intégration EAI et s’appuyer sur une sécurisation par certificats. En témoigne le hollandais OneTrail, qui a utilisé l’EAI de SeeBeyond pour raccorder sa place de marché aux progiciels de gestion des donneurs d’ordre et des fournisseurs. Un service web fournit les prix des produits puisés dans les systèmes des fournisseurs. Les échanges sont authentifiés par des certificats d’origine VeriSign.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jean-François Masler