[Sequanux-ml] Retour sur projet de site web

[Grégory Oestreicher]

Salut,

>> (Attention, le vrai SSO c'est pas forcément faisable sur le web, ou alors on
>> va avoir vraiment du mal, à cause de plein de raisons techniques très hors
>> sujet.)
>
> Si c'est faisable, que se soit du SSO ou de la fédération d'identités.
> Ça peut être plus ou moins compliqué et long selon le protocole et la
> méthode choisis, mais c'est faisable.

Je pensais à un "vrai" SSO comme ce que peut proposer Kerberos : je me loggue une fois
sur ma machine et je suis authentifié sur tous les services kerberisés.

> OpenID dans le contexte Sequanux n'apporte aucune valeur ajoutée, c'est
> la fourniture d'un identifiant et mot de passe unique. En ce sens un
> LDAP, dont dispose déja Sequanux, correspond au besoin.
> Si on veut faire du SSO avec OpenID, il faut ajoute une surcouche.

Mmmm, il me semblait qu'il était possible d'avoir un web-SSO avec OpenID. Je vais
chercher ça.

> La philosophie première d'OpenID c'est d'accepter des identifiants
> provenant d'un peu n'importe où pour authentifier un utilisateur dans la
> blogosphère.

Les identifiants ne viennent pas d'un peu n'importe où : chaque utilisateur a un
compte chez un provider OpenID et c'est cet identifiant unique qui sera utilisé. Si
par "provenant d'un peu n'importe où" tu parles des consumers OpenID on est d'accord.
Sinon réduire le champ d'application à la blogosphère est un peu réducteur :) On va
dire que le champ d'application c'est n'importe quelle appli web, mais que les
plateformes de blogs sont des pionniers.

> Sauf à tordre le protocole et la philosophie, ce n'est pas
> adapté pour une authentification unique permettant à accéder de manière
> homogène au bouquet de services d'une organisation.

Pas besoin de torsion si OpenID fonctionne bien comme je le pense, mais je vais
confirmer. De plus je préfère rester dans l'optique de ne pas réinventer la roue et
bénéficier au maximum de services externes, principalement car je doute de notre
capacité à maintenir ce genre de solutions en interne de manière pérenne.

Maintenant cela pose aussi la question de l'ouverture que nous souhaitons. Avoir
OpenID permet d'accueillir de nouveaux contributeurs plus aisément, sans avoir à aller
créer un compte dans le LDAP et donc favoriser les contributions de personnes qui ne
souhaitent pas s'engager officiellement et rechignent à lancer la procédure de demande
de compte.

> Sur les possibilités offertes, le protocole de SSO le plus léger à
> mettre en place est probablement CAS

Merci de m'avoir remis ceci en mémoire, je l'avais oublié :) Du coup j'ai également
Shibboleth qui m'est revenu. Le seul point qui me bloque c'est le Tomcat, ayant un
passé douloureux avec lui et des applis maison un peu sales. Mais si CAS est propre et
ne nécessite pas un redémarrage hebdomadaire de l'instance alors pourquoi pas.

> Quant aux implémentations logicielles, j'ai une vague idée sur la question.

Tu nous fais partager ?

A+,
Greg