OpenID est un un système d’authentification qui permet l’authentification unique (''single sign one, SSO''). Il est de plus en plus utilisé, de plus en plus [[http://www.google.fr/trends?q=openid&ctab=0&geo=all&date=all|à la mode]]. * La bonne explication sur wikipedia : http://en.wikipedia.org/wiki/OpenID (version [[http://fr.wikipedia.org/wiki/OpenID|française]] périmée) * Le site de marketing : http://openid.net/ * Les codes sources, bibliothèques de fonctions : http://www.openidenabled.com/ * Veille automatique : http://del.icio.us/tag/openid et http://digg.com/search?section=all&s=openid * [[http://2007.jres.org/planning/paperaeda.html?pid=13|Présentation vidéo]] de Stéphane Bortzmeyer (AFNIC) lors des [[http://2007.jres.org/planning/|JRES 20007]]. Utilisations : * SPIP : http://www.spip-contrib.net/Plugin-d-authentification-OpenID * moinmoin : http://moinmo.in/FeatureRequests/OpenIDSupport * y'a d'autres softs web utilisés à l'AUF ? * Horde/IMP, PMB, Trac, GLPI/OCS-NG, dotproject, ... doit-on se limiter à l'authentification web ? si oui alors je préfère continuer mes recherches sur Kerberos (que le couple Firefox + Apache supporte parfaitement, déjà testé avec succès)... -- ProgFou * Fais-nous une petite page sur le wiki, ça m'intéresse aussi... OpenID pour l'instant c'est que web, mais ça évoluera peut-être, si la sauce "prend". Ce que j'aime bien avec openid c'est que c'est utilisable sous toutes les applications qui le supportent, y compris des applications "non AUF". C'est "mon système d'authentification pour tout l'Internet", pratique pour les gens (et pour les pandores). C'est pas le même but que Kerberos, c'est complémentaire peut-être (ton serveur openid peut valider que tu es loggué parce que tu as déjà un ticket kerberos, bonjour le moulinage mais c'est rigolo). Ceci dit, OpenID a des petites vapeurs de LDAP : un beau protocole, de belles specs... mais qui évoluent sans arrêt, avec du code assez imbittable par derrière et pas de serveur "tout terrain". -- ThomasNoël = Idée : mettre en place un serveur OpenID du genre http://id.auf.org/prenom.nom = * Comment : en Python de préférence, à partir de http://www.openidenabled.com/python-openid/ (base de la programmation des systèmes OpenID actuels). Voire en Django, carrément, pour se simplifier la tâche ? * Dans un premier temps au moins pour l'authentification (et pas pour les associations & co) * Le soucis : faut programmer, y'a pas vraiment de solution "clé en main" (pas encore ?). Ou plutôt : les seules solutions clé en main permettent d'ouvrir soit un openid pour une personne unique, soit pour "qui veut s'inscrire" (il faut d'abord s'enregistrer). Nous avons à l'AUF besoin d'un système qui se base sur des utilisateurs déjà existants... Rien trouvé là dessus (à part ''gracie'', cf ci-dessous). Sources d'inspiration : * http://trac.whitetree.org/gracie/ : authentification PAM, très simple à modifier pour passer en MySQL ou autre truc. Mais : * est-ce que c'est stable ? en tout cas le code est propre. Trop propre, à la limite du pénible... * est-ce que ça gère les associations & co ? Hé ben non, ça gère que dalle sauf l'auth, et c'est apparement de l'openid 1.1, pas 2.0. * est-ce que ça évolue encore ? pas vraiment l'impression, le codeur a l'air du genre pénible (voir `doc/HACKING.txt`) * http://trac.nicolast.be/djangoid : sans doute un peu plus sain, mais apparement vieux ?... j'ai (Thomas) pas encore regardé le code. * un serveur à faire à la main, en partant de [[http://openidenabled.com/files/python-openid/docs/2.1.0/openid.server.server.Server-class.html|ce modèle pour Python]] ou [[http://openidenabled.com/files/php-openid/docs/2.0.0/OpenID/Auth_OpenID_Server.html|celui-ci pour PHP]]. Au choix... = et regardons aussi shibboleth = '''Shibboleth''' est peut être moins [[http://www.google.fr/trends?q=shibboleth&ctab=0&geo=all&date=all&sort=0|à la mode]] :) , mais il intéresse surtout le monde universitaire. '''Shibboleth''' est un mécanisme de propagation d'identités développé par le consortium [[http://fr.wikipedia.org/wiki/Internet2|Internet2]], qui regroupe 207 universités et centres de recherches. Il est basé sur la norme [[http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security|OASIS SAML v1.1]]. * Le site officiel : http://shibboleth.internet2.edu/ * [[http://fr.wikipedia.org/wiki/Shibboleth_(f%C3%A9d%C3%A9ration_d'identit%C3%A9)|L'ébauche]] sur wikipédia * [[http://www.switch.ch/aai/docs/shibboleth/SWITCH/1.3/sp/install-sp-1.3-debian-etch.html|L'installation sur Etch]] Les exemples de mise en place : * En Suisse : http://www.switch.ch/fr/aai/ * Au Royaume-Uni : http://www.ukfederation.org.uk/ * La fédération d'identité du Comité Réseau des Universités en France : http://federation.cru.fr/ * 2 présentations réalisées pour expliquer la mise en place de Shibboleth au CRU : [[attachment:04b_federation.pdf]] et [[attachment:Journee-Shibboleth-CRU-25janv07.pdf]] Cela pourrait-être très intéressant pour connecter étudiants et professeurs de nos membres et imaginer des services... C'est pas les idées qui manquent !!! = Comparons-les ! = * [[http://identitymeme.org/doc/draft-hodges-saml-openid-compare-05.html|Comparaison technique OpenId - SAML]] * Un article intéressant : http://vsmith.info/OpenID