Utiliser la fédération d’identité sur votre site Web ?

le 22/05/2010 par Guillaume Plouin
Tags: Software Engineering

2 mots sur la fédération d’identité

Pour le  grand public, le principal avantage de la fédération d’identité est de disposer d’une identité unifiée, utilisable sur divers sites Web indépendants. La fédération permet d’orienter les applications compatibles vers un gestionnaire d’identité unifié et ainsi :

  • De disposer d’un identifiant / mot de passe unique et du “Single Sign On” sur l’ensemble des applications fédérées ;
  • De mettre à la disposition des applications une fiche d’identité paramétrable (nom, prénom, date de naissance, sexe, email, etc.)
  • De conserver un lien vers cette fiche d’identité pour connaître ses évolutions

Il est possible de disposer de N identités fédérées, de même qu’il est possible d’utiliser N boites emails pour segmenter ses relations. Mais, en pratique, la plupart de personnes préfèrent utiliser une seule identité par souci de simplicité.

Une série de billets va prochainement présenter en détail les usages de la fédération d’identité et les technologies sous-jacentes sur ce blog. Ce n’est donc pas l’objet du présent billet, qui se focalise sur son usage dans les sites Web grand public.

Les tiers éligibles à la fédération d’identité

Parmi les organisations éligibles à la gestion centralisée de l’identité, l’utilisateur peut choisir :

  • Son employeur, si l’annuaire de son entreprise est ouvert vers l'extérieur. Cette approche signifie qu’il créé un lien fort entre vie professionelle et vie privée sur le Web. Ce lien posera problème en cas de démission.
  • Un réseau social, comme Facebook et LinkedIn, etc.
  • Un des grands du Web : Google Account, Yahoo ID, Microsoft Windows Live ID, etc.
  • Un service fourni par l’état comme Mon Service Public
  • Un fournisseur de services traditionnel réputé digne de confiance : banques (selon moi, elles devraient proposer la fédération assez rapidement), opérateurs Télécom (cf. Orange OpenID), etc.
  • Un acteur de la sécurité et de la confiance numérique, comme Thawte ou Verisign (cf. Verisign Personal Identity Provider)

Pour choisir parmi ces tiers, l’utilisateur examinera plusieurs critères :

  • Le caractère incontournable du tiers dans le domaine de l’identité : les réseaux sociaux sont fortement associés aux problématiques d’identité.
  • La gamme de services offerts par le tiers : par exemple, les grands du Web offrent en lien avec leur système d’identité des services d’email, messagerie instantanée, portail, partage de fichiers, cartographie, etc.
  • Le souhait de séparer ou non ses identités : personnelle, professionnelles, ou autres.
  • La confiance qu’il accorde aux tiers : par exemple, les banques ou acteurs de la sécurité pourront lui inspirer plus de confiance.

Facebook, acteur incontournable de la fédération l’identité ?

L’entreprise qui réussira à devenir la référence des services d’identité à un niveau international disposera d’un pouvoir important dans l’écosystème du Web. Facebook est en passe de gagner cette bataille : plus de 400 millions de personnes lui ont confié leur identité, et 100 millions d’entre elles fédèrent leur identité Facebook avec d’autres applications. Facebook est clairement devenu une référence de la fédération dans le monde occidental.

Ainsi, tout éditeur qui lance un site Web destiné au grand public se pose aujourd’hui la question d’utiliser la fédération d’identité offerte par Facebook. Depuis mi avril, Facebook a fait considérablement évoluer son offre vis-à-vis de ces éditeurs. Ces derniers peuvent :

  • Déléguer leur authentification et bénéficier du SSO Facebook ;
  • Accéder à la fiche d’identité Facebook des utilisateurs ;
  • Accéder via Open Graph API au graphe social Facebook des utilisateurs (la liste de leurs amis, leurs goûts...) ;
  • Utiliser des « plug-in sociaux » pour partager les commentaires de leurs utilisateurs avec Facebook.

Cette offre est très séduisante pour les éditeurs de sites car elle leur permet de simplifier la vie de leurs utilisateurs lorsque ces derniers sont membres de Facebook. Elle leur permet aussi de faire du marketing viral sur  leurs contenus : les plug-in sociaux permettent aux utilisateurs enthousiastes de les diffuser auprès de leur amis.

Devenir un satellite de Facebook ?

Par contre, l’usage de la fédération Facebook met ces éditeurs devant un choix cornélien : utiliser les API Facebook signifie devenir un « satellite » du réseau social. Pour éviter cette dépendance, ils devront maintenir un dispositif d’identité parallèle à celui de Facebook. Ce dispositif permettra d’accueillir des utilisateurs qui n’ont pas de compte Facebook, il permettra aussi de « sortir de Facebook » si cela était souhaité à terme.

La mise en œuvre d’un tel dispositif soulève des questions complexes :

  • Faut-il « aspirer » le graphe social Facebook pour gérer en interne les listes d’amis ?
  • Faut-il « aspirer » les commentaires utilisateurs pour en disposer en interne ?
  • Faut-il maintenir une synchronisation permanente avec les données Facebook via des batchs nocturnes ?

Une autre possibilité est de créer ses propres services sociaux : c’est ce qu’ont fait Flickr, Dailymotion, et d’autres. Mais il est aujourd’hui difficile de concurrencer les acteurs établis dans le domaine social.

Il existe aujourd’hui diverses approches possibles :

  • Devenir satellite de Facebook et profiter pleinement de son effet accélérateur ;
  • Se rendre compatible avec plusieurs acteurs de la fédération d’identité (Facebook, Google, Yahoo, ..) pour ne pas créer de dépendance à un seul acteur. On risque alors de proposer des fonctions d’identité un peu complexes du point de vue utilisateur.
  • Créer ses propres services sociaux en partant de l’aspiration des contenus Facebook : cela signifie perdre l’évolution des graphes sociaux.
  • Créer ses propres services sociaux en partant de rien : cela signifie accepter un décollage lent et un risque d’échec.

Un choix qui mérite mûre réflexion...