SPML (Service Provisioning Markup Language) Modifié
| Type de standard | Standard ouvert |
| Version | 2.0(11/04/06) |
| Importance | Autre |
| Organisme de standardisation | OASIS
|
| Catégorie BelGif | |
| Appartient aux domaines | Gestion des utilisateurs et d'accès
|
Description
Dans un environnement où l’utilisateur dispose de plusieurs comptes dans des systèmes disparates, un mécanisme de provisionnement automatique peut apporter une aide certaine. Le Service Provisioning Markup Language est un mécanisme basé sur XML permettant de communiquer avec différents systèmes de comptes sur la création, la gestion et la suppression de données de compte. Le mécanisme de liaison pour SPML est standard via les services web (SOAP). SPML v2.0 est entre autres basé sur WS-Provisioning.
Le principe de SPML est illustré au moyen de l’illustration suivante, où les différents systèmes communiquent entre eux dans un processus de provisionnement.
Dans le processus de provisionnement, une Requesting Authority (RA) communiquera avec un Provisioning Service Provider (PSP). À son tour, ce PSP s’adressera à différents Provisioning Service Targets (PST). Un PST est un logiciel dans lequel une certaine action doit être entreprise. Lorsqu’un nouveau travailleur est engagé par le service du personnel (dans ce cas-ci la RA), un message automatique est envoyé au système des comptes dans le département A (un PSP). Celui-ci effectuera les opérations nécessaires dans les sources sous-jacentes (PST) comme une directory LDAP et une base de données. Le système du département A peut envoyer lui-même des requests SPML vers d’autres systèmes comme celui du département B.
SPML travaille selon un mécanisme de request/response. D’après les spécifications, ceci peut se faire tant de manière synchrone, asynchrone qu’en batch. Les opérations suivantes sont entre autres supportées :
- Liste des sollicitations PST
- Ajout, modification, suppression d’objets
- Lookup d’un seul objet
- Opérations sur les mots de passe, comme la modification, le reset et la validation
- Opérations de recherche
Un PSP peut aussi répondre à une question d’un RA avec une liste des attributs nécessaires à la création d’un compte. Notons que l’on peut s’appuyer sur le format DSML pour la gestion de l’information de l’utilisateur.
Bien que le SPLM soit développé dans une organisation de standards, son utilisation est encore très limitée. Les systèmes de provisioning soutiennent ce standard, mais ce sont surtout les gros logiciels qui doivent supporter SPML si l’on souhaite parvenir à une spécification de provisioning standardisée et acceptée. Il existe également une certaine concurrence dans le monde de la fédération de l’identité (Liberty, WS-Federation), qui tente de résoudre plusieurs problèmes de provisioning avec ses propres spécifications.
Où se trouve le lien avec les autres standards comme SAML et XACML? Si les systèmes de comptes sont provisionnés à l’aide de SPML, on peut utiliser SAML pour transmettre les données d’authentification et d’autorisation. XACML se charge des policies en matière d’autorisations et leur définition.
Avec l’arrivée du SaaS (Software as a Service) et du cloud computing, la gestion fédérée des identités avec un processus de provisioning devient de plus en plus importante. Le SPML a un rôle notable à jouer ici. À cet égard, on a essayé en 2010 de redonner vie à ce standard et d’aboutir à la version 3 du SPML.
Il existe cependant une initiative concurrentielle, à savoir SCIM (Simple Cloud Identity Management). Cette spécification existe car on considère que SPML est trop complexe dans des scénarios Cloud simples. Cette spécification est mise en marche par quelques grands acteurs comme Salesforce.com.