« OpenID » : différence entre les versions
m (using an external editor) |
m (using an external editor) |
||
(4 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
== Introduction == | == Introduction == | ||
'''OpenID''' est un standard d'[[Authentification unique]] pour les applications | '''OpenID''' est un standard d'[[Authentification unique]] pour les applications Web. | ||
Voir aussi: [[identité digitale]] | Voir aussi: [[identité digitale]] | ||
Ligne 7 : | Ligne 7 : | ||
== Description et intérêt == | == Description et intérêt == | ||
{{citation|OpenID est un système d'authentification décentralisé qui permet l'authentification unique, ainsi que le partage d'attributs. Il permet à un utilisateur de s'authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d'eux mais en utilisant à chaque fois un unique identifiant OpenID. Le modèle OpenID se base sur des liens de confiance préalablement établis entre les fournisseurs de services (sites | {{citation|OpenID est un système d'authentification décentralisé qui permet l'authentification unique, ainsi que le partage d'attributs. Il permet à un utilisateur de s'authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d'eux mais en utilisant à chaque fois un unique identifiant OpenID. Le modèle OpenID se base sur des liens de confiance préalablement établis entre les fournisseurs de services (sites Web utilisant OpenID par exemple) et les fournisseurs d'identité (OpenID providers). Il permet aussi d'éviter de renseigner à chaque fois un nouveau formulaire en réutilisant les informations déjà disponibles.}} ([http://fr.wikipedia.org/wiki/OpenID Wikipedia/fr], May 2009). | ||
== Architecture et fonctions == | == Architecture et fonctions == | ||
En tant que simple utilisateur vous devez d'abord savoir qu'il vous faut 2 choses: | |||
* Une identité sous forme d'URL | |||
* Un mot de passe. | |||
Lorsque vous utilisez votre identité, l'URL est ensuite contacté pour vérifier si votre mot de passe correspond à cet URL. | |||
=== Eléments du modèle OpenID === | === Eléments du modèle OpenID === | ||
Ligne 15 : | Ligne 21 : | ||
Dans le modèle OpenID on peut, selon Wikipedia, distinguer plusieurs rôles: | Dans le modèle OpenID on peut, selon Wikipedia, distinguer plusieurs rôles: | ||
* l´'''utilisateur''', qui désire se connecter et doit prouver son identité | * l´'''utilisateur''', qui désire se connecter et doit prouver son identité | ||
* L´'''identificateur''' ( | * L´'''identificateur''' (identifier): L'URL choisi par l'utilisateur comme identificateur OpenID. Par exemple: | ||
* le '''site fiant''' ou "consommateur"; Angl.: Relying Party (RP): le site web (fournisseur de services) qui désire vérifier l'identité de l'utilisateur. | * le '''site fiant''' ou "consommateur"; Angl.: Relying Party (RP): le site web (fournisseur de services) qui désire vérifier l'identité de l'utilisateur. | ||
* le '''fournisseur d'identité''' (OpenID Provider, ou OP, ou IdP, ou IP ou juste Provider) : c'est un serveur d'authentification OpenID qui est contacté par le site fiant pour obtenir une preuve de l'identité de l'utilisateur. | * le '''fournisseur d'identité''' (OpenID Provider, ou OP, ou IdP, ou IP ou juste Provider) : c'est un serveur d'authentification OpenID qui est contacté par le site fiant pour obtenir une preuve de l'identité de l'utilisateur. | ||
* Le serveur ou server-agent qui vérifie l' | * Le serveur ou server-agent qui vérifie l'identité de l'utilisateur. Il peut s'agir d'un serveur sous contrôle de l'utilisateur (par exemple un blog) ou encore un serveur d'un fournisseur d'identité. | ||
* le '''programme client''' ou agent utilisateur (Angl. User-agent), par exemple le navigateur internet de l'utilisateur. | * le '''programme client''' ou agent utilisateur (Angl. User-agent), par exemple le navigateur internet de l'utilisateur. | ||
=== Services supplémentaires === | |||
OpenID ajouter à l'identification et l'authentification les deux services suivants: | |||
; "Simple registration" | |||
: Permet de remplir plus rapidement un formulaire d'inscription d'un site. | |||
; Attribute exchange | |||
: Une version plus souple et puissante de "simple registration" | |||
; Personas | |||
: On définir plusieurs personas (donc des profils différents) par rapport données simple registration et attribute exchange. | |||
=== Les risques === | === Les risques === | ||
Le problème global des système d' | Le problème global des système d'authentification unique est que vous compromettez tous les sites une fois votre mot de passe est volé. Ensuite, vous pouvez vous exposer à plus de traçage de vos activités. | ||
Note: Si par malheur vous utilisez encore le même mot de passe que celui de PayPal, Amazon ou votre institution, cela peut devenir catastrophique. Donc changez de mot de passe pour chaque différent login... | |||
En ce qui concerne OpenID, il y a des risques spécifiques selon la solution adopté: | En ce qui concerne OpenID, il y a des risques spécifiques selon la solution adopté: | ||
* Si vous utilisé un compte | * Si vous utilisé un compte compatible OpenID comme chez Yahoo, vous les laissez savoir ce que vous faites et ils peuvent ensuite vous cibler avec des la publicité. Leur sécurité est probablement assez bonne. | ||
* Si vous utilisez votre propre script pour authentifier un URL, la sécurité sera peut-être moins assurée (dépend de vos compétence et de | * Si vous utilisez votre propre script pour authentifier un URL, la sécurité sera peut-être moins assurée (elle dépend de vos compétence et du niveau de protection de votre site) | ||
La meilleure solution pour un utilisateur typique est probablement l'utilisation d'un service à qui on peut faire confiance, comme MyOpenID.com. | La meilleure solution pour un utilisateur typique est probablement l'utilisation d'un service à qui on peut faire confiance, comme MyOpenID.com. | ||
Les mots de passe OpenID sont cryptés, soit au niveau des messages envoyé (donc le login et le mot de passe), soit au niveau de la couche de transport. | |||
== Exemples d'applications et d'utilisation == | == Exemples d'applications et d'utilisation == | ||
Ligne 37 : | Ligne 60 : | ||
; (1) OpenID fourni par un service web | ; (1) OpenID fourni par un service web | ||
Se prendre un compte chez un service qui a opté pour adopter OpenID. Exemples: AOL, Blogger, Flicker, Technorati, Yahoo, WordPress, zoho, | Se prendre un compte chez un service qui a opté pour adopter OpenID. Exemples: AOL, Blogger, Flicker, Technorati, Yahoo, WordPress, zoho, Twitter. | ||
Dans ce cas, il faut juste savoir comment "traduire" votre login sous forme OpenID. Par exemple, | Dans ce cas, il faut juste savoir comment "traduire" votre login sous forme OpenID. Par exemple, | ||
* pour Yahoo, il existe 2 | * pour Yahoo, il existe 2 façons de faire. | ||
** Certains sites acceptent que vous tapez juste yahoo.com, d'autres ont un bouton "Yahoo"). Ensuite utiliser votre login et mot de passe Yahoo. | ** Certains sites acceptent que vous tapez juste yahoo.com, d'autres ont un bouton "Yahoo"). Ensuite utiliser votre login et mot de passe Yahoo. | ||
** https://me.yahoo.com/login (vous pouvez configurer un URL OpenID chez Yahoo en se connectant sur [http://openid.yahoo.com/ http://openid.yahoo.com]. | ** https://me.yahoo.com/login (vous pouvez configurer un URL OpenID chez Yahoo en se connectant sur [http://openid.yahoo.com/ http://openid.yahoo.com]. | ||
Ligne 60 : | Ligne 83 : | ||
; (3) Votre propre site | ; (3) Votre propre site | ||
Vous pouvez utiliser un URL sous votre contrôle comme OpenID, par exemple votre home page ou votre blog. Ensuite, pour assurer l'authentification, vous utilisez soit: | |||
* un | * un fournisseur OpenID (cf. ci-dessus) | ||
* un script sur votre propre site web (il existe des scripts PHP comme [http://siege.org/projects/phpMyID/ phpMyID]) | * un script sur votre propre site web (il existe des scripts PHP comme [http://siege.org/projects/phpMyID/ phpMyID]) | ||
Ligne 72 : | Ligne 95 : | ||
Vous pouvez configurer un URL complet de votre choix (par exemple: http://muller.mon-ecole.ch/ ou encore http://id.mon-ecode.ch/muller pour 10 utilisateurs max. Sinon il faut payer. | Vous pouvez configurer un URL complet de votre choix (par exemple: http://muller.mon-ecole.ch/ ou encore http://id.mon-ecode.ch/muller pour 10 utilisateurs max. Sinon il faut payer. | ||
Finalement, il est possible de définir plusieurs persona. Par exemple, vous pouvez créer des profils différents pour différents types d'activitiés. Les applications que vous accédez via OpenID peuvent demander des informations supplémentaires sur vous (par exemple un texte qui vous décrit). Dans ce cas vous pouvez leur indiquer - au moment de l'authentification - parmi quelle personalité l'application doit choisir. | |||
=== Utilisation === | === Utilisation === | ||
Ligne 77 : | Ligne 102 : | ||
Si vous utilisez beaucoup de services en ligne avec vos apprenants, il est est utile de les faire créer un ID chez un fournisseur neutre et fiable. | Si vous utilisez beaucoup de services en ligne avec vos apprenants, il est est utile de les faire créer un ID chez un fournisseur neutre et fiable. | ||
Enfin, | Enfin, les élèves doivent posséder une adresse email. Sinon, il faut songer à créer votre propre service d'authentification avec l'aide d'un bon bricoleur ou d'un informaticien. Certains sites permettent aussi des gérer des groupes d'utilisateurs. | ||
== Liens et bibliographie == | == Liens et bibliographie == | ||
Ligne 84 : | Ligne 109 : | ||
* [http://fr.wikipedia.org/wiki/OpenID OpenID] (Wikipedia/fr) | * [http://fr.wikipedia.org/wiki/OpenID OpenID] (Wikipedia/fr) | ||
* [http://www.plaxo.com/api/openid_recipe http://www.plaxo.com/api/openid_recipe] | |||
=== Site officiels === | === Site officiels et standards === | ||
* [http://openid.net/ OpenID.net]. Site officiel de la communauté OpenID. | * [http://openid.net/ OpenID.net]. Site officiel de la communauté OpenID. Il contient les spécifications, quelques explications, des sites fournisseurs etc. Par exemple: | ||
** [http://openid.net/get/ Liste de fournisseurs d'identité] | ** [http://openid.net/get/ Liste de fournisseurs d'identité] | ||
** [http://openid.net/specs/openid-authentication-2_0.html OpenID Authentication 2.0] | |||
** [http://openid.net/specs/openid-simple-registration-extension-1_0.html OpenID Simple Registration Extension 1.0] | |||
[http://openid.net/specs/openid-attribute-exchange-1_0.html OpenID Attribute Exchange 1.0] | |||
* [http://wiki.openid.net/ wiki.openid.net/] Documentation variée. | |||
=== Pour informaticiens === | === Pour informaticiens === |
Dernière version du 15 mai 2009 à 12:12
Introduction
OpenID est un standard d'Authentification unique pour les applications Web.
Voir aussi: identité digitale
Description et intérêt
«OpenID est un système d'authentification décentralisé qui permet l'authentification unique, ainsi que le partage d'attributs. Il permet à un utilisateur de s'authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d'eux mais en utilisant à chaque fois un unique identifiant OpenID. Le modèle OpenID se base sur des liens de confiance préalablement établis entre les fournisseurs de services (sites Web utilisant OpenID par exemple) et les fournisseurs d'identité (OpenID providers). Il permet aussi d'éviter de renseigner à chaque fois un nouveau formulaire en réutilisant les informations déjà disponibles.» (Wikipedia/fr, May 2009).
Architecture et fonctions
En tant que simple utilisateur vous devez d'abord savoir qu'il vous faut 2 choses:
- Une identité sous forme d'URL
- Un mot de passe.
Lorsque vous utilisez votre identité, l'URL est ensuite contacté pour vérifier si votre mot de passe correspond à cet URL.
Eléments du modèle OpenID
Dans le modèle OpenID on peut, selon Wikipedia, distinguer plusieurs rôles:
- l´utilisateur, qui désire se connecter et doit prouver son identité
- L´identificateur (identifier): L'URL choisi par l'utilisateur comme identificateur OpenID. Par exemple:
- le site fiant ou "consommateur"; Angl.: Relying Party (RP): le site web (fournisseur de services) qui désire vérifier l'identité de l'utilisateur.
- le fournisseur d'identité (OpenID Provider, ou OP, ou IdP, ou IP ou juste Provider) : c'est un serveur d'authentification OpenID qui est contacté par le site fiant pour obtenir une preuve de l'identité de l'utilisateur.
- Le serveur ou server-agent qui vérifie l'identité de l'utilisateur. Il peut s'agir d'un serveur sous contrôle de l'utilisateur (par exemple un blog) ou encore un serveur d'un fournisseur d'identité.
- le programme client ou agent utilisateur (Angl. User-agent), par exemple le navigateur internet de l'utilisateur.
Services supplémentaires
OpenID ajouter à l'identification et l'authentification les deux services suivants:
- "Simple registration"
- Permet de remplir plus rapidement un formulaire d'inscription d'un site.
- Attribute exchange
- Une version plus souple et puissante de "simple registration"
- Personas
- On définir plusieurs personas (donc des profils différents) par rapport données simple registration et attribute exchange.
Les risques
Le problème global des système d'authentification unique est que vous compromettez tous les sites une fois votre mot de passe est volé. Ensuite, vous pouvez vous exposer à plus de traçage de vos activités.
Note: Si par malheur vous utilisez encore le même mot de passe que celui de PayPal, Amazon ou votre institution, cela peut devenir catastrophique. Donc changez de mot de passe pour chaque différent login...
En ce qui concerne OpenID, il y a des risques spécifiques selon la solution adopté:
- Si vous utilisé un compte compatible OpenID comme chez Yahoo, vous les laissez savoir ce que vous faites et ils peuvent ensuite vous cibler avec des la publicité. Leur sécurité est probablement assez bonne.
- Si vous utilisez votre propre script pour authentifier un URL, la sécurité sera peut-être moins assurée (elle dépend de vos compétence et du niveau de protection de votre site)
La meilleure solution pour un utilisateur typique est probablement l'utilisation d'un service à qui on peut faire confiance, comme MyOpenID.com.
Les mots de passe OpenID sont cryptés, soit au niveau des messages envoyé (donc le login et le mot de passe), soit au niveau de la couche de transport.
Exemples d'applications et d'utilisation
Obtenir une identité OpenID
Il existe trois façons d'obtenir une identité OpenID.
- (1) OpenID fourni par un service web
Se prendre un compte chez un service qui a opté pour adopter OpenID. Exemples: AOL, Blogger, Flicker, Technorati, Yahoo, WordPress, zoho, Twitter.
Dans ce cas, il faut juste savoir comment "traduire" votre login sous forme OpenID. Par exemple,
- pour Yahoo, il existe 2 façons de faire.
- Certains sites acceptent que vous tapez juste yahoo.com, d'autres ont un bouton "Yahoo"). Ensuite utiliser votre login et mot de passe Yahoo.
- https://me.yahoo.com/login (vous pouvez configurer un URL OpenID chez Yahoo en se connectant sur http://openid.yahoo.com.
- Pour Blogger: blogname.blogspot.com
Voir aussi: How do I get an OpenID?
- (2) OpenID fourni par un service OpenID
Ces services ne fournissent que l'identité (c.a.d un URL qui vous identifie) et son authentification, plus (à option) un petit profil. L'enregistrement est assez facile à faire.
Le plus connu est probablement myOpenID. Vous pouvez créer des OpenID comme:
http://Votre_nom_ici.myopenid.com/
Exemple d'un URL myOpenID
http://DanielKSchneider.myopenid.com/
Ensuite
- (3) Votre propre site
Vous pouvez utiliser un URL sous votre contrôle comme OpenID, par exemple votre home page ou votre blog. Ensuite, pour assurer l'authentification, vous utilisez soit:
- un fournisseur OpenID (cf. ci-dessus)
- un script sur votre propre site web (il existe des scripts PHP comme phpMyID)
Se créer un identificateur chez MyOpenID
- Connectez-vous sur myOpenID
- Indiquez le nom que vous souhaitez adopter dans un URL de type http://Votre_nom_ici.myopenid.com/
- Donnez un mot de passe
- Indiquer votre E-mail (à option)
Vous pouvez configurer un URL complet de votre choix (par exemple: http://muller.mon-ecole.ch/ ou encore http://id.mon-ecode.ch/muller pour 10 utilisateurs max. Sinon il faut payer.
Finalement, il est possible de définir plusieurs persona. Par exemple, vous pouvez créer des profils différents pour différents types d'activitiés. Les applications que vous accédez via OpenID peuvent demander des informations supplémentaires sur vous (par exemple un texte qui vous décrit). Dans ce cas vous pouvez leur indiquer - au moment de l'authentification - parmi quelle personalité l'application doit choisir.
Utilisation
Si vous utilisez beaucoup de services en ligne avec vos apprenants, il est est utile de les faire créer un ID chez un fournisseur neutre et fiable.
Enfin, les élèves doivent posséder une adresse email. Sinon, il faut songer à créer votre propre service d'authentification avec l'aide d'un bon bricoleur ou d'un informaticien. Certains sites permettent aussi des gérer des groupes d'utilisateurs.
Liens et bibliographie
Introductions
- OpenID (Wikipedia/fr)
- http://www.plaxo.com/api/openid_recipe
Site officiels et standards
- OpenID.net. Site officiel de la communauté OpenID. Il contient les spécifications, quelques explications, des sites fournisseurs etc. Par exemple:
- wiki.openid.net/ Documentation variée.
Pour informaticiens
- OpenID for non SuperUsersl par Sam Ruby