• [^] # Précision sur Liberty Alliance

    Posté par . En réponse au journal OpenID :: I want my OpenID !. Évalué à 10.

    Alors, LASSO n'est qu'une implémentation de Liberty Alliance[1], il en existe d'autres comme OpenSSO/OpenFederation [2] de Sun.

    Le but de Liberty Alliance est de résoudre les mêmes problématique qu'OpenID. La grosse différence, à mon sens, est que Liberty Alliance a été dès le début pensé pour être extrêmement sûr et extensible. Du coup, c'est un peu plus complexe qu'OpenId, mais ca évite par exemple les problèmes de phising [3]. De plus, Liberty Alliance a profité d'être issu d'un consortium poussé par "quelques" poids lourds (pétés de tune, il faut bien le dire : Sun, IBM, Erickson, France Telecom, Novel, Intel, etc). Le gros avantage, c'est que tous ces gens ont payé d'autres gens pour faire des spec complètes, détaillés[4], ce qui facilite énormément les possibilités d'implémentation (comme par exemple LASSO[5], qui est une implémentation purement GPL des spec Liberty, complètement conforme, et qui a été réalisée de manière indépendante).

    Bon, la contre partie est que Liberty Alliance, c'est un peu plus complexe que OpenID. Mais ca vaut le coup ;)

    Enfin, on ne peut pas parler des solutions de federation d'identité ou de SSO intersite sans parler de SAML, et plus précisement de SAML2.

    En effet, la majorité des solutions convergent vers SAML 2[6] (Security Assertion Markup Language), qui est une norme OASIS. C'est le cas de Liberty Alliance et de Shibolleth (qui étaient proche, et ont pas mal influencé SAML 2), et ca sera peut être le cas de OpenID 2[7] (mais c'est pas pour tout de suite, y'a vraiment du boulot).

    Pour terminer, je vais aussi parler du projet FederID [8], qui est projet ObjectWeb, fincancé en partie par l'Angence Nationale pour la Recherche, et qui vise à implémenter une infrastructure complète et facilement utilisable autour de Liberty Alliance.
    FederID s'appuie sur LASSO pour les traitement bas niveau des messages Liberty Alliance, Authentic[9] pour le serveur d'identification (IdP), Interldap comme gestionnaire d'identités[10], et plus précisément son module LAAP[11] pour permettre l'échange d'attributs obtenu depuis un annuaire LDAP sur le cercle de confiance Liberty Alliance (avec Liberty Alliance, on va plus loin que le partage d'authentification, on partage aussi des attributs. Donc on peut autoriser certains de nos attributs (au hasard, l'adresse) à être partagés avec les autres serveurs auxquels ont fait confiance).

    Bon, mon commentaire est un peu partie pris étant donné que je travaille sur FederID, mais je vous encourage à aller regarder les différences entre OpenID et Liberty Alliance et donc à comprendre leur intéret respectif : essentiellement : la simplicité d'openID (c'est vraiment simple, ca s'ajoute en trop ligne de PHP), mais ca peu l'être un peu trop, cf les problèmes de phising, et ca pêche un peu au niveau des specs (le projet est encore jeune) ; la complexité de Liberty Alliance (la contre partie de spec détaillées...), mais en même temps la robustesse du protocole, sa compatibilité avec SAML2, le fait qu'il soit utilisé dans de très gros projets...

    Au pasage ; Liberty Alliance est déjà utilisé à grande échelle dans les télécoms, comme moyen de fédération d'identité. C'est également ce protocole qui est envisagé pour les grands chantiers d'unification d'identité au sein de l'administration française.

    [1] : "Project Liberty", homepage du projet Liberty Alliance : http://www.projectliberty.org/
    [2] : Sun OpenSSO/OpenFederation : https://opensso.dev.java.net/
    [3] : http://openid.net/wiki/index.php/OpenID_Phishing_Brainstorm
    [4] : Liberty Alliance, specification complètes : http://www.projectliberty.org/liberty/specifications__1
    [5] : LASSO home page : http://lasso.entrouvert.org/
    [6] : Security Assertion Markup Language (SAML) : http://en.wikipedia.org/wiki/SAML
    [7] : convergence OpenID / SAML, par exemple : http://openid.net/pipermail/specs/2006-December/000980.html
    [8] : projet FederID : http://federid.objectweb.org/
    [9] : manuel d'Authentic, ainsi que des précisions sur la fédération d'identité : http://authentic.labs.libre-entreprise.org/doc/fr/authentic-(...)
    [10] : projet de gestion d'identité InterLDAP : http://www.interldap.org/
    [11] : InterLDAP, module "Liberty Alliance Attribute Provider" (LAAP) : http://wiki.interldap.objectweb.org/xwiki/bin/view/Main/LAAP