Remous dans la standardisation des identités des services web : Microsoft, n°1 du logiciel, vient d'annoncer qu'il ne supportera pas le standard Oasis, SAML 2.0 (Security Assertion Markup Language), censé assurer l'interopérabilité des identités entre services web. L'éditeur pousse désormais son protocole-maison WS-Federation pour gérer ses échanges d'identité notamment au sein de Windows Communication Foundation (ex-Indigo), la couche Service Web du prochain LongHorn. Ce n'est pas la première fois que Microsoft tourne le dos aux standards « ratifiés ». L'éditeur de Redmond avait tenté d'imposer son système d'authentification web .Net Passport, comme unique passerelle entre services en ligne et plate-forme Windows. En vain. A l'époque, Microsoft était déjà opposé à la Liberty Alliance. En choisissant l'abandon de SAML, Microsoft prend à contre pied le choix de nombreux éditeurs ayant opté pour un modèle reposant sur des standards plus matures. Mais pas seulement. A l'inverse de WS-Federation, SAML est également largement supporté par les très sérieux consortium, Liberty Alliance et l'Oasis. Et de fait, possède une longueur d'avance sur son rival. WS-Federation, développé en collaboration avec BEA, Verisign, IBM et RSA Security - que des grosses écuries - n'en est en effet qu'à la version 1.0. WS-Federation plus flexible que SAML "L'enjeu n'est pas de savoir quel protocole est meilleur, mais de savoir lequel offre davantage de flexibilité pour fédérer les identités", explique Don Schmidt, responsable de la division Identity et Access de Microsoft. Selon lui, WS-Federation se veut plus étendu : "SAML représente un SSO (Single Sign-On) strict. WS-Federation, de son côté, est plus enclin à gérer le bon acheminement des identités, des messages et des transactions dans des environnements distribués. Un support qui fait défaut à SAML". Reste à savoir vers quels protocoles les éditeurs, et les entreprises, basculeront dans le cadre d'architectures SOA, fondées sur les services web. Chez Microsoft, on table sur l'avancée et l'améliorations des traducteurs ("translators"), censé faire la liaison entre les deux protocoles. Une technologie provoquant actuellement des failles dans les échanges sécurisés.