Authentification unique basée sur le Web

Eike Pierstorff

Authentification unique basée sur le Web


J’ai besoin d’une solution qui permet l’authentification unique pour divers sites Web sur différents domaines pour une organisation. Je n’ai pas besoin de l’implémenter moi-même, j’ai plutôt besoin d’une image plus claire de ce que je devrais rechercher.

Je ne sais pas vraiment si j’utilise le terme correctement – la définition classique de l’authentification unique semble être « une fois connecté, vous avez accès à plusieurs applications ». Ce que je recherche, c’est quelque chose qui permet d’avoir un seul ensemble d’informations d’identification par utilisateur pour plusieurs sites et services Web. Cela ne doit pas s’appuyer sur des entités externes, il doit donc être possible d’exécuter un fournisseur d’identité sur le serveur de l’organisation.

Avant de commencer à faire des recherches, j’étais convaincu que j’avais une idée de base de la façon dont cela fonctionne. Après avoir lu pendant quelques heures, je dois admettre que je suis déconcerté. Certains articles sur le Web avertissent que SSO ne doit pas être confondu avec des choses comme OpenID. Cependant, OpenID Connect est salué dans d’autres endroits comme l’avenir des applications d’authentification unique. Il est basé sur OAuth2, qui est si peu sûr qu’un développeur en chef s’est enfui en hurlant, mais semble toujours être devenu une norme quasi industrielle. Etc., plus je lis, plus je suis confus.

De plus, je ne sais pas trop si différents niveaux d’accès peuvent être gérés par le fournisseur d’identité ou s’ils doivent être gérés au niveau de l’application. Je dois placer les utilisateurs dans différents groupes (ils ont besoin d’autorisations différentes à l’intérieur des sites Web – je suppose quelle autorisation s’applique à quel groupe doit être géré au niveau de l’application).

Voici donc ma liste de souhaits:

  • Je recherche une solution de connexion unique pour plusieurs services Web
  • aucun fournisseur externe, auto-hébergé
  • devrait gérer l’authentification ainsi que la gestion des utilisateurs (si possible)
  • nécessite au moins un client PHP (et éventuellement Java)
  • Open Source préféré (en raison de « libre comme dans le discours », pas « comme dans la bière » – il y a un budget)

À ce stade, je serais déjà satisfait de quelques conseils généraux (« oui, OpenID Connect est le ticket » ou quelque chose comme ça).

Hunterhogan

Certaines informations qui pourraient exclure ou autoriser certaines solutions. 1) Quel serveur Web utilisez-vous? Ou, plus précisément, utilisez-vous des serveurs Windows? 2) Vous avez mentionné différents domaines: quel que soit le système d’exploitation du ou des serveurs Web, les domaines ont-ils une forme quelconque de relations de confiance? 3) Quel que soit le système d’exploitation d’un ou de plusieurs serveurs Web ou autres serveurs, les utilisateurs de votre organisation disposent-ils déjà d’une sorte d’autorité utilisateur centrale (ou d’autorités ayant des relations de confiance): la situation la plus courante est que tout le monde dans le l’organisation dispose d’un compte Windows pour se connecter à son ordinateur.

Réponses


 Adrián Arroyo Calle

OpenID

OpenID est une excellente solution. Voici quelques idées différentes. La première idée était OpenID 1.0 qui est fait pour l’auth et seulement l’auth. Mais pour certaines raisons pratiques, les entreprises sont passées à OAuth2 qui accordent l’accès et elles combinent les deux dans OpenID Connect ou utilisent simplement OAuth2 comme système d’authentification. Pour votre référence, vous pouvez regarder quels systèmes sont utilisés pour se connecter aux API cloud: http://passportjs.org/guide/providers/

Eike Pierstorff

Savez-vous comment la gestion des utilisateurs / les rôles des utilisateurs sont gérés avec OpenId (c.-à-d. Sont-ils gérés du tout ou est-ce que OpenId est juste une authentification et l’application doit déterminer à quelles ressources un utilisateur peut accéder)?


 thehpi

Jetez un oeil à Auth0 . Il peut gérer l’authentification mais prend également en charge l’autorisation.

PS, je ne suis pas affilié mais mon entreprise vient de le choisir d’où le conseil

 

authentification, basée, Le, sur, unique, Web

 

wiki

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *