Donnerstag, 18. Februar 2010

Web Services Standards Verbreitung (ohne Security) 2010

Nach etwas über einem Jahr ist es Zeit mein Portfolio zu den Web Services Standards anzupassen. Seit Dezember 2008 haben sich die Web Services Stacks und Ihre Unterstützung für die WS-Standards stark weiterentwickelt.
Auch Entwickler und Architekten setzen vermehrt WS-Standards in Ihren Projekten ein. In diesem Post beschreibe ich, was sich seit dem letzen Portfolio geändert hat.



Die größte Veränderung in den nicht Security Standards ist der Neuling WS-Discovery, der auch in .NET 4.0 enthalten sein wird. Der Einsatz von UDDI ist meinem Eindruck nach etwas zurückgegangen. Einige, die UDDI hauptsächlich für das Auflösen von Endpunkt Adressen im Rahmen der SOA Rutine Governance einsetzen, werden vielleicht auf WS-Discovery umsteigen.

Da WS-Adressing in vielen anderen Standards wie z. B. Web Services Security oder WS-Reliable Messaging verwendet wird hat mit deren Verbreitung auch die von WS-Adressing zugenommen. Genauso wird WS-Policy für die Beschreibung des Contracts von gesicherten Web Services verwendet. Daher nahm auch die Verbreitung von WS-Policy mit der von Web Services Security zu.

Die Verbreitung von BPEL in produktiven Systemen hat etwas zugenommen. Wobei die Prozesse oft recht simpel waren (BPEL ist ja auch für simple Integrationsprozesse gedacht).
Die Verbreitung von BPEL in der Entwicklung hat dagegen stärker zugenommen.
Tag: SOA, WS-Standards

Web Services Security Standards Verbreitung 2010

Die WS-Standards zur Sicherheit haben sich rasanter entwickelt als die nicht Security Standards. Dies mag verschiedene Gründe haben. Zum Beispiel, dass Sicherheit für vieles eine Voraussetzung ist. Das Portfolio unten spiegelt meine eigenen Erfahrungen aus Projekten und Schulungen wieder.



Besonders die Verbreitung des OASIS Standards Web Services Security hat zugenommen. Ich schätze, dass 10-15% aller neu in 2009 gestarteten Wen Services Projekte diesen Standard einsetzen, Der Einsatz von Web Services Security geht von unverschlüsselten Username Token bis hin zum Web Services SSO mit SAML und WS-Trust.

Der Maßstab im Portfolio ist wieder auf beiden Achsen logarithmisch. D. h. WSS ist wesentlich stärker verbreitet im Verhältnis zu z. B. WS-Trust als diese aus dem Diagramm hervorgeht. Absicherung von Nachrichten mit WSS bietet viele Optionen und Einstellungsmöglichkeiten. Daher ist das Konfigurieren von WSS nicht einfach. Sender und Empfänger einer Nachricht müssen gleich konfiguriert sein, damit eine erfolgreiche Kommunikation zu Stande kommt. Die Beschreibung der WSS Konfiguration mit dem maschinenlesbaren WS-Policy und WS-Security Policy die in WSDL eingebettet werden können, erleichtert die Konfiguration der Gegenseite erheblich. Daher wird auch WS-Security Policy von Axis2, Metro, NetBeans und .NET unterstützt. Web Services, die mit Metro bzw. NetBeans oder .NET bzw. Visual Studio abgesichert wurden enthalten in der WSDL bereits die entsprechenden Policies.

Axis2 unterstützt WS-Policy, da aber die Richtlinien von Hand erstellt werden müssen, sind viele gesicherte Services noch nicht WS-Policy beschrieben.

Der Einsatz von SSL bzw. TLS für die Absicherung von Web Services ist durch die zunehmende Verbreitung von WSS kaum zurückgegangen. Dies liegt an der bis zu 30-mal langsameren Roundtriptime von WSS gegenüber SSL und an der niedrigeren Komplexität von SSL. Der Einsatz von WS-Secure Conversation, eine Art SSL auf der XML Basis, bringt derzeit nur wenig Performancegewinn (ca. 20%). Die mit bekannten WS-Secure Conversation Implementierungen nutzen auch nicht alle Optimierungsmöglichkeiten, sodass es hier noch Potential gibt.
In 2010 wird sich der Trend von 2009 meiner Meinung nach fortsetzen und der Anteil der mit WSS abgesicherten Dienste wird sich erhöhen.