[Sequanux-ml] Retour sur projet de site web
Christophe Boutet
christophe at boutet.eu.org
Ven 4 Fév 10:55:31 CET 2011
Re,
Le 04/02/2011 09:46, Grégory Oestreicher a écrit :
> Je pensais à un "vrai" SSO comme ce que peut proposer Kerberos : je me loggue une fois
> sur ma machine et je suis authentifié sur tous les services kerberisés.
On est bien d'accords sur le fait que Kerberos ne correspond pas au
besoin, c'est pour ça que depuis une dizaine d'années existe entre
autres SAML
(http://fr.wikipedia.org/wiki/Security_assertion_markup_language).
Je ne dis pas que SAML correspond au besoin de Sequanux, mais ça
pourrait, bien que ce soit sans doute trop lourdingue à mettre en place
dans le cas d'une samelisation élégante.
>
>> OpenID dans le contexte Sequanux n'apporte aucune valeur ajoutée, c'est
>> la fourniture d'un identifiant et mot de passe unique. En ce sens un
>> LDAP, dont dispose déja Sequanux, correspond au besoin.
>> Si on veut faire du SSO avec OpenID, il faut ajoute une surcouche.
>
> Mmmm, il me semblait qu'il était possible d'avoir un web-SSO avec OpenID. Je vais
> chercher ça.
C'est possible, c'est OpenId plus "quelque chose", mais de base OpenID
ne fait pas de SSO, c'est juste un identifiant unique qui circule.
Dans le style OpenID plus "quelque chose", ça peut être OAuth, si tu
veux rester sur un protocole standard, mais du coup, tu allourdis
sérieusement la mise en place.
Ce que permet, de base, OpenID dès lors que t'es authentifié sur un
provider, c'est la non resaisie du MDP, en revanche dès lors qu'on veut
s'authentifier sur un service, il faut saisir son identifiant.
L'authentification n'est pas transparente contrairement à ce que peuvent
permettre CAS, SAML 2.0 (et Shibboleth), WS-*...
>
>> La philosophie première d'OpenID c'est d'accepter des identifiants
>> provenant d'un peu n'importe où pour authentifier un utilisateur dans la
>> blogosphère.
>
> Les identifiants ne viennent pas d'un peu n'importe où : chaque utilisateur a un
> compte chez un provider OpenID et c'est cet identifiant unique qui sera utilisé. Si
> par "provenant d'un peu n'importe où" tu parles des consumers OpenID on est d'accord.
Je faisais un raccourci sur le n'importe où, dans le sens ou il existe
une miriade de fournisseurs d'identité OpenID. je ne parlais pas des
consumers, aujourd'hui encore et après 6 ans, il y a plus de providers
que de consumers OpenID.
> Sinon réduire le champ d'application à la blogosphère est un peu réducteur :) On va
> dire que le champ d'application c'est n'importe quelle appli web, mais que les
> plateformes de blogs sont des pionniers.
Je n'ai pas réduit à la blogosphère, je parlais de la philosophie
première d'OpenID. OpenID a été pensé pour faciliter l'authentification
de contributeurs, pas pour authentifier les usagers d'une organisation.
>> Sauf à tordre le protocole et la philosophie, ce n'est pas
>> adapté pour une authentification unique permettant à accéder de manière
>> homogène au bouquet de services d'une organisation.
>
> Pas besoin de torsion si OpenID fonctionne bien comme je le pense, mais je vais
> confirmer. De plus je préfère rester dans l'optique de ne pas réinventer la roue et
> bénéficier au maximum de services externes, principalement car je doute de notre
> capacité à maintenir ce genre de solutions en interne de manière pérenne.
Sur le fait de ne pas réinventer la roue, je suis d'accord avec toi. Sur
le fait de connaître un peu la problématique de l'authentification
unique des usagers sur internet, je pense savoir à peu près de quoi je
parle.
> Maintenant cela pose aussi la question de l'ouverture que nous souhaitons. Avoir
> OpenID permet d'accueillir de nouveaux contributeurs plus aisément, sans avoir à aller
> créer un compte dans le LDAP et donc favoriser les contributions de personnes qui ne
> souhaitent pas s'engager officiellement et rechignent à lancer la procédure de demande
> de compte.
C'est une question en effet, il y a un certain nombre de services de la
galaxie Sequanux pour lesquels les contributeurs externes pourraient
s'authentifier avec OpenID.
Quand le SSO a été évoqué la semaine dernière c'était plutôt pour
faciliter la vie des membres, pas de contributeurs externes.
>> Quant aux implémentations logicielles, j'ai une vague idée sur la question.
- Authentic, fournisseur d'identité (IDP) SAML, CAS, OpenID et qui est
aussi consommateur d'identité OpenID, voire d'autres IDP SAML.
http://authentic.labs.libre-entreprise.org/
https://dev.entrouvert.org/projects/authentic
Authentic peut être connecté au LDAP Sequanux.
Mais faut attendre un poil que la version 2 soit stabilisée.
- Larpe pour les services pouvant être supportés nativement (Spip,
Squirrelmail, Mediawiki)
http://larpe.labs.libre-entreprise.org/
- un agent CAS pour les services qui ne pourraient pas passer par Larpe.
À +
--
Christophe
Plus d'informations sur la liste de diffusion Sequanux-ml