[Sequanux-ml] Retour sur projet de site web

Christophe Boutet christophe at boutet.eu.org
Sam 5 Fév 02:32:23 CET 2011 

Le 04/02/2011 20:20, Grégory Oestreicher a écrit :
> Le vendredi 04 février 2011 10:55:31, Christophe Boutet a écrit :
>>>
>>> Mmmm, il me semblait qu'il était possible d'avoir un web-SSO avec OpenID.
>>> Je vais chercher ça.
>>
>> C'est possible, c'est OpenId plus "quelque chose", mais de base OpenID
>> ne fait pas de SSO, c'est juste un identifiant unique qui circule.
>> Dans le style OpenID plus "quelque chose", ça peut être OAuth, si tu
>> veux rester sur un protocole standard, mais du coup, tu allourdis
>> sérieusement la mise en place.
> Et tu rajoutes un sacré trou de sécurité, donc on va oublier hein.
Pas nécessairement, si en terme d'infra tu rajoutes les éléments 
nécessaires à ta protection,  mais c'est aussi lourd et cher.
Y a 2 autres méthodes pour faire du SSO avec OpenID, c'est :
- trouver un moyen de partager un cookie d'authentification, mais pour 
le coup, c'est pas du tout standard, avec une possibilité s'inspirer de 
la notion de common domain cookie de Liberty Alliance 
(http://www.google.com/search?q=common+domain+cookie)
- sinon forcer l'authentification sur un seul fournisseur d'identité 
OpenID, mais pour le coup, on perd tous les bénéfices du protocole.
> OK, donc ça suxe un peu pour faire une vraie authentification unifiée… Du coup
> on bazarde OpenID et hop.
Pour les membres oui, mais pour les contributeurs externes ça peut être 
valable.
> Je n'ai pas remis ça en cause, je me renseigne. J'ai bien l'impression que tu
> connais ce domaine, et je compte bien en profiter (ah ah ah, tu ne sais pas
> dans quoi tu as mis le doigt).
J'ai juste une connaissance fonctionnelle et en terme de direction de 
projet de ça. Mais, je suis dispo pour aider sans pb. Dès lors qu'on ne 
me demande pas de décrire des assertions SAML en détail.
> Vu les solutions que tu proposes plus bas on pourrait a priori utiliser OpenID
> pour les contributeurs occasionnels tout en se basant sur CAS pour les
> membres.
C'est une idée, mais il faut qu'on tienne compte de la volumétrie, le 
SSO, c'est une cerise sur le gateau.
En gros, il y a 4 services (à ma connaissance) nécessitant une 
authentification aujourd'hui.
Sur le nombre d'adhérents, combien utilisent les 4 simultanément ? Moins 
de 10 sans doute...
Donc, c'est pas certain qu'il y ait besoin d'un SSO chez Sequanux, si ce 
n'est pour l'élégance du truc...
> Merci pour ces liens, et pour ta participation. Vu que tu sembles connaître
> ces solutions on va certainement s'orienter vers elles. Hop, tu es promu
> support niveau 3 dessus /o\
Ça fait 8 ans que je pratique, dons je ne suis pas trop largué.
Niveau 3, je ne suis pas capable. Mais du fonctionnel, décrire les 
forces et faiblesses, faire éventuellement du niveau 1, je peux.
Si tu veux du niveau 3, faut utiliser les mailing lists des sites que 
j'ai envoyé, mes ex-collègues et les contributeurs extérieurs répondent 
vite et bien.

Bonne  nuit.

Christophe

Plus d'informations sur la liste de diffusion Sequanux-ml