OpenID

De EduTech Wiki
Aller à la navigation Aller à la recherche

Introduction

OpenID est un standard d'Authentification unique pour les applications Web.

Voir aussi: identité digitale

Description et intérêt

«OpenID est un système d'authentification décentralisé qui permet l'authentification unique, ainsi que le partage d'attributs. Il permet à un utilisateur de s'authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d'eux mais en utilisant à chaque fois un unique identifiant OpenID. Le modèle OpenID se base sur des liens de confiance préalablement établis entre les fournisseurs de services (sites Web utilisant OpenID par exemple) et les fournisseurs d'identité (OpenID providers). Il permet aussi d'éviter de renseigner à chaque fois un nouveau formulaire en réutilisant les informations déjà disponibles.» (Wikipedia/fr, May 2009).

Architecture et fonctions

En tant que simple utilisateur vous devez d'abord savoir qu'il vous faut 2 choses:

  • Une identité sous forme d'URL
  • Un mot de passe.

Lorsque vous utilisez votre identité, l'URL est ensuite contacté pour vérifier si votre mot de passe correspond à cet URL.

Eléments du modèle OpenID

Dans le modèle OpenID on peut, selon Wikipedia, distinguer plusieurs rôles:

  • utilisateur, qui désire se connecter et doit prouver son identité
  • identificateur (identifier): L'URL choisi par l'utilisateur comme identificateur OpenID. Par exemple:
  • le site fiant ou "consommateur"; Angl.: Relying Party (RP): le site web (fournisseur de services) qui désire vérifier l'identité de l'utilisateur.
  • le fournisseur d'identité (OpenID Provider, ou OP, ou IdP, ou IP ou juste Provider) : c'est un serveur d'authentification OpenID qui est contacté par le site fiant pour obtenir une preuve de l'identité de l'utilisateur.
  • Le serveur ou server-agent qui vérifie l'identité de l'utilisateur. Il peut s'agir d'un serveur sous contrôle de l'utilisateur (par exemple un blog) ou encore un serveur d'un fournisseur d'identité.
  • le programme client ou agent utilisateur (Angl. User-agent), par exemple le navigateur internet de l'utilisateur.

Services supplémentaires

OpenID ajouter à l'identification et l'authentification les deux services suivants:

"Simple registration"
Permet de remplir plus rapidement un formulaire d'inscription d'un site.
Attribute exchange
Une version plus souple et puissante de "simple registration"
Personas
On définir plusieurs personas (donc des profils différents) par rapport données simple registration et attribute exchange.

Les risques

Le problème global des système d'authentification unique est que vous compromettez tous les sites une fois votre mot de passe est volé. Ensuite, vous pouvez vous exposer à plus de traçage de vos activités.

Note: Si par malheur vous utilisez encore le même mot de passe que celui de PayPal, Amazon ou votre institution, cela peut devenir catastrophique. Donc changez de mot de passe pour chaque différent login...

En ce qui concerne OpenID, il y a des risques spécifiques selon la solution adopté:

  • Si vous utilisé un compte compatible OpenID comme chez Yahoo, vous les laissez savoir ce que vous faites et ils peuvent ensuite vous cibler avec des la publicité. Leur sécurité est probablement assez bonne.
  • Si vous utilisez votre propre script pour authentifier un URL, la sécurité sera peut-être moins assurée (elle dépend de vos compétence et du niveau de protection de votre site)

La meilleure solution pour un utilisateur typique est probablement l'utilisation d'un service à qui on peut faire confiance, comme MyOpenID.com.

Les mots de passe OpenID sont cryptés, soit au niveau des messages envoyé (donc le login et le mot de passe), soit au niveau de la couche de transport.

Exemples d'applications et d'utilisation

Obtenir une identité OpenID

Il existe trois façons d'obtenir une identité OpenID.

(1) OpenID fourni par un service web

Se prendre un compte chez un service qui a opté pour adopter OpenID. Exemples: AOL, Blogger, Flicker, Technorati, Yahoo, WordPress, zoho, Twitter.

Dans ce cas, il faut juste savoir comment "traduire" votre login sous forme OpenID. Par exemple,

  • pour Yahoo, il existe 2 façons de faire.
    • Certains sites acceptent que vous tapez juste yahoo.com, d'autres ont un bouton "Yahoo"). Ensuite utiliser votre login et mot de passe Yahoo.
    • https://me.yahoo.com/login (vous pouvez configurer un URL OpenID chez Yahoo en se connectant sur http://openid.yahoo.com.
  • Pour Blogger: blogname.blogspot.com

Voir aussi: How do I get an OpenID?

(2) OpenID fourni par un service OpenID

Ces services ne fournissent que l'identité (c.a.d un URL qui vous identifie) et son authentification, plus (à option) un petit profil. L'enregistrement est assez facile à faire.

Le plus connu est probablement myOpenID. Vous pouvez créer des OpenID comme:

http://Votre_nom_ici.myopenid.com/

Exemple d'un URL myOpenID

http://DanielKSchneider.myopenid.com/

Ensuite

(3) Votre propre site

Vous pouvez utiliser un URL sous votre contrôle comme OpenID, par exemple votre home page ou votre blog. Ensuite, pour assurer l'authentification, vous utilisez soit:

  • un fournisseur OpenID (cf. ci-dessus)
  • un script sur votre propre site web (il existe des scripts PHP comme phpMyID)

Se créer un identificateur chez MyOpenID

  1. Connectez-vous sur myOpenID
  2. Indiquez le nom que vous souhaitez adopter dans un URL de type http://Votre_nom_ici.myopenid.com/
  3. Donnez un mot de passe
  4. Indiquer votre E-mail (à option)

Vous pouvez configurer un URL complet de votre choix (par exemple: http://muller.mon-ecole.ch/ ou encore http://id.mon-ecode.ch/muller pour 10 utilisateurs max. Sinon il faut payer.

Finalement, il est possible de définir plusieurs persona. Par exemple, vous pouvez créer des profils différents pour différents types d'activitiés. Les applications que vous accédez via OpenID peuvent demander des informations supplémentaires sur vous (par exemple un texte qui vous décrit). Dans ce cas vous pouvez leur indiquer - au moment de l'authentification - parmi quelle personalité l'application doit choisir.

Utilisation

Si vous utilisez beaucoup de services en ligne avec vos apprenants, il est est utile de les faire créer un ID chez un fournisseur neutre et fiable.

Enfin, les élèves doivent posséder une adresse email. Sinon, il faut songer à créer votre propre service d'authentification avec l'aide d'un bon bricoleur ou d'un informaticien. Certains sites permettent aussi des gérer des groupes d'utilisateurs.

Liens et bibliographie

Introductions

Site officiels et standards

OpenID Attribute Exchange 1.0

Pour informaticiens

Listes de sites compatibles OpenID