Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 4. marts 2005.
Leverandørerne er meget glade for web-services, men der er stadig udfordringer forude.
Der er stor interesse for web-services. En IDC-undersøgelse viser, at en ud af tre it-chefer har gennemført en eller flere web-services-projekter. Hertil kommer en anden tredjedel af it-cheferne, der har afprøvet teknologien i pilotprojekter.
Men undersøgelsen viser også, at der var en række barrierer for udbredelsen af web-services. Blandt andet udtrykte it-cheferne bekymring for manglen på sikkerhed.
En anden undersøgelse fra analysefirmaet The Yankee Group viser, at 44 procent af adspurgte it-chefer sagde, at de manglede forståelse for web-services, og andre 44 procent var ikke overbevist om forretningsfordelene ved web-services.
Imens indbygger samtlige store it-leverandører nu web-services i deres produkter. BEA's WebLogic, Microsofts .Net, IBM's WebSphere, og Oracles 10g er alle blevet web-services-produkter; ja selv databaser skal tilsyneladende beriges med web-services-faciliteter. Der er planer for DB2, SQL Server 2005, Oracle og Sybase.
Leverandørerne ser web-services som svaret på it-chefens bønner om nemmere integration. Men tilsyneladende er it-cheferne ikke helt så nemme at dupere. Her må man huske på, at mange af dem hørte de samme lovprisninger af eksempelvis CORBA (Common Object Request Broker Architecture) som arkitekturen, der skulle gøre det muligt - og enkelt - at kommunikere mellem forskellige systemer og platforme. Det var det ikke.
Konceptet bag serviceorienterede arkitekturer er ikke ny. Den har man forsøgt at realisere i en årrække. Microsoft forsøgte med Distributed Component Object Model (DCOM), java-folket prøvede med Remote Method Invocation (RMI), og tidligere var det Remote Procedure Call (RPC).
Men fordi web-services bygger på udbredte, åbne standarder, der findes på næsten alle operativsystemer, enhver applikationsstak og i ethvert programmeringssprog, er der håb om, at den serviceorienterede arkitektur kan bide sig fast og løse en af de største udfordringer for it-chefen: Integration.
Ifølge en undersøgelse fra Yankee Group fra oktober 2004 går 65 procent af it-udviklingsbudgetter til integration. Web-services ses som en god måde at få ordnet det problem. Web-services er baseret på velafprøvede standarder som XML, SOAP og HTTP. Derfor er det så populært. Men derudover er der en række standarder, som endnu ikke er på plads. Kigger vi ned i alfabetsuppen ser vi følgende ingredienser, der er tilsat web-services for at gøre retten mere tillokkende - desværre er de endnu ikke færdigkogt: WS-Discovery til at finde services; WS-Distributed Management; WS-Addressing for messaging; WS-Business Process Execution Language for process workflow; en lind strøm af specifikationer, der er rettet mod pålidelighed, eksempelvis WS-Reliability, WS-ReliableMessaging, WS-Notifications, WS-Eventing og WS-ResourceFramework samt specifikationer for transaktionshåndtering som WS-Coordination, WS-AtomicTransaction og WS-BusinessActivity.
Der er således en række udfordringer, som skal klares og standarder, der skal være på plads, inden web-services kan håndtere alle integrationsopgaver.
Web-services er i bund og grund en synkron kommunikationsform. Hvis der ikke er nogen proces i den anden ende til at tage imod en SOAP-besked, går meddelelsen tabt. Kø-baserede systemer løser det ved at anvende lokale køer, hvor beskeder gemmes indtil de kan afleveres til den modtagende part. Den facilitet eksisterer ikke i dag for web-services, så her må udviklerne opfinde deres egen kø-baserede protokol. Der er dog en række specifikationer, der forsøger at løse problemet for web-services.
WS-ReliableMessaging er eksempelvis designet til at garantere, at en SOAP-besked når frem til sin destination. På tilsvarende vis forsøger WS-AtomicTransaction, WS-Eventing og en række andre specifikationer at håndtere komplekse forretningstransaktioner, der involverer flere forskellige web-services. De nævnte specifikationer har dog endnu ikke den store udbredelse.
På den anden side er der heller ikke altid behov for de store forkromede løsninger. Det er ikke altid, man har brug for at håndtere komplekse transaktioner, der involverer mange forskellige services. Ofte vil SOAP-beskeder, der sendes over HTTP, være nok til at løse de fleste behov. CORBA fejlede i nogle henseender, fordi den prøvede at tage højde for alt og dermed blev alt for kompleks til mange mindre integrationsopgaver.
Men punkt-til-punkt-integration mellem en række forskellige systemer kan meget hurtigt gå hen og blive et vedligeholdelsesmæssigt mareridt.
- Jeg kalder det Spaghetti Orienteret Arkitektur, sagde analytikeren James Kobelius fra Burton Group for nylig. Han uddybede:
- Der er det her rod af beskeder. SOA baserer sig på udveksling af beskeder mellem endepunkter. Hvordan kan du styre det, designe det, optimere det, overvåge det, lave det sikkert, dette morads af beskeder, denne spaghetti?
James Kobelius blev bakket op af David Mendlen, direktør for XML web-services marketing hos Microsoft:
- Når man taler om SOA, siger forretningsfolkene, "fint, det gør tingene lettere, plug-and-play, genbrug". Men de professionelle it-folk er typisk ikke så begejstrede. Det er et distribueret system uden et centralt kontrolpunkt, sagde David Mendlen.
Her kommer it-leverandørerne dog de bekymrede it-folk til hjælp.
De lover, at de kan levere de nødvendige værktøjer til at håndtere web-services. Eksempler er CA's Unicenter web-services Distributed Management (WSDM) og IBM Tivoli Monitoring for Transaction Performance samt BEA's Quicksilver, der vil blive lanceret i år.
Et andet område, der har bidraget til bekymringer hos it-chefer, er spørgsmålet om sikkerhed i forbindelse med web-services. Eksempelvis er spørgsmålet om autorisation og tildeling af rettigheder til en bruger traditionelt blevet håndteret med en login-procedure. Den distribuerede web-services-vision lægger op til at komponenter i en applikation sender forespørgsler til services i et andet domæne - måske endda i et andet firma - og får sendt svar tilbage til brugeren. Her kan sikkerhed for de forbundne systemer hurtigt blive en kompliceret sag. Som ved løsningen af web-services grundlæggende synkrone kommunikationsnatur er der forskellige forslag af nye standarder til at løse sikkerhedsproblemet. To standarder skiller sig dog ud og udmærker sig ved at være meget udbredte: WS-Security og SAML.
WS-Security er et framework, hvor forskellige facetter af sikkerhed indgår, mens SAML er rettet mod at løse single-sign-on-problematikken når der anvendes web-services fra forskellige systemer.
På kort sigt er en del af løsningen på sikkerhedsproblematikken at anvende velkendte standarder som Secure Sockets Layer (SSL).
SSL understøtter 2-vejs autencitetscheck i form af klient/server certifikater, men det løbende vedligehold af en certifikat-infrastruktur for et stort antal klienter kan på sigt blive omfattende.
De store standardorganisationer er W3C og OASIS. Det er værd at holde øje med standarderne, der anbefales fra disse to organisationer og sikre sig at ens leverandører følger de mest stabile. W3C er hjemsted for de mere basale web service-standarder, som eksempelvis SOAP, XML Digital Signatur (DSIG) og XML kryptering. OASIS tager sig af standarder for højere niveauer; eksempelvis WS-Security. WS-Security specificerer eksempelvis, hvordan XML DSIG og XML-kryptering kan anvendes til at sikre indholdet af SOAP-beskeder. WS-Security specificerer også et framework for håndtering af "tokens", eksempelvis krypteringselementer (nøgler) og identitetsinformation (SAML-information om den sendende klient).
Boks:
Web-services er betegnelsen for såkaldt distribuerede tjenester, som en computer kan anmode en anden om uden menneskelig indblanding. Det gør software til services eller tjenester, som brugerne kan benytte fra et hvilket som helst system. Derfor er web-services baseret på XML, SOAP eller HTTP. Dermed bliver web-services til en slags byggeklodser, som brugerne kan udveksle og indbygge i deres egne applikationer. De store softwareproducenter kører løs af web-service-sporet, mens it-chefer og programmører er mere skeptiske over for, om integrationen kommer til at fungere, og om sikkerheden bliver tilstrækkelig. I mellemtiden er de første web-service-installationer taget i drift herhjemme.
Boks:
SAML
Security Assertion Markup Language. Standard for single sign-on. Definerer XML-beskeder som applikationer kan bruge til at udveksle information om identiteter og rettigheder.
Version 1.1 af SAML blev vedtaget som OASIS standard i august 2003.
En version 2.0 ventes vedtaget i marts måned i år.
Boks:
WS-Security
Web-services-security definerer ekstra headere, der kan tilføjes SOAP-beskeder, så sikkerhedstokens bliver understøttet.
Vedtaget som OASIS standard i marts 2004.
