OpenID est un un système d’authentification qui permet l’authentification unique (single sign one, SSO). Il est de plus en plus utilisé, de plus en plus [http://www.google.fr/trends?q=openid&ctab=0&geo=all&date=all à la mode].

• La bonne explication sur wikipedia : http://en.wikipedia.org/wiki/OpenID (version [http://fr.wikipedia.org/wiki/OpenID française] périmée)

• Le site de marketing : http://openid.net/

• Les codes sources, bibliothèques de fonctions : http://www.openidenabled.com/

• Veille automatique : http://del.icio.us/tag/openid et http://digg.com/search?section=all&s=openid

• [http://2007.jres.org/planning/paperaeda.html?pid=13 Présentation vidéo] de Stéphane Bortzmeyer (AFNIC) lors des [http://2007.jres.org/planning/ JRES 20007].

Utilisations :

• SPIP : http://www.spip-contrib.net/Plugin-d-authentification-OpenID

• moinmoin : http://moinmo.in/FeatureRequests/OpenIDSupport

• y'a d'autres softs web utilisés à l'AUF ?

  • Horde/IMP, PMB, Trac, GLPI/OCS-NG, dotproject, ... doit-on se limiter à l'authentification web ? si oui alors je préfère continuer mes recherches sur Kerberos (que le couple Firefox + Apache supporte parfaitement, déjà testé avec succès)... -- ProgFou

  • Fais-nous une petite page sur le wiki, ça m'intéresse aussi... OpenID pour l'instant c'est que web, mais ça évoluera peut-être, si la sauce "prend". Ce que j'aime bien avec openid c'est que c'est utilisable sous toutes les applications qui le supportent, y compris des applications "non AUF". C'est "mon système d'authentification pour tout l'Internet", pratique pour les gens (et pour les pandores). C'est pas le même but que Kerberos, c'est complémentaire peut-être (ton serveur openid peut valider que tu es loggué parce que tu as déjà un ticket kerberos, bonjour le moulinage mais c'est rigolo). Ceci dit, OpenID a des petites vapeurs de LDAP : un beau protocole, de belles specs... mais qui évoluent sans arrêt, avec du code assez imbittable par derrière et pas de serveur "tout terrain". -- ThomasNoël

Idée : mettre en place un serveur OpenID du genre http://id.auf.org/prenom.nom

• Comment : en Python de préférence, à partir de http://www.openidenabled.com/python-openid/ (base de la programmation des systèmes OpenID actuels). Voire en Django, carrément, pour se simplifier la tâche ?

• Dans un premier temps au moins pour l'authentification (et pas pour les associations & co)

• Le soucis : faut programmer, y'a pas vraiment de solution "clé en main" (pas encore ?). Ou plutôt : les seules solutions clé en main permettent d'ouvrir soit un openid pour une personne unique, soit pour "qui veut s'inscrire" (il faut d'abord s'enregistrer). Nous avons à l'AUF besoin d'un système qui se base sur des utilisateurs déjà existants... Rien trouvé là dessus (à part gracie, cf ci-dessous).

Sources d'inspiration :

• http://trac.whitetree.org/gracie/ : authentification PAM, très simple à modifier pour passer en MySQL ou autre truc. Mais :

  • est-ce que c'est stable ? en tout cas le code est propre. Trop propre, à la limite du pénible...

  • est-ce que ça gère les associations & co ? Hé ben non, ça gère que dalle sauf l'auth, et c'est apparement de l'openid 1.1, pas 2.0.

  • est-ce que ça évolue encore ? pas vraiment l'impression, le codeur a l'air du genre pénible (voir doc/HACKING.txt)

• http://trac.nicolast.be/djangoid : sans doute un peu plus sain, mais apparement vieux ?... j'ai (Thomas) pas encore regardé le code.

• un serveur à faire à la main, en partant de [http://openidenabled.com/files/python-openid/docs/2.1.0/openid.server.server.Server-class.html ce modèle pour Python] ou [http://openidenabled.com/files/php-openid/docs/2.0.0/OpenID/Auth_OpenID_Server.html celui-ci pour PHP]. Au choix...

et regardons aussi shibboleth

Shibboleth est peut être moins [http://www.google.fr/trends?q=shibboleth&ctab=0&geo=all&date=all&sort=0 à la mode] , mais il intéresse surtout le monde universitaire. Shibboleth est un mécanisme de propagation d'identités développé par le consortium [http://fr.wikipedia.org/wiki/Internet2 Internet2], qui regroupe 207 universités et centres de recherches. Il est basé sur la norme [http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security OASIS SAML v1.1].

• Le site officiel : http://shibboleth.internet2.edu/

• [http://fr.wikipedia.org/wiki/Shibboleth_(f%C3%A9d%C3%A9ration_d'identit%C3%A9) L'ébauche] sur wikipédia

• [http://www.switch.ch/aai/docs/shibboleth/SWITCH/1.3/sp/install-sp-1.3-debian-etch.html L'installation sur Etch]

Les exemples de mise en place :

• La fédération d'identité du Comité Réseau des Universités en France : http://federation.cru.fr/

• En Suisse : http://www.switch.ch/fr/aai/

• Au Royaume-Uni : http://www.ukfederation.org.uk/

Cela pourrait-être très intéressant pour connecter étudiants et professeurs de nos membres et imaginer des services... C'est pas les idées qui manquent !!!

Comparons-les !

• [http://identitymeme.org/doc/draft-hodges-saml-openid-compare-05.html Comparaison technique OpenId - SAML]

• Un article intéressant : http://vsmith.info/OpenID