[SPIP Zone] SSO / Identification partagée sur plusieurs sites SPIP

Archives Zone
1

Bonjour

Je vais avoir besoin d'une identification partagée entre plusieurs sites SPIP.
Je me suis jamais trop penché sur la question

Où en sommes-nous à ce niveau ?
Les contributions sur contrib ont l'air assez ancienne.
Quelle serait pour vous la meilleure architecture technique ?

Merci de vos avis et retours.

--
_________________________________________
https://www.erational.org

2

Hello,

J’ai plein de bookmark quelque part sur le sujet pour le faire « un jour » :slight_smile:

En gros je pense que la meilleure solution aujourd’hui c’est d’implémenter un serveur Oauth2 qui utilise les comptes d’un SPIP central, et ensuite les clients utilisent du SSO en client Oauth2, ce qui est assez classique.

In vivo on le fait dans le plugin magiclogin pour se loger avec Twitter ou avec FB, ce qui est presque pareil aux spécificités propres à chaque plateformes, in vitro j’ai quelque part une implémentation de login client Oauth2 standard que je peux partager si besoin - mais il reste la partie serveur à faire, sans doute en utilisant une lib qui va bien…

--
Cédric
Le 13 nov. 2018 à 09:23 +0100, erational <erational@erational.org>, a écrit :

Bonjour

Je vais avoir besoin d'une identification partagée entre plusieurs sites
SPIP.
Je me suis jamais trop penché sur la question

Où en sommes-nous à ce niveau ?
Les contributions sur contrib ont l'air assez ancienne.
Quelle serait pour vous la meilleure architecture technique ?

Merci de vos avis et retours.

--
_________________________________________
https://www.erational.org

----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

3

Hello,

J'aime bien cette idée, mais concrètement pour l'utilisateur qu'est-ce que
ça donne ?

J'imagine que la première fois il arrive sur le site A du réseau, il créé
un compte car il n'en a pas. En fait le compte est crée sur le serveur
central Oauth2, puis la connexion est activée sur le site client, parfait.

Ensuite l’utilisateur se rend sur le site B du réseau, il n'est pas
connecté. Que fait-on à ce moment là pour utiliser le compte existant sur
le serveur central ? Un bouton "se connecter avec SPIP" ?

BoOz

Le mar. 13 nov. 2018 à 10:02, Cerdic <cedric@yterium.com> a écrit :

Hello,

J’ai plein de bookmark quelque part sur le sujet pour le faire « un jour »
:slight_smile:

En gros je pense que la meilleure solution aujourd’hui c’est d’implémenter
un serveur Oauth2 qui utilise les comptes d’un SPIP central, et ensuite les
clients utilisent du SSO en client Oauth2, ce qui est assez classique.

In vivo on le fait dans le plugin magiclogin pour se loger avec Twitter ou
avec FB, ce qui est presque pareil aux spécificités propres à chaque
plateformes, in vitro j’ai quelque part une implémentation de login client
Oauth2 standard que je peux partager si besoin - mais il reste la partie
serveur à faire, sans doute en utilisant une lib qui va bien…

--
Cédric
Le 13 nov. 2018 à 09:23 +0100, erational <erational@erational.org>, a
écrit :

Bonjour

Je vais avoir besoin d'une identification partagée entre plusieurs sites
SPIP.
Je me suis jamais trop penché sur la question

Où en sommes-nous à ce niveau ?
Les contributions sur contrib ont l'air assez ancienne.
Quelle serait pour vous la meilleure architecture technique ?

Merci de vos avis et retours.

--
_________________________________________
https://www.erational.org

----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

4

Je pense que le seul petit point délicat c’est en effet la création du compte sur le site central, qui, a priori, ne peut pas de faire via un site client : il faut passer sur le site central pour se créer un compte

Après une fois cela fait, sur les sites client on a un bouton « Se connecter avec ‘le nom du site central’ » qui t’envoie sur le login de ce site.
Si tu es pas du tout connecté sur le site central il faut le faire la première fois, et les autres vois il vérifie juste qu’il a bien une session pour toi, et qu’elle est valide, et te redirige vers le site client.

--
Cédric
Le 13 nov. 2018 à 10:19 +0100, BoOz <booz@rezo.net>, a écrit :

Hello,

J'aime bien cette idée, mais concrètement pour l'utilisateur qu'est-ce que ça donne ?

J'imagine que la première fois il arrive sur le site A du réseau, il créé un compte car il n'en a pas. En fait le compte est crée sur le serveur central Oauth2, puis la connexion est activée sur le site client, parfait.

Ensuite l’utilisateur se rend sur le site B du réseau, il n'est pas connecté. Que fait-on à ce moment là pour utiliser le compte existant sur le serveur central ? Un bouton "se connecter avec SPIP" ?

BoOz

> Le mar. 13 nov. 2018 à 10:02, Cerdic <cedric@yterium.com> a écrit :
> > Hello,
> >
> > J’ai plein de bookmark quelque part sur le sujet pour le faire « un jour » :slight_smile:
> >
> > En gros je pense que la meilleure solution aujourd’hui c’est d’implémenter un serveur Oauth2 qui utilise les comptes d’un SPIP central, et ensuite les clients utilisent du SSO en client Oauth2, ce qui est assez classique.
> >
> > In vivo on le fait dans le plugin magiclogin pour se loger avec Twitter ou avec FB, ce qui est presque pareil aux spécificités propres à chaque plateformes, in vitro j’ai quelque part une implémentation de login client Oauth2 standard que je peux partager si besoin - mais il reste la partie serveur à faire, sans doute en utilisant une lib qui va bien…
> >
> > --
> > Cédric
> > Le 13 nov. 2018 à 09:23 +0100, erational <erational@erational.org>, a écrit :
> > > Bonjour
> > >
> > > Je vais avoir besoin d'une identification partagée entre plusieurs sites
> > > SPIP.
> > > Je me suis jamais trop penché sur la question
> > >
> > > Où en sommes-nous à ce niveau ?
> > > Les contributions sur contrib ont l'air assez ancienne.
> > > Quelle serait pour vous la meilleure architecture technique ?
> > >
> > > Merci de vos avis et retours.
> > >
> > > --
> > > _________________________________________
> > > https://www.erational.org
> > >
> > > ----
> > > spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone
> > ----
> > spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

5

Bonjour,

On peut pas simplement, quand on se connect avec le formulaire login de
SPIP être loguer sur tout les sites SPIP du réseau ?
En passant des $serveur qui vont sur les autre sites pour ouvrir les
sessions ?

Le mar. 13 nov. 2018 à 10:20, BoOz <booz@rezo.net> a écrit :

Hello,

J'aime bien cette idée, mais concrètement pour l'utilisateur qu'est-ce que
ça donne ?

J'imagine que la première fois il arrive sur le site A du réseau, il créé
un compte car il n'en a pas. En fait le compte est crée sur le serveur
central Oauth2, puis la connexion est activée sur le site client, parfait.

Ensuite l’utilisateur se rend sur le site B du réseau, il n'est pas
connecté. Que fait-on à ce moment là pour utiliser le compte existant sur
le serveur central ? Un bouton "se connecter avec SPIP" ?

BoOz

Le mar. 13 nov. 2018 à 10:02, Cerdic <cedric@yterium.com> a écrit :

Hello,

J’ai plein de bookmark quelque part sur le sujet pour le faire « un
jour » :slight_smile:

En gros je pense que la meilleure solution aujourd’hui c’est
d’implémenter un serveur Oauth2 qui utilise les comptes d’un SPIP central,
et ensuite les clients utilisent du SSO en client Oauth2, ce qui est assez
classique.

In vivo on le fait dans le plugin magiclogin pour se loger avec Twitter
ou avec FB, ce qui est presque pareil aux spécificités propres à chaque
plateformes, in vitro j’ai quelque part une implémentation de login client
Oauth2 standard que je peux partager si besoin - mais il reste la partie
serveur à faire, sans doute en utilisant une lib qui va bien…

--
Cédric
Le 13 nov. 2018 à 09:23 +0100, erational <erational@erational.org>, a
écrit :

Bonjour

Je vais avoir besoin d'une identification partagée entre plusieurs sites
SPIP.
Je me suis jamais trop penché sur la question

Où en sommes-nous à ce niveau ?
Les contributions sur contrib ont l'air assez ancienne.
Quelle serait pour vous la meilleure architecture technique ?

Merci de vos avis et retours.

--
_________________________________________
https://www.erational.org

----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

--

Pierre KUHN
http://www.voisins-spipeurs.net

6

Le 13/11/2018 à 09:23, erational a écrit :

Quelle serait pour vous la meilleure architecture technique ?

Juste pour ajouter une précision, il y a deux choses différentes utiles,
mais bien différentes :
1) la délégation d'identité (on demande à se connecter à un autre service)
2) l'authentification unique (SSO, quand on est connecté, on est
connecté partout d'un coup sans avoir à redemander)

Ça dépend des besoins, on ne veut pas toujours les deux, mais en tout
cas faut juste bien avoir en tête que ce sont deux choses différentes.

Pour l'implémentation, il n'y a pas que oAuth, il y a SAML/Liberty
Alliance, qui est aussi un standard international. Il y a une librairie
libre et certifiée, qui est maintenue par une boite du libre :
https://www.entrouvert.com/fr/identite-numerique/lasso/

--
RastaPopoulos

7

Bonjour,

Je viens de remarquer le plugin SimpleSAML pour SPIP (https://zone.spip.net/trac/spip-zone/browser/spip-zone/plugins/simplesaml/trunk) qui n’est pas documenté sur spip-contrib.
D’après ce que je comprends, c’est un plugin qui intègre la partie fournisseur de service (SP) de l’application SimpleSAMLphp (https://simplesamlphp.org/) et permet de connecter SPIP à un fournisseur d’identité (IdP) supportant SAML v2 (comme Shibboleth par exemple https://www.shibboleth.net/).
Quelqu’un a-t-il déjà essayé cette solution ?

-Frédéric

On Tue, Nov 13, 2018 at 11:24 AM RastaPopoulos <rastapopoulos@spip.org> wrote:

Le 13/11/2018 à 09:23, erational a écrit :

Quelle serait pour vous la meilleure architecture technique ?

Juste pour ajouter une précision, il y a deux choses différentes utiles,
mais bien différentes :

  1. la délégation d’identité (on demande à se connecter à un autre service)
  2. l’authentification unique (SSO, quand on est connecté, on est
    connecté partout d’un coup sans avoir à redemander)

Ça dépend des besoins, on ne veut pas toujours les deux, mais en tout
cas faut juste bien avoir en tête que ce sont deux choses différentes.

Pour l’implémentation, il n’y a pas que oAuth, il y a SAML/Liberty
Alliance, qui est aussi un standard international. Il y a une librairie
libre et certifiée, qui est maintenue par une boite du libre :
https://www.entrouvert.com/fr/identite-numerique/lasso/


RastaPopoulos

spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone