|
Taille: 1597
Commentaire: je jette mes idées là
|
← Version 11 à la date du 2008-02-21 22:09:37 ⇥
Taille: 5474
Commentaire: converted to 1.6 markup
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| OpenID est un un système d’authentification qui permet l’authentification unique (''single sign one, SSO''). Il est de plus en plus utilisé. | OpenID est un un système d’authentification qui permet l’authentification unique (''single sign one, SSO''). Il est de plus en plus utilisé, de plus en plus [[http://www.google.fr/trends?q=openid&ctab=0&geo=all&date=all|à la mode]]. |
| Ligne 3: | Ligne 3: |
| * La bonne explication sur wikipedia : http://en.wikipedia.org/wiki/OpenID (version [http://fr.wikipedia.org/wiki/OpenID française] périmée) | * La bonne explication sur wikipedia : http://en.wikipedia.org/wiki/OpenID (version [[http://fr.wikipedia.org/wiki/OpenID|française]] périmée) |
| Ligne 7: | Ligne 7: |
| * [[http://2007.jres.org/planning/paperaeda.html?pid=13|Présentation vidéo]] de Stéphane Bortzmeyer (AFNIC) lors des [[http://2007.jres.org/planning/|JRES 20007]]. Utilisations : * SPIP : http://www.spip-contrib.net/Plugin-d-authentification-OpenID * moinmoin : http://moinmo.in/FeatureRequests/OpenIDSupport * y'a d'autres softs web utilisés à l'AUF ? * Horde/IMP, PMB, Trac, GLPI/OCS-NG, dotproject, ... doit-on se limiter à l'authentification web ? si oui alors je préfère continuer mes recherches sur Kerberos (que le couple Firefox + Apache supporte parfaitement, déjà testé avec succès)... -- ProgFou * Fais-nous une petite page sur le wiki, ça m'intéresse aussi... OpenID pour l'instant c'est que web, mais ça évoluera peut-être, si la sauce "prend". Ce que j'aime bien avec openid c'est que c'est utilisable sous toutes les applications qui le supportent, y compris des applications "non AUF". C'est "mon système d'authentification pour tout l'Internet", pratique pour les gens (et pour les pandores). C'est pas le même but que Kerberos, c'est complémentaire peut-être (ton serveur openid peut valider que tu es loggué parce que tu as déjà un ticket kerberos, bonjour le moulinage mais c'est rigolo). Ceci dit, OpenID a des petites vapeurs de LDAP : un beau protocole, de belles specs... mais qui évoluent sans arrêt, avec du code assez imbittable par derrière et pas de serveur "tout terrain". -- ThomasNoël |
|
| Ligne 11: | Ligne 19: |
| * Dans un premier temps au moins pour l'authentification. * Le soucis : faut programmer, y'a pas vraiment de solution "clé en main" (pas encore ?). * Ou plutôt : les seules solutions clé en main permettent d'ouvrir un openid pour une personne, ou pour "qui veut s'inscrire". Nous avons nous besoin d'un système qui se base sur nos utilisateurs déjà existants... |
* Dans un premier temps au moins pour l'authentification (et pas pour les associations & co) * Le soucis : faut programmer, y'a pas vraiment de solution "clé en main" (pas encore ?). Ou plutôt : les seules solutions clé en main permettent d'ouvrir soit un openid pour une personne unique, soit pour "qui veut s'inscrire" (il faut d'abord s'enregistrer). Nous avons à l'AUF besoin d'un système qui se base sur des utilisateurs déjà existants... Rien trouvé là dessus (à part ''gracie'', cf ci-dessous). |
| Ligne 16: | Ligne 23: |
| * http://trac.whitetree.org/gracie/ : authentification PAM ... très simple à modifier pour passer en MySQL ! Mais : a. est-ce que c'est stable ? b. est-ce que ça gère les associations & co ? j'ai pas l'impression mais je peux me tromper. * http://trac.nicolast.be/djangoid : sans doute un peu plus sain ?... j'ai (Thomas) pas encore regardé le code. |
* http://trac.whitetree.org/gracie/ : authentification PAM, très simple à modifier pour passer en MySQL ou autre truc. Mais : * est-ce que c'est stable ? en tout cas le code est propre. Trop propre, à la limite du pénible... * est-ce que ça gère les associations & co ? Hé ben non, ça gère que dalle sauf l'auth, et c'est apparement de l'openid 1.1, pas 2.0. * est-ce que ça évolue encore ? pas vraiment l'impression, le codeur a l'air du genre pénible (voir `doc/HACKING.txt`) * http://trac.nicolast.be/djangoid : sans doute un peu plus sain, mais apparement vieux ?... j'ai (Thomas) pas encore regardé le code. * un serveur à faire à la main, en partant de [[http://openidenabled.com/files/python-openid/docs/2.1.0/openid.server.server.Server-class.html|ce modèle pour Python]] ou [[http://openidenabled.com/files/php-openid/docs/2.0.0/OpenID/Auth_OpenID_Server.html|celui-ci pour PHP]]. Au choix... = et regardons aussi shibboleth = '''Shibboleth''' est peut être moins [[http://www.google.fr/trends?q=shibboleth&ctab=0&geo=all&date=all&sort=0|à la mode]] :) , mais il intéresse surtout le monde universitaire. '''Shibboleth''' est un mécanisme de propagation d'identités développé par le consortium [[http://fr.wikipedia.org/wiki/Internet2|Internet2]], qui regroupe 207 universités et centres de recherches. Il est basé sur la norme [[http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security|OASIS SAML v1.1]]. * Le site officiel : http://shibboleth.internet2.edu/ * [[http://fr.wikipedia.org/wiki/Shibboleth_(f%C3%A9d%C3%A9ration_d'identit%C3%A9)|L'ébauche]] sur wikipédia * [[http://www.switch.ch/aai/docs/shibboleth/SWITCH/1.3/sp/install-sp-1.3-debian-etch.html|L'installation sur Etch]] Les exemples de mise en place : * En Suisse : http://www.switch.ch/fr/aai/ * Au Royaume-Uni : http://www.ukfederation.org.uk/ * La fédération d'identité du Comité Réseau des Universités en France : http://federation.cru.fr/ * 2 présentations réalisées pour expliquer la mise en place de Shibboleth au CRU : [[attachment:04b_federation.pdf]] et [[attachment:Journee-Shibboleth-CRU-25janv07.pdf]] Cela pourrait-être très intéressant pour connecter étudiants et professeurs de nos membres et imaginer des services... C'est pas les idées qui manquent !!! = Comparons-les ! = * [[http://identitymeme.org/doc/draft-hodges-saml-openid-compare-05.html|Comparaison technique OpenId - SAML]] * Un article intéressant : http://vsmith.info/OpenID |
OpenID est un un système d’authentification qui permet l’authentification unique (single sign one, SSO). Il est de plus en plus utilisé, de plus en plus à la mode.
La bonne explication sur wikipedia : http://en.wikipedia.org/wiki/OpenID (version française périmée)
Le site de marketing : http://openid.net/
Les codes sources, bibliothèques de fonctions : http://www.openidenabled.com/
Veille automatique : http://del.icio.us/tag/openid et http://digg.com/search?section=all&s=openid
Présentation vidéo de Stéphane Bortzmeyer (AFNIC) lors des JRES 20007.
Utilisations :
SPIP : http://www.spip-contrib.net/Plugin-d-authentification-OpenID
- y'a d'autres softs web utilisés à l'AUF ?
Horde/IMP, PMB, Trac, GLPI/OCS-NG, dotproject, ... doit-on se limiter à l'authentification web ? si oui alors je préfère continuer mes recherches sur Kerberos (que le couple Firefox + Apache supporte parfaitement, déjà testé avec succès)... -- ProgFou
Fais-nous une petite page sur le wiki, ça m'intéresse aussi... OpenID pour l'instant c'est que web, mais ça évoluera peut-être, si la sauce "prend". Ce que j'aime bien avec openid c'est que c'est utilisable sous toutes les applications qui le supportent, y compris des applications "non AUF". C'est "mon système d'authentification pour tout l'Internet", pratique pour les gens (et pour les pandores). C'est pas le même but que Kerberos, c'est complémentaire peut-être (ton serveur openid peut valider que tu es loggué parce que tu as déjà un ticket kerberos, bonjour le moulinage mais c'est rigolo). Ceci dit, OpenID a des petites vapeurs de LDAP : un beau protocole, de belles specs... mais qui évoluent sans arrêt, avec du code assez imbittable par derrière et pas de serveur "tout terrain". -- ThomasNoël
Idée : mettre en place un serveur OpenID du genre http://id.auf.org/prenom.nom
Comment : en Python de préférence, à partir de http://www.openidenabled.com/python-openid/ (base de la programmation des systèmes OpenID actuels). Voire en Django, carrément, pour se simplifier la tâche ?
Dans un premier temps au moins pour l'authentification (et pas pour les associations & co)
Le soucis : faut programmer, y'a pas vraiment de solution "clé en main" (pas encore ?). Ou plutôt : les seules solutions clé en main permettent d'ouvrir soit un openid pour une personne unique, soit pour "qui veut s'inscrire" (il faut d'abord s'enregistrer). Nous avons à l'AUF besoin d'un système qui se base sur des utilisateurs déjà existants... Rien trouvé là dessus (à part gracie, cf ci-dessous).
Sources d'inspiration :
http://trac.whitetree.org/gracie/ : authentification PAM, très simple à modifier pour passer en MySQL ou autre truc. Mais :
- est-ce que c'est stable ? en tout cas le code est propre. Trop propre, à la limite du pénible...
est-ce que ça gère les associations & co ? Hé ben non, ça gère que dalle sauf l'auth, et c'est apparement de l'openid 1.1, pas 2.0.
est-ce que ça évolue encore ? pas vraiment l'impression, le codeur a l'air du genre pénible (voir doc/HACKING.txt)
http://trac.nicolast.be/djangoid : sans doute un peu plus sain, mais apparement vieux ?... j'ai (Thomas) pas encore regardé le code.
un serveur à faire à la main, en partant de ce modèle pour Python ou celui-ci pour PHP. Au choix...
et regardons aussi shibboleth
Shibboleth est peut être moins à la mode 
, mais il intéresse surtout le monde universitaire. Shibboleth est un mécanisme de propagation d'identités développé par le consortium Internet2, qui regroupe 207 universités et centres de recherches. Il est basé sur la norme OASIS SAML v1.1.
Le site officiel : http://shibboleth.internet2.edu/
L'ébauche sur wikipédia
Les exemples de mise en place :
En Suisse : http://www.switch.ch/fr/aai/
Au Royaume-Uni : http://www.ukfederation.org.uk/
La fédération d'identité du Comité Réseau des Universités en France : http://federation.cru.fr/
2 présentations réalisées pour expliquer la mise en place de Shibboleth au CRU : 04b_federation.pdf et Journee-Shibboleth-CRU-25janv07.pdf
Cela pourrait-être très intéressant pour connecter étudiants et professeurs de nos membres et imaginer des services... C'est pas les idées qui manquent !!!
Comparons-les !
Un article intéressant : http://vsmith.info/OpenID