OpenID, le LDAP pour PME/TPE ?
Par Nicolas Steinmetz. vendredi 13 avril 2007, 14:52. Trucs de geek authentification ldap openid pme sso tpe | Lien permanent.
OpenID est un système d'authentification unique (SSO ou Single Sign On en anglais) et décentralisé. Le système permet donc à un utilisateur d'utiliser son compte OpenID dans différentes applications web (sous réserve qu'elles intègrent cette fonctionnalité d'authentification) en lieu et place d'avoir un compte par application. Génial, non ?
Dans de nombreuses entreprises, ce système de compte unique est généralement mis en oeuvre via un annuaire LDAP (que ce soit avec la solution Microsoft Active Directory, ou la solution libre OpenLDAP par ex). Même si les fonctionnalités d'un annuaire LDAP vont plus loin que le simple stockage de compte (on peut l'utiliser comme un annuaire "pages blanches", stocker des droits applicatifs, etc), force est de constater que beaucoup d'entreprises (et en particulier les TPE/PME) n'utilisent que cette fonctionnalité d'authentification unique.
Dès lors, plutôt que de se doter d'un serveur ActiveDirectory ou OpenLDAP requérant des compétences en la matière, il peut être plus économique pour une entreprise de déployer un serveur OpenID (il existe une implémentation dans tous les langages ou presque). Ainsi, l'entreprise peut implémenter cette solution d'authentification unique sans impacter sensiblement son parc informatique, ni se doter de compétences particulières.
C'est trop beau pour être vrai et vous n'avez pas tout à fait tort. Les réserves tiennent pour le moment aux éléments suivants :
- L'authentification via OpenID est encore faiblement implémentée, même si cela bouge très vite à ce sujet et des acteurs importants du web ont déjà implémenté ce système dans leur infrastructure (AOL, Microsoft, LiveJournal, Verisign, Zoomr, etc)
- Pour les applications non web, OpenID ne peut pas être utilisée à ma connaissance. Là encore, des solutions techniques doivent pouvoir être trouvées pour contourner ce problème (webservices, etc).
- Si vous voulez faire plus que de l'authentification, ce n'est pas prévu (à ce jour du moins).
Bref, tout ça pour dire qu'OpenID est à mon avis une alternative crédible face aux annuaires LDAP pour des besoins d'authentification simples et pour des applications web.Il serait bête de ne pas évaluer et prendre en compte dès maintenant, même si sa généralisation devra attendre un petit peu (sauf si vous avez la chance d'utiliser des outils disposant déjà de "connecteurs" OpenID...)
Quelques liens utiles (liste non exhaustive) :
- OpenID.net
- Définition de Wikipedia : OpenID
- Comment utiliser OpenId, la solution d'identification tant attendue (Biologeek)
- OpenID Enabled
- OpenID France
- Six cool things you can build with OpenID
- OpenID for non SuperUsers
Commentaires
Coucou !
Au risque de faire le rabat joie, selon moi, tu confond authentification unique et authentification centralisée.
authentification centralisée = un annuaire
authentification unique = un SSO
Sinon, je pense que dans openId saura authentifier des sessions windows ce sera compétitif avec LDAP (mais peut être est ce déjà le cas ?)
++
Pourtant les définitions anglaises et françaises de wikipedia mettent en avant ce SSO... et de mémoire, si tu as déjà une session OpenID ouverte, si une appli doit se connecter dessus alors si tu ne l'as pas encore autorisé il va te demander d'accorder les droits qui vont bien et sinon, ben tu serais authentifié direct...
Pour les connexions windows, je pense pas que ce soit encore le cas - mais bon tout le monde n'en a pas besoin et c'est rarement mis en oeuvre dans des TPE/PME. Ce qu'elles vont vouloir c'est un unique annuaire sur lequel tout le monde s'authentifie pour accéder à des applications web... regarde, Clever Age par exok - donc c'est presque plus intéressant qu'un couple LDAP + SSO car ça fait les deux (juste en web).
c'est vraiment sympa
Ouep, en plus dans la définition français de wikipedia, il est dit que l'on peut stocker des attributs. A voir donc jusqu'où ça peut aller et voilà tout l'intérêt d'openid sur le papier.
Va falloir maintenant regarder ça plus concrètement !
Cela donne envie de s'y mettre
C'est à mes yeux, une très bonne réaction au danger que représentait les @passport de Microsoft. N'oublions pas que pour eux, c'etait aussi une façon agressive de gagner des parts de marché sur les serveurs.
Le danger d'OpenId est de déléguer l'authentification à un service tiers (si le serveur n'est pas pris en charge), ce qui pour beaucoup d'entreprises frileuses peut se révéler problématique.
Un autre truc assez genant est que potentielement, les gros serveur d'OpenId disposeront de statistiques de fréquentations et de profiling sans pareil.
D'où l'intérêt pour une PME/TPE de monter le service en interne (tout comme elle aurait monter un annuaire LDAP en fait), si elle est frileuse / parano / souhaite être indépendante de tiers / ...
Je me vois plus utiliser cette solution qui est ouverte et qui plus est permet d'utiliser soit les services d'un tiers, soit de monter son propre serveur...