V.2.3.1. Security Assertion Markup Language « SAML
»
L'OASIS2 a défini le standard SAML, [SAML]
basé sur le langage XML3 (pour l'échange de
données d'authentification et d'autorisation entre les domaines de
sécurité distribués). SAML permet aux partenaires de
générer des assertions concernant l'identité, les
attributs et les droits d'une entité (utilisateur, machine)
2 Organisation for the Advancement of
Structured Information Standards.
27
3 eXtensible Markup Language.
Chapitre I La protection de la vie
privée
et, les transférer à d'autres entités
(organisations, applications, etc.). Il définit la syntaxe et les
règles pour demander, créer, communiquer et utiliser les
assertions SAML au format spécifié. Les assertions SAML,
encapsulées dans des messages SOAP4 et
transférées par le biais du protocole HTTP, permettent à
la fédération de surpasser les limites imposées par les
différences entre les infrastructures déployées chez les
différents partenaires.
SAML 2.0, dans sa conception, fournit des solutions pour
l'authentification unique (SSO), interaction de Services Web en plus de la
fédération d'identité, nous allons décrire ces
trois solutions:
> Authentification unique (SSO) : fournit
une solution multi domaine en proposant une sémantique et un protocole
standardisés pour le transfert de l'information concernant un
utilisateur entre les domaines.
> Fédération d'identité :
permet à des organisations partenaires de s'entendre sur (et
établir) l'existence d'un identificateur partagé unique pour
faire référence à un utilisateur et l'exploitation de cet
identificateur pour propager les informations requises le concernant chaque
fois qu'il demande un accès au service.
> Services Web : offre une
modularité permettant aux assertions d'être utilisées dans
des contextes dépassant ceux de SAML [12].
V.2.3.2. The Platform for Privacy Preferences « P3P
»
Le standard P3P, promu par le W3C, permet aux internautes de
reconnaître automatiquement en se connectant à un site la
politique de protection des données du site. D'une protection «
individuelle » ou « marchande » (confiée à des
prestataires), on passe, avec le P3P, à une forme de protection
collective [7].
> La spécification P3P 1.0
La spécification P3P 1.0 définit la syntaxe et
la des politiques de confidentialité P3P et les mécanismes
permettant d'associer les politiques aux ressources web. Les politique P3P
consistent en déclarations utilisant le vocabulaire P3P afin d'exprimer
des pratiques P3P touchant à la vie privée. Les politiques P3P
appellent également des éléments du
28
4 Simple Object Access Protocol.
Chapitre I La protection de la vie
privée
29
schéma de données de base de P3P, un jeu
standard d'éléments de données que tout agent utilisateur
P3P devrait reconnaître. La spécification P3P comprend un
mécanisme permettant de définir de nouveaux
éléments de données et ensemble de données et un
mécanisme simple autorisant l'extension du vocabulaire de P3P
[13].
| 
