Référentiel Liberty[8.5.5.4 ou ultérieure]

OpenID

OpenID est une norme ouverte dans laquelle les utilisateurs peuvent s'authentifier eux-mêmes auprès de plusieurs entités sans qu'il soit nécessaire de gérer plusieurs comptes ou jeux de données d'identification. Le profil Liberty de WebSphere Application Server prend en charge OpenID 2.0 et joue le rôle d'une partie utilisatrice dans une connexion unique Web.

Fournisseur OpenID (OP)
Serveur d'authentification OpenID qui peut vérifier si un utilisateur contrôle un identificateur unique.
Partie utilisatrice (RP)
Entité qui requiert une preuve qu'un utilisateur contrôle un identificateur unique.
Identificateur OpenID :
URL http ou https qui appartient à un fournisseur OpenID ou à un utilisateur.

L'accès à différentes entités, comme des sites Web, implique souvent un compte unique qui est associé à chaque entité. OpenID permet à un jeu de données d'identification unique géré par un fournisseur OpenID d'accorder l'accès à un certain nombre d'entités prenant en charge OpenID.

Lorsqu'il est nécessaire de se connecter à une entité, par exemple un site Web qui prend en charge OpenID et agit en tant que partie utilisatrice, les utilisateurs effectuent une authentification en interagissant directement avec un fournisseur OpenID au lieu de fournir leurs données d'identification à la partie utilisatrice elle-même. Un fournisseur OpenID vérifie l'identité de l'utilisateur et renvoie une confirmation d'authentification à la partie utilisatrice. Une fois cette confirmation reçue du fournisseur OpenID, la partie utilisatrice accepte l'utilisateur comme étant authentifié.

Un flux d'authentification OpenID classique est décrit comme suit :

  1. Un utilisateur essaie d'accéder à une ressource protégée, par exemple une page Web.
  2. Le serveur de profil Liberty, agissant en tant que partie utilisatrice, présente un page de connexion par formulaire pour la ressource protégée.
  3. L'utilisateur entre un identificateur OpenID.
  4. La partie utilisatrice prend l'identificateur et redirige l'utilisateur vers le fournisseur OpenID approprié.
  5. Le fournisseur OpenID invite l'utilisateur à entrer ses données d'identification.
  6. L'utilisateur entre ses données d'identification pour le compte qui est associé au fournisseur OpenID.
  7. Le fournisseur OpenID authentifie l'utilisateur et invite éventuellement ce dernier à accepter ou refuser la transmission des informations utilisateur à la partie utilisatrice, et il redirige ensuite l'utilisateur vers la partie utilisatrice avec le résultat d'authentification.
  8. Si l'authentification du fournisseur OpenID aboutit, la partie utilisatrice essaie d'autoriser l'utilisateur.
  9. Si l'autorisation utilisateur aboutit, la partie utilisatrice établit une session authentifiée avec l'utilisateur.
Le flux d'authentification OpenID est visible ici

OpenID aide à minimiser les risques de détournement des données d'identification de l'utilisateur ou d'informations confidentielles. Avec OpenID, les données d'identification d'un utilisateur sont échangées uniquement avec le fournisseur OpenID, ce qui signifie qu'aucun site Web autre que le fournisseur OpenID ne voit jamais les données d'identification de l'utilisateur. Cette norme permet d'atténuer la possibilité qu'un site Web peu scrupuleux ou non sécurisé compromette l'identité d'un utilisateur. L'utilisateur contrôle également la quantité d'informations personnelles qui est partagée avec les sites Web visités. Par exemple, les utilisateurs peuvent choisir d'autoriser le partage de leur nom et adresse e-mail qui sont associés à leur compte OpenID avec un site Web et de ne pas autoriser le partage de leur adresse e-mail, ou d'une information quelconque, avec un autre site Wevb.

Les spécifications de la norme OpenID prises en charge sont les suivantes :

OpenID Authentication 2.0.

OpenID Attribute Exchange 1.0.

Remarque : L'identificateur réclamé OpenID 2.0 doit être utilisé pour identifier un utilisateur par spéc, Identification de l'utilisateur final. Toutefois, l'identificateur réclamé n'est pas convivial et nombre de parties utilisatrices choisissent l'un des attributs OpenID pour représenter l'utilisateur. L'attribut le plus couramment utilisé pour représenter l'utilisateur est l'adresse e-mail de l'utilisateur.

Il est bien connu que certains attributs OpenID, y compris l'adresse e-mail, peuvent ne pas être validés par le fournisseur OpenID. Si vous ne faites pas confiance à un fournisseur pour qu'il vous fournisse une adresse e-mail vérifiée, vous ne devez pas utiliser l'adresse e-mail du fournisseur comme nom d'utilisateur authentifié dans WebSphere Application Server.


Icône indiquant le type de rubrique Rubrique de concept

Dispositions pour les centres de documentation | Commentaires


Icône d'horodatage Dernière mise à jour: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=cwlp_openid
Nom du fichier : cwlp_openid.html