« Concepts de sécurité SOA | Page d'accueil | Livres Blancs »

27/12/2005

WS-Federation

WS-Federation propose une généralisation des spécifications de WS-Trust en proposant des mécanismes de fédération et de gestion d’identité. La fédération d’identité consiste en la mise en place d’un système de SSOn (Single Sign On), permettant de propager des identités entre les différents participants à un service et d’un système SSOff (Single Sign Off ou Global Logout) qui permet de mettre fin à toutes les sessions ouvertes par les participants de la transaction. WS-Federation permet entre autres d’effectuer du profiling d’utilisateurs.

WS-Federation définit la manière avec laquelle les relations de confiance sont établies à travers des domaines de sécurité.

Le modèle de sécurité basé sur WS-Federation permet de définir un pseudonyme associé à chaque entité. Ceci est effectué via deux services, un AS (Attribute Service) et un PS (Pseudonym Service). Pour la définition de ces deux services, se référer à la terminologie relative à la sécurité SOA.

Parmi les notions utilisées par WS-Federation, on trouve :

  • Security Token Service (STS)
  • Identity Provider (IP)

L’approche de la fédération permet de supporter les différentes topologies de confiance initiées par WS-Trust en citant quelques unes : Direct Trust, Indirect Trust, Delegation.

Direct Trust

Le flux dans un contexte direct est le suivant :

  1. L’infrastructure Client récupère le fichier de policy associé au service à demander.
  2. Une fois le fichier de policy récupéré, l’infrastructure client demande un jeton à son STS.
  3. Une fois le jeton récupéré, un appel est fait au STS de l’infrastructure du service afin de récupérer un jeton valide pour finalement appeler le service.
medium_direct-trust.gif

Ce modèle est simple à mettre en œuvre. Cependant la politique de fédération dépend du type du client appelant. Deux types ou profiles sont différenciés, Un profile Actif (Client SOAP capable de lire un WSDL et comprendre le résultat de retour d’un service Web), un profile Passif (Navigateur Web classique).

L’une des problématiques qui restent à gérer en utilisant WS-Federation est celle de la protection de l’identité en assurant l’anonymat de l’identité.

L’avantage le plus intéressant qui est du à l’utilisation de WS-Federation consiste en la possibilité de s’intégrer au différentes infrastructures qui fournissent les informations sur les identités et qui sont capables de comprendre les différents formats de jetons de sécurité ainsi que les annuaires de services et les fabriques d’attributs d’identité.

05:20 Publié dans Sécurité, SOA | Lien permanent | Commentaires (0) | Envoyer cette note | Tags : Architectes NTIC

Les commentaires sont fermés.