J’ai parlé, dans de précédents billets (ici et là), de la nécessaire montée en puissance de la fédération d’identité pour permettre la collaboration de services en ligne.
Je rappelle le principe en 2 mots : il s’agit pour des applications de déléguer leur authentification à un serveur d’identité tiers qui bénéficie de la confiance de l’utilisateur.
J’ai déjà évoqué les normes issues des grands acteurs de l’informatique : Liberty et WS-Federation. Je n’ai pas encore évoqué une norme plus simple, issue du monde du Web 2.0 : OpenID.
L’avantage d’OpenID réside dans son caractère opérationnel et pragmatique, qualité qu’on retrouve souvent dans les applications Web 2.0.
De fait, il existe d’ors et déjà des implémentations opérationnelles d’OpenID sur le Web qui permettent aux utilisateurs de se familiariser avec les concepts de fédération d’identité :
- Quelques serveurs d’identité compatibles : Verisign Personal Identity Provider, iwantmyopenid.org, getopenid.com
- Quelques services en ligne compatibles : zooomr.com, openidenabled.com
- Quelques logiciels compatibles : Plone, Apache, MediaWiki
J’ai, pour ma part, adopté le service de Verisign, car j’ai suffisamment confiance en cette société pour lui confier mon identité. J’ai stocké dans le serveur d’identité (cf. photo d’écran) :
- mes patronymes, date de naissance
- mes emails, numéros de téléphone personnels et professionnels
- mes adresses personnelles et professionnelles
Cette identité OpenID est en ligne à l’URL : gplouin.pip.verisignlabs.com
J’ai alors la possibilité de créer des profils de confiance (cf. photo d’écran) :
- « profil anonyme » : les applications qui utiliseront ce profil ne connaîtront pas mon identité
- « profil blog » : les applications qui utiliseront ce profil connaîtront uniquement mon patronyme et l’adresse de mon blog
- « profil e-commerce» : les applications qui utiliseront ce profil connaîtront mon patronyme et mon adresse
J’ai pu ensuite m’inscrire sur zooomr.com en lui passant l’URL de mon identité. Zoomr m’a redirigé vers Verisign pour :
- M’authentifier
- Choisir le profil à présenter à Zoomr
- Choisir si je souhaite pérenniser le lien entre Zoomr et mon identité Verisign
A partir de là, Zoomr et d’autres services délégueront mon authentification au service de Verisign et y puiseront les données accessibles dans mon profil (cf. photo d’écran).
La norme OpenID est extrêmement prometteuse pour assurer plus de sécurité aux services en ligne et ainsi renforcer la confiance des utilisateurs.
Toute la problématique réside maintenant dans la compréhension de ces principes non triviaux par les utilisateurs. Microsoft CardSpace aidera probablement à faciliter cette compréhension (voir ce billet).
Pour conclure, je tiens à souligner qu’OpenID ne remplacera pas les normes Liberty et WS-Federation au sein les entreprises. En effet, ces normes sont plus complètes, et déjà implémentées par les grands acteurs de l’informatique (IBM, Sun, Novell, Oracle, Microsoft, etc.). Par contre, la norme OpenID est très intéressante pour fournir des services hébergés.
J’espère que cette petite présentation vous poussera à tester les services OpenID.