WS-Security

Cet article est une ébauche concernant Internet.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Consultez la liste des tâches à accomplir en page de discussion.

WS-Security (Web Services Security) est un protocole de communications qui permet d'appliquer de la sécurité aux services web. Le 19 avril 2004, la spécification WS-Security 1.0 a été lancée par OASIS-Open. Le 17 février 2006, ce consortium a lancé la version 1.1.

Développé à l'origine par IBM, Microsoft, Verisign et Forum Systems, le protocole est maintenant officiellement appelé WSS et est développé via un comité dans Oasis-Open.

Le protocole contient des spécifications sur la façon dont l'intégrité et la confidentialité peuvent être appliquées aux messages de services web. Le protocole WSS inclut des détails sur l'utilisation de SAML et Kerberos, et des formats de certificat comme X.509.

WS-Security répond à trois problématiques principales :

• Comment signer les messages SOAP pour en assurer l'intégrité (éviter la transformation par un tiers) et la non-répudiation.
• Comment chiffrer les messages SOAP pour en assurer la confidentialité.
• Comment attacher des jetons de sécurité pour garantir l'identité de l'émetteur.

La spécification WS-Security autorise plusieurs formats de signature, plusieurs algorithmes de chiffrement et de nombreux domaines de confiance. Elle permet de même l'utilisation de différents modèles de jeton de sécurité, tels que :

• certificats X.509
• tickets Kerberos
• identifiants login/mot de passe
• SAML-Assertion
• ou autre jeton "propriétaire".

Ceux-ci sont spécifiés dans les profile documents associés.

WS-Security incorpore ces fonctionnalités de sécurisation au sein de l'entête du message SOAP.

Ces mécanismes ne sont pas suffisants pour garantir une solution de sécurité complète : ils doivent être associés à d'autres extensions (WS-*) et protocoles de haut niveau. Notamment pour l'authentification, la gestion de clé, la fédération d'identité, la négociation de protocole... WS-Security n'est qu'une pièce du puzzle.

Les spécifications en projet suivantes sont associées à WS-Security :

• WS-SecureConversation ;
• WS-Federation ;
• WS-Authorization ;
• WS-Policy ;
• WS-Trust ;
• WS-Privacy.

• Liste des spécifications des Services Web WS-*
• WS-I Basic Security Profile
• Service web
• SAML
• Pare-feu XML
• XACML
• X.509

• OASIS Web Services Security (WSS) TC : contient des liens pour télécharger les spécifications

• Portail de la sécurité informatique