Le 11 novembre 2015, un groupe de passionnés se retrouvait à Édimbourg en Écosse, pour la 5ème édition de la LDAPCon. Cette conférence internationale bisannuelle sur LDAP, et plus largement sur les questions de gestion des identités, d’authentification et d’habilitation, est l’occasion de rencontrer les acteurs les plus importants du domaine. Développeurs de serveurs d’annuaires et d’outils de gestion, intégrateurs reconnus et utilisateurs avancés ont partagé beaucoup d’informations en deux jours, faisant ainsi le point sur l’activité de la communauté et permettant de s’assurer que celle-ci est bien vivante!
Pour ma part, j’y étais d’abord et avant tout en qualité de membre des communautés LemonLDAP::NG, LDAP Tool Box et LDAP Synchronization Connector. J’ai ainsi eu la chance de donner une conférence sur le protocole OpenID Connect. Je représentais aussi pour la première fois Savoir-faire Linux, l’un des commanditaires de l’événement, dont les badges « I ♥ LDAP » ont été très appréciés. 😉
L’ouverture des conférences a été faite par David Goodman, une personnalité du domaine puisqu’il a travaillé depuis les années 1990 sur X.500 puis LDAP, au sein d’organisations comme IBM, Nokia ou encore Ericsson.
David a rebondi sur la conférence donnée par Ludovic Poitou en 2011 dont le titre provocateur était: « Is LDAP dead? » Deux ans plus tard, nous constatons bien qu’il n’en est rien et David tente d’imaginer ce qu’il en sera en 2020.
Pour cela, il retrace l’historique du protocole en partant de X.500, qu’il a contribué à faire connaître à travers PARADISE (Piloting A ReseArchers’DIrectory Service for Europe), un projet destiné aux opérateurs de télécommunications afin de prouver que ce protocole était viable. Mais confrontés à la complexité de X.500 et à des problématiques d’intégration avec les clients Mac et Windows, les concepteurs de X.500 ont imaginé LDAP, d’abord passerelle vers X.500 puis standard indépendant. Netscape annoncera finalement le support de LDAP en 1996. L’année suivante, LDAPv3 sortait et X.500 était considéré comme mort.
Qu’en est-il donc aujourd’hui? Les grands acteurs (Oracle, IBM, CA, Microsoft, pour ne citer qu’eux) proposent tous des solutions basées sur LDAP. Toutefois la révolution infonuagique semble laisser ce standard de côté. Azure AD, par exemple, n’offre pas d’accès via LDAP. On constate également que les développeurs sont désormais plus friands d’API XML ou JSON que de LDAP natif. Ne parlons pas non plus du succès des bases NoSQL.
Alors quel avenir pour LDAP? Encore considérablement implanté dans l’écosystème actuel, ce standard ne sera sans doute pas oublié dans cinq ans. Mais pour ne pas qu’il rejoigne les technologies obsolètes, il faut qu’il s’adapte aux nouveaux besoins: infonuagique, performance, outils de développement, cohabitation avec d’autres standards (SCIM, par exemple).
Il était difficile de démarrer cet événement sur LDAP en parlant d’un tout autre protocole, mais le choix de la programmation en fut ainsi. J’ai donc pu présenter rapidement le standard OAuth 2 avant de parler d’OpenID Connect, protocole basé sur OAuth 2 et JOSE, la couche de sécurité de javascript (signature et chiffrement de données JSON).
Comparé à SAML, OpenID Connect incarne la nouvelle génération: utilisation de REST, gestion d’un mode déconnecté, adaptation aux applications mobiles, etc.
J’ai pu constater que malgré sa jeunesse (il n’a été standardisé qu’en 2014), ce protocole est déjà bien connu et suscite l’intérêt des grands acteurs comme des communautés qui, soit l’ont déjà intégré à leur produit, soit prévoient de le faire au cours des prochains mois. C’est d’ailleurs le cas de LemonLDAP::NG, dont la version 2.0 offrira le support d’OpenID Connect.
Les conférences données pendant ces deux jours ont été passionnantes et il serait difficile de toutes les résumer dans cet article. Si cela vous intéresse, les présentations sont disponibles sur le site web de LDAPCon 2015.
Quelques éléments à retenir:
slapmodify/slapdelete, le support des courbes elliptiques de OpenSSL, un module TOTP, la désactivation de bases ou d’overlays dans cn=config et tout ce qui a déjà été dit plus haut.Comments are closed.
La LDAPCon est une conférence internationale autour de la technologie LDAP et des enjeux de gestion des identités, d’authentification et d’habilitation. L’événement qui se déroulera cette année à Bruxelles du 19 au 20 octobre, se tient tous les deux ans dans un pays différent : 2007 à Cologne en Allemagne 2009 à Portland aux États-Unis […]
Savez-vous comment automatiser l’installation ainsi que la configuration de Nexus Repository Manager version 3.x avec Ansible ? Pas encore ? On vous donne un coup de pouce ici ! Pour rappel, Ansible est un outil de déploiement qui permet à des playbooks d’automatiser les déploiements d’applications et d’infrastructure. L’avantage clé d’Ansible est sa flexibilité puisqu’il […]
Nous sommes heureux de vous annoncer la sortie d’une vidéo promotionnelle produite par Microsoft eux-même ! Fruit d’une collaboration autour de la plateforme Azure, cette vidéo souligne la pertinence et l’essor des technologies open source dans l’environnement infonuagique Azure de Microsoft ainsi que notre capacité d’innovation en combinant technologies open source […]
L’authentification unique (en anglais Single Sign On ou SSO) est aujourd’hui bien implantée dans les systèmes d’information, grâce à une large offre de produits et surtout de nombreux standards comme CAS, SAML ou OpenID Connect, pour ne citer que les plus importants. Cependant, ce domaine reste difficile d’accès car chaque nouvelle norme demande un temps […]
La Ville de Villeurbanne mise sur l’Open Source et choisit LemonLDAP::NG pour contrôler les droits d’accès de ses utilisateurs. La Ville de Villeurbanne possédait plusieurs applications Web dont l’authentification était déjà déléguée à un serveur central CAS (Central Authentification Services), modifié pour les besoins de Villeurbanne pour donner accès à la fois aux utilisateurs internes […]
[…] eu l’occasion de présenter ce protocole dans différentes conférences, comme à la LDAPCon en novembre dernier […]