Utiliser la fédération d’identité sur votre site Web ?

2 mots sur la fédération d’identité

Pour le  grand public, le principal avantage de la fédération d’identité est de disposer d’une identité unifiée, utilisable sur divers sites Web indépendants.
La fédération permet d’orienter les applications compatibles vers un gestionnaire d’identité unifié et ainsi :

  • De disposer d’un identifiant / mot de passe unique et du “Single Sign On” sur l’ensemble des applications fédérées ;
  • De mettre à la disposition des applications une fiche d’identité paramétrable (nom, prénom, date de naissance, sexe, email, etc.)
  • De conserver un lien vers cette fiche d’identité pour connaître ses évolutions

Il est possible de disposer de N identités fédérées, de même qu’il est possible d’utiliser N boites emails pour segmenter ses relations. Mais, en pratique, la plupart de personnes préfèrent utiliser une seule identité par souci de simplicité.

Une série de billets va prochainement présenter en détail les usages de la fédération d’identité et les technologies sous-jacentes sur ce blog. Ce n’est donc pas l’objet du présent billet, qui se focalise sur son usage dans les sites Web grand public.

Les tiers éligibles à la fédération d’identité

Parmi les organisations éligibles à la gestion centralisée de l’identité, l’utilisateur peut choisir :

  • Son employeur, si l’annuaire de son entreprise est ouvert vers l’extérieur. Cette approche signifie qu’il créé un lien fort entre vie professionelle et vie privée sur le Web. Ce lien posera problème en cas de démission.
  • Un réseau social, comme Facebook et LinkedIn, etc.
  • Un des grands du Web : Google Account, Yahoo ID, Microsoft Windows Live ID, etc.
  • Un service fourni par l’état comme Mon Service Public
  • Un fournisseur de services traditionnel réputé digne de confiance : banques (selon moi, elles devraient proposer la fédération assez rapidement), opérateurs Télécom (cf. Orange OpenID), etc.
  • Un acteur de la sécurité et de la confiance numérique, comme Thawte ou Verisign (cf. Verisign Personal Identity Provider)

Pour choisir parmi ces tiers, l’utilisateur examinera plusieurs critères :

  • Le caractère incontournable du tiers dans le domaine de l’identité : les réseaux sociaux sont fortement associés aux problématiques d’identité.
  • La gamme de services offerts par le tiers : par exemple, les grands du Web offrent en lien avec leur système d’identité des services d’email, messagerie instantanée, portail, partage de fichiers, cartographie, etc.
  • Le souhait de séparer ou non ses identités : personnelle, professionnelles, ou autres.
  • La confiance qu’il accorde aux tiers : par exemple, les banques ou acteurs de la sécurité pourront lui inspirer plus de confiance.

Facebook, acteur incontournable de la fédération l’identité ?

L’entreprise qui réussira à devenir la référence des services d’identité à un niveau international disposera d’un pouvoir important dans l’écosystème du Web.
Facebook est en passe de gagner cette bataille : plus de 400 millions de personnes lui ont confié leur identité, et 100 millions d’entre elles fédèrent leur identité Facebook avec d’autres applications. Facebook est clairement devenu une référence de la fédération dans le monde occidental.

Ainsi, tout éditeur qui lance un site Web destiné au grand public se pose aujourd’hui la question d’utiliser la fédération d’identité offerte par Facebook. Depuis mi avril, Facebook a fait considérablement évoluer son offre vis-à-vis de ces éditeurs.
Ces derniers peuvent :

  • Déléguer leur authentification et bénéficier du SSO Facebook ;
  • Accéder à la fiche d’identité Facebook des utilisateurs ;
  • Accéder via Open Graph API au graphe social Facebook des utilisateurs (la liste de leurs amis, leurs goûts…) ;
  • Utiliser des « plug-in sociaux » pour partager les commentaires de leurs utilisateurs avec Facebook.

Cette offre est très séduisante pour les éditeurs de sites car elle leur permet de simplifier la vie de leurs utilisateurs lorsque ces derniers sont membres de Facebook. Elle leur permet aussi de faire du marketing viral sur  leurs contenus : les plug-in sociaux permettent aux utilisateurs enthousiastes de les diffuser auprès de leur amis.

Devenir un satellite de Facebook ?

Par contre, l’usage de la fédération Facebook met ces éditeurs devant un choix cornélien : utiliser les API Facebook signifie devenir un « satellite » du réseau social. Pour éviter cette dépendance, ils devront maintenir un dispositif d’identité parallèle à celui de Facebook.
Ce dispositif permettra d’accueillir des utilisateurs qui n’ont pas de compte Facebook, il permettra aussi de « sortir de Facebook » si cela était souhaité à terme.

La mise en œuvre d’un tel dispositif soulève des questions complexes :

  • Faut-il « aspirer » le graphe social Facebook pour gérer en interne les listes d’amis ?
  • Faut-il « aspirer » les commentaires utilisateurs pour en disposer en interne ?
  • Faut-il maintenir une synchronisation permanente avec les données Facebook via des batchs nocturnes ?

Une autre possibilité est de créer ses propres services sociaux : c’est ce qu’ont fait Flickr, Dailymotion, et d’autres. Mais il est aujourd’hui difficile de concurrencer les acteurs établis dans le domaine social.

Il existe aujourd’hui diverses approches possibles :

  • Devenir satellite de Facebook et profiter pleinement de son effet accélérateur ;
  • Se rendre compatible avec plusieurs acteurs de la fédération d’identité (Facebook, Google, Yahoo, ..) pour ne pas créer de dépendance à un seul acteur. On risque alors de proposer des fonctions d’identité un peu complexes du point de vue utilisateur.
  • Créer ses propres services sociaux en partant de l’aspiration des contenus Facebook : cela signifie perdre l’évolution des graphes sociaux.
  • Créer ses propres services sociaux en partant de rien : cela signifie accepter un décollage lent et un risque d’échec.

Un choix qui mérite mûre réflexion…

5 commentaires sur “Utiliser la fédération d’identité sur votre site Web ?”

  • Je pense qu'il manque au moins deux types de tiers de confiance dans la liste : 1/ sois même (oui oui, ca fait un tier: notre nous charnel, notre identité numérique, ce qui l'utilise). C'est l'approche des protocoles de fédération décentralisés (ce que devait à l'origine être OpenId, ce que pourrait permettre Foaf), et c'est en général ceux qui mettent le plus d'importance sur le contrôle des privacy[1] Mais je vois qu'on va m'opposer rapidement l'aspect technique de la chose, et même si je ne suis trop d'accord avec ce point[3], il permet de pointer le second manque de la liste : les organisations à but non lucratives et non étatique - les trucs qui ne n'ont pas pour but premier de monnayer ou de suivre au plus prêt ce bien si cher, nos identités numérique... En tout cas, j'attends avec impatience la suite :) [1] si quelqu'un a une bonne traduction de "privacy", courte, en français, je suis preneur. Parce que "ensemble de nos informations personnelles", c'est un peu long [2] et pas magique comme voudrait nous le faire croire certaines pommes [3] nos identités numériques valent amplement qu'on s'intéresse un peu à elle, et donc aussi au côté "numérique", et donc technique[2]. Après, on s'étonne, la bouche en coeur, des dérives pas forcément très éthiques des puissants à qui on a confiait nos vies (numériques)...
  • Alléchant, vivement la suite :-)
  • Facebook, Facebook ... Certes, 400 millions de personnes utilisent Facebook, mais cela suffit-il pour autant accorder sa confiance à Facebook en matière d'identité ? Certainement pas ! Il est beaucoup trop simple de créer un compte Facebook, et de se créer de fait une fausse identité. Tout dépend évidemment de l'utilisation qui doit être faite de cette fameuse identité. Imaginons que je veuille faire du commerce électronique, de la banque, de l'assurance, j'ai besoin d'un minimum (conséquent !) de garanties sur l'identité de l'internaute. Si l'objectif est de faire confiance "les yeux fermés" à un fournisseur d'identités pour ce type d'usage, seules les institutions d'Etat, ou à défauts les "fournisseurs de services traditionnels réputés dignes de confiance" sont éligibles. Je suis d'accord sur le fait que ces derniers vont certainement développer cette activité, d'autant plus lorsqu'elles sont équipées d'un réseau d'agence (la vérification d'une identité ne peut être établie que de visu !)
  • +1 avec Fanf J'aurais tellement aimé voir les associations à but non lucratif dans la liste comme http://openidfrance.fr/ qui proposait cette technologies avant les autres géants. En plus les associations expliquent comment héberger soit même openId. Les associations (dont le logiciel libre) militent pour améliorer la société en proposant des bases techniques saines.
  • Facebook, Facebook ... Certes, 400 millions de personnes utilisent Facebook, mais cela suffit-il pour autant accorder sa confiance à Facebook en matière d'identité ? Certainement pas ! Il est beaucoup trop simple de créer un compte Facebook, et de se créer de fait une fausse identité. Tout dépend évidemment de l'utilisation qui doit être faite de cette fameuse identité. Imaginons que je veuille faire du commerce électronique, de la banque, de l'assurance, j'ai besoin d'un minimum (conséquent !) de garanties sur l'identité de l'internaute. Si l'objectif est de faire confiance "les yeux fermés" à un fournisseur d'identités pour ce type d'usage, seules les institutions d'Etat, ou à défauts les "fournisseurs de services traditionnels réputés dignes de confiance" sont éligibles. Je suis d'accord sur le fait que ces derniers vont certainement développer cette activité, d'autant plus lorsqu'elles sont équipées d'un réseau d'agence (la vérification d'une identité ne peut être établie que de visu !)
    1. Laisser un commentaire

      Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


      Ce formulaire est protégé par Google Recaptcha