| VendrEDI |  |
lettre de Claude Chiaramonti | ||
| sur les
données de l'échange électronique |
||||
| Numéro 98 2 septembre 2005 | ||||
|
Messaging ebMS2
|
Microsoft-Sun-IBM :
|
|
|
s'il n'y a pas besoin de
"service"
|
un ménage à trois ouvert
!
|
|
Tuyaux, protocoles et messaging ne
sont que les véhicules des données à transmettre.
Encore faut-il que ces moyens de transport se fassent oublier en ne
faisant pas obstacle aux différentes informations de "service"
qui doivent accompagner les données de business.
D'où l'éclosion des frameworks qui assurent la
cohérence d'ensemble entre partenaires des échanges
électroniques de données, y compris
la sécurité, la fiabilité (message envoyé une fois et une seule
etc.) et l'enchaînement des messages d'un
scénario de business. RosettaNet est un "bon"
framework qui marche, mais qui est payant, et
cher. Reste les Services Web (SW) et ebXML, qui sont des
frameworks, apparus ensemble et basés tous les deux,
en ce qui concerne le messaging, sur les spécifications de SOAP .
Aussi bien les SW que ebXML sont des usines
à gaz dont la mise en oeuvre complète se fait
attendre. Pléthore de standards du WS-* pour les SW, avec
parfois des concurrences comme entre d'une part,
WS-ReliableMessaging de
Microsoft, IBM et alii, et d'autre part,
WS-Reliability de Sun, Oracle etc. Oasis vient
d'installer un Web Services Reliable Exchange (
WS-RX) Technical Committee
pour réconcilier tout le monde, les deux propositions
n'étant pas très éloignées, d'après Gartner. Pour ebXML au contraire,
c'est plutôt le retard de spécifications qui a
obéré sa mise en oeuvre d'ensemble. Mais avec justement
un temps d'avance pour le messaging, dont la
spécification ebMS2 est
déjà largement mise en place. Alors quel critère de
choix en ce qui concerne ce messaging ?
Si l'on s'engage, même prudemment,
dans une SOA interne basée sur les SW, autant se
familiariser avec leurs spécifications pour les utiliser
ensuite en externe, lorsque WS-* sera stabilisé et reconnu par
tous les offreurs à Oasis et au WS-I.
Mais autant utiliser ebMS2 si l'on veut
seulement disposer d'un outil opérationnel pour de
simples échanges de documents, quand on n'a pas besoin
d'invoquer un service, comme c'est le cas dans les
échanges A2A, entre administrations, collectivités
locales etc. C'est, en tout cas, ce que ne déconseille pas
l'ADAE dans une
étude comparative
! D'autant qu'ebMS2 peut emmener dans son header
toute la sécurité souhaitable pour les
aspects réglementaires.
|
Dans plusieurs domaines, mais surtout dans
celui, prometteur, des Services Web (SW) et de la SOA, les 3
majors Microsoft, IBM et Sun se livrent à un ballet amoureux
: on ne sait plus qui est vraiment allié avec qui dans ce
ménage à trois qui reste très "ouvert" sur d'autres
partenaires.
Microsoft s'est très
vite "marié" avec IBM pour mettre au point, souvent avec
d'autres, la gamme des standards WS-* pour les SW. Pendant ce
temps, Sun, ignorant les SW, a soutenu ebXML que
Microsoft a ignoré. Mais Microsoft et Sun entre-tiennent
depuis plus d'un an, une liaison stratégique visant
à l'interopérabilité de leurs "mondes" en
général et de leurs outils de SW en priorité. Sun et
Microsoft ont ainsi participé ensemble à la mise au
point de plusieurs standards pour que les utilisateurs de leurs
produits respectifs de gestion des SW puissent bien partager leurs
informations (cf. VendrEDI n°89). Sun abandonnant au
passage ses précédents alliés, Oracle etc.
Aujourd'hui, Microsoft et Sun peuvent faire le point et dire qu'ils sont passés
des tribunaux au laboratoire et enfin à la satisfaction des
besoins du marché ! Ils ont pour cela poursuivi ensemble leur
effort concernant la gestion des identités avec leurs Web
Single Sign-on (SSO Cf. page 2) Metadata Ex-change
Protocol et Web SSO Interoperability Profile. Ce qui
n'empêche pas Microsoft et IBM (et d'autres, tel
Oracle, mais sans Sun !) de présen-ter trois projets de standards SW à
Oasis : WS-Trust, WS-Secure-Conversation
et WS-Security-Policy. Par contre, Sun est inclus dans la
réconcilia-tion générale sur la
reliability du
messaging qui est en vue,
là autour du trio Microsoft-IBM-Sun ! Cf. l'article
ci-contre.
S'ils ne sont plus seuls au "monde SW",
Microsoft et IBM n'en sont pas moins jugés par Gartner
comme restant les leaders d'un
Magic Quadrant pour leur
offre en 2005 de Web Services Platforms et SOA. Devant
SAP, Oracle et Tibco, suivis par Sun, BEA etc. Et pour Gartner, le
leadership dans le domaine des SW continue de catalyser
l'innovation et la stan-dardisation en matière de logiciel. Et
là,
tenant en main Sun et IBM, c'est bien Microsoft qui conserve
le vrai leadership du ménage à trois et y
attise la concurrence ! |
 |
Pour que "le message passe" il faut être d'accord
sur le sens des données Petit
Glossaire du B2Bfr
|
|
SSO avec SAML :
|
|
Réticences RFID :
|
|
une seule
identité pour tous
|
|
standards, ROI et vie
privée
|
|
Une sécurité de base des
échanges, surtout quand ils sont automatisés entre
applications sous forme de Services Web (SW), c'est que
l'application appelée reconnaisse l'application
appelante. Mais peut-on se faire reconnaître et authentifier
partout avec la même identité, le SSO, single sign-on, pour
éviter d'avoir à gérer un
portefeuille comportant autant d'identifiants et mots de
passe que de destinataires ? Oui, si sites et applications se
font confiance, non seulement pour se
référer à cette identité unique d'un
tiers, mais pour se la passer de l'un à l'autre quand le
"tiers" surfe. Etant entendu que, sans sur-veillance humaine, cette
"signature unique" assume la responsabilité des
échanges.
Comme un système unique est inacceptable,
d'où l'abandon d'un
Passport universel par Microsoft, il faut bien un
standard pour fédérer des systèmes d'identification
autonomes. C'est ce que permet d'assurer un
TC d'Oasis avec SAML
2.0 (Security Assertion Markup Language) qui
devient la base d'une
gestion "fédérée" des
identités. Une assertion SAML étant
contenue dans l'en-tête d'un message SOAP pour transférer
d'un site à l'autre les données d'authentification
et d'autorisation (AA) relatives à un utilisateur. La
fédération des identités pour les SW devenant ainsi
elle-même un SW qui pourra aussi rendre compte de qui a
accédé pour faire quoi. A noter que SAML n'est que le
moyen de transport et ne fournit pas, par lui-même, les AA qui
peuvent provenir "d'autorités" utilisant LDAP, PKI, SSL etc.
SAML 2.0 pourra transporter la sécurité fournie par
des standards à venir. Par exemple, les
précisions complémentaires sur les autorisations
apportées par le
schéma XACML, autre
récent standard d'Oasis. De même, SAML 2.0 permet une
meilleure articulation avec la gestion des identités ID-WSF du consortium Liberty
Alliance où se retrouvent les offreurs (sauf
Microsoft) qui ont d'ailleurs com-mencé à
tester l'interopérabilité de leurs produits
respectant SAML.
De même que les SW permettent une
intégration loose-coupling entre applications par des
messages, la fédération des identités par SAML
permet l'intégration des identités tout en sauve-gardant
la privacy des données qui ne sont pas censées
être partagées. Fédération qui est aussi
utile en interne, dans une architecture SOA.
Espérons que Liberty Alliance et
Microsoft (qui évoque SAML dans sa
vision) aboutiront bientôt
à une confédération de leurs
fédérations d'identités. Sun et Microsoft s'y emploient (cf.page
1).
|
Après les implantations déjà
anciennes, dans l'industrie de l'automobile notamment,
c'est dans le domaine de la traçabilité des
produits et de leur logistique que la RFID (Radio Frequency
IDentifi-cation) va d'abord se développer, avec
l'impulsion donnée par la grande distribution et ses
instances internationales, GS 1 (EAN) et, plus spécifiquement,
EPCglobal. GS 1 France (Gencod) a ainsi
organisé en juin 2005 une Conférence faisant le
point sur le déploiement de la RFID. Les
présentations très
intéressantes faites à cette Conférence sont
dispo-nibles. Mais ce déploiement de la RFID doit encore faire
face à des réticences ou même des obstacles, ne
serait-ce que l'
utilisation en France des
fréquen-ces UHF prévues pour l'air transmission
de la RFID. La normalisation (cf. VendrEDI n°81) en
cours à l'ISO s'est enrichie avec la
soumission par l'EPC de son protocole Gen 2, tenant
compte des
besoins de l'US DoD. Mais Gen 2 aboutit à un
coût plus élevé, ce qui pourrait
retarder un temps le déploiement de la RFID.
Ce qui n'est pas incompa-tible avec la recherche, y compris en
France, de
techniques de suivi plus "intelligentes" et plus
rentables, mais à moyen terme.
En attendant, et même avec Gen 1, le
ROI (retour sur investissement) de la RFID,
réel pour cer-tains, ne l'est pas
pour tous comme l'a montré une
enquête où des industriels US
estiment s'être fait forcer la main un peu trop vite par des
retailer or government mandates (Wal-Mart et DoD).
Pour surmonter ces réticences,
Seeburger propose aux firmes
US l'externalisation de leur passage à la RFID pour leurs
schipments.
Et il n'y a pas de réticences
dans de nouveaux domaines, comme le suivi des bagages
dans les aéroports, la gestion de l'
eau des toilettes, le
contrôle des tickets de la Coupe du monde de
football en Allemagne en 2006, sans oublier les
hôpitaux de
Marseille pour les analyses. Il y a peut-être
plus de réticences pour la RFID
sous la peau envisagée pour
les patients dans des hopitaux US ou italiens, ou pour retrouver
des kidnappés grâce au GPS !
Toutes ces idées futuristes alimentent,
en effet, une réticence de fond selon
laquelle
RFID=flicage : si la
traçabilité des produits, grâce à la RFID,
ne choque pas les consommateurs pour les produits
alimen-taires comme la viande, des
inquiétudes se font jour, par
contre, devant la possibilité de repérer, depuis la
rue, les vêtements, les produits d'un frigo etc.
Pour mieux cibler les profils de
consommation, la pub à envoyer, en attendant, in
fine, Big Brother.
|
| Ce numéro 98 de VendrEDI a été adressé à 2023 abonnés Pour écrire |
| Tous les numéros de VendrEDI peuvent être téléchargés à http://www.actimum.com/acvendredi.htm |