Identity 2.0 : deux écoles pour un utilisateur

Pour assembler plusieurs services distants au sein d'une application composite, il est nécessaire de s'identifier auprès de chacun de ces services à l'aide d'identifiants et de mots de passe différents. Cette dissémination est impensable dans un contexte professionnel. D'autant qu'en plus de l'identification du salarié, il est souvent nécessaire de gérer ses droits et de l'authentifier formellement lorsque l'application composite accède à des ressources sensibles.IBM, Microsoft et Sun proposent tous une solution différente à ces problèmes. IBM préconise de concentrer les droits des utilisateurs et les mécanismes d'authentification unique au niveau de son infrastructure de portail. À chaque fois que l'utilisateur tente d'utiliser ou d'installer un service, l'application composite Workplace se connecte au portail qui valide alors l'identité de l'utilisateur et ses actions possibles. Un principe sur lequel s'appuient aussi les plates-formes web de sales-force. com (AppExchange) et de Microsoft (Windows Live Plat-form). Cette centralisation n'est pourtant pas idéale. ' Un identifiant unique géré par un annuaire centralisateur est à la fois une aber ration architecturale ?" single point of failure, etc. ?" et une menace potentielle pour la vie privée ', estime Éric Mahé, responsable nouvelles technologies chez Sun. Il prêche donc pour la fédération d'annuaires autonomes et hétérogènes (un dans chaque entreprise) via LibertyAlliance et le standard Oasis SAML 2.0.

Laisser l'utilisateur gérer ses droits ?

Mais Microsoft n'est pas convaincu par cette démarche et préfère laisser l'utilisateur gérer lui-même ses droits et ses identités avec InfoCard. ' Il s'agit d'un ensemble de cartes numériques équivalentes aux carte d'identité, permis de conduire, carte bancaire, carte de membre, etc. ', décrit Bernard Ourghanlian, directeur technique de Microsoft France. Quand l'utilisateur se connectera à un service acceptant InfoCard, un dialogue s'établira ?" via les protocoles de sécurité WS-* ?" entre le client (application composite ou navigateur) et le service distant qui lui indiquera les ' InfoCard ' dont il a besoin. L'utilisateur n'aura plus qu'à accepter ou pas de les transmettre.La communauté open source propose déjà une version allégée de cette approche avec OpenID. Ce protocole permet à deux services distants d'identifier un utilisateur puis de s'échanger des informations le concernant sans son intervention. Les informations sont stockées chez un tiers (MyOpenID, Videntity.org, TypeKey, etc.) ou directement sur le serveur OpenID de l'entreprise qui les fournit aux services demandeurs après accord initial de l'utilisateur. Souple et complètement décentralisée, cette architecture séduit de plus en plus de services distants. Mais elle ne permet toutefois pas d'authentifier un utilisateur.