|
Taille: 5274
Commentaire: et pourquoi pas Shibboleth ?
|
Taille: 5442
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 41: | Ligne 41: |
| * La fédération d'identité du Comité Réseau des Universités en France : http://federation.cru.fr/ | |
| Ligne 44: | Ligne 43: |
| * La fédération d'identité du Comité Réseau des Universités en France : http://federation.cru.fr/ * 2 présentations réalisées pour expliquer la mise en place de Shibboleth au CRU : attachment:04b_federation.pdf et attachment:Journee-Shibboleth-CRU-25janv07.pdf |
OpenID est un un système d’authentification qui permet l’authentification unique (single sign one, SSO). Il est de plus en plus utilisé, de plus en plus [http://www.google.fr/trends?q=openid&ctab=0&geo=all&date=all à la mode].
La bonne explication sur wikipedia : http://en.wikipedia.org/wiki/OpenID (version [http://fr.wikipedia.org/wiki/OpenID française] périmée)
Le site de marketing : http://openid.net/
Les codes sources, bibliothèques de fonctions : http://www.openidenabled.com/
Veille automatique : http://del.icio.us/tag/openid et http://digg.com/search?section=all&s=openid
[http://2007.jres.org/planning/paperaeda.html?pid=13 Présentation vidéo] de Stéphane Bortzmeyer (AFNIC) lors des [http://2007.jres.org/planning/ JRES 20007].
Utilisations :
SPIP : http://www.spip-contrib.net/Plugin-d-authentification-OpenID
- y'a d'autres softs web utilisés à l'AUF ?
Horde/IMP, PMB, Trac, GLPI/OCS-NG, dotproject, ... doit-on se limiter à l'authentification web ? si oui alors je préfère continuer mes recherches sur Kerberos (que le couple Firefox + Apache supporte parfaitement, déjà testé avec succès)... -- ProgFou
Fais-nous une petite page sur le wiki, ça m'intéresse aussi... OpenID pour l'instant c'est que web, mais ça évoluera peut-être, si la sauce "prend". Ce que j'aime bien avec openid c'est que c'est utilisable sous toutes les applications qui le supportent, y compris des applications "non AUF". C'est "mon système d'authentification pour tout l'Internet", pratique pour les gens (et pour les pandores). C'est pas le même but que Kerberos, c'est complémentaire peut-être (ton serveur openid peut valider que tu es loggué parce que tu as déjà un ticket kerberos, bonjour le moulinage mais c'est rigolo). Ceci dit, OpenID a des petites vapeurs de LDAP : un beau protocole, de belles specs... mais qui évoluent sans arrêt, avec du code assez imbittable par derrière et pas de serveur "tout terrain". -- ThomasNoël
Idée : mettre en place un serveur OpenID du genre http://id.auf.org/prenom.nom
Comment : en Python de préférence, à partir de http://www.openidenabled.com/python-openid/ (base de la programmation des systèmes OpenID actuels). Voire en Django, carrément, pour se simplifier la tâche ?
Dans un premier temps au moins pour l'authentification (et pas pour les associations & co)
Le soucis : faut programmer, y'a pas vraiment de solution "clé en main" (pas encore ?). Ou plutôt : les seules solutions clé en main permettent d'ouvrir soit un openid pour une personne unique, soit pour "qui veut s'inscrire" (il faut d'abord s'enregistrer). Nous avons à l'AUF besoin d'un système qui se base sur des utilisateurs déjà existants... Rien trouvé là dessus (à part gracie, cf ci-dessous).
Sources d'inspiration :
http://trac.whitetree.org/gracie/ : authentification PAM, très simple à modifier pour passer en MySQL ou autre truc. Mais :
- est-ce que c'est stable ? en tout cas le code est propre. Trop propre, à la limite du pénible...
est-ce que ça gère les associations & co ? Hé ben non, ça gère que dalle sauf l'auth, et c'est apparement de l'openid 1.1, pas 2.0.
est-ce que ça évolue encore ? pas vraiment l'impression, le codeur a l'air du genre pénible (voir doc/HACKING.txt)
http://trac.nicolast.be/djangoid : sans doute un peu plus sain, mais apparement vieux ?... j'ai (Thomas) pas encore regardé le code.
un serveur à faire à la main, en partant de [http://openidenabled.com/files/python-openid/docs/2.1.0/openid.server.server.Server-class.html ce modèle pour Python] ou [http://openidenabled.com/files/php-openid/docs/2.0.0/OpenID/Auth_OpenID_Server.html celui-ci pour PHP]. Au choix...
et regardons aussi shibboleth
Shibboleth est peut être moins [http://www.google.fr/trends?q=shibboleth&ctab=0&geo=all&date=all&sort=0 à la mode] 
, mais il intéresse surtout le monde universitaire. Shibboleth est un mécanisme de propagation d'identités développé par le consortium [http://fr.wikipedia.org/wiki/Internet2 Internet2], qui regroupe 207 universités et centres de recherches. Il est basé sur la norme [http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security OASIS SAML v1.1].
Le site officiel : http://shibboleth.internet2.edu/
[http://fr.wikipedia.org/wiki/Shibboleth_(f%C3%A9d%C3%A9ration_d'identit%C3%A9) L'ébauche] sur wikipédia
[http://www.switch.ch/aai/docs/shibboleth/SWITCH/1.3/sp/install-sp-1.3-debian-etch.html L'installation sur Etch]
Les exemples de mise en place :
En Suisse : http://www.switch.ch/fr/aai/
Au Royaume-Uni : http://www.ukfederation.org.uk/
La fédération d'identité du Comité Réseau des Universités en France : http://federation.cru.fr/
- 2 présentations réalisées pour expliquer la mise en place de Shibboleth au CRU : attachment:04b_federation.pdf et attachment:Journee-Shibboleth-CRU-25janv07.pdf
Cela pourrait-être très intéressant pour connecter étudiants et professeurs de nos membres et imaginer des services... C'est pas les idées qui manquent !!!
Comparons-les !
[http://identitymeme.org/doc/draft-hodges-saml-openid-compare-05.html Comparaison technique OpenId - SAML]
Un article intéressant : http://vsmith.info/OpenID