Table of Contents

Serveur OpenID

Le protocole OpenID est obsolète, il faut maintenant utiliser OpenID-Connect.

Présentation

LL::NG peut agir comme un serveur OpenID 2.0, ce qui permet de fédérer LL::NG avec :

LL::NG est compatible avec le protocole d'authentification OpenID version 2.0 et version 1.0. Ce peut être utilisé pour partager l'authentification et pour partager les attributs utilisateurs en suivant les spécifications OpenID Simple Registration Extension 1.0 (SREG).

Lorsque LL::NG est configuré en fournisseur d'identité OpenID, les utilisateurs peuvent partager leur authentification en utilisant [PORTAIL]/openidserver/[login] où :

Exemple : 

http://auth.example.com/openidserver/foo.bar

Configuration

Dans le manager, aller dans Paramètres généraux > Modules fournisseurs » OpenID et configurer :

Par exemple, pour n'autoriser que les utilisateurs authentifiés fortement : 
$authenticationLevel > 2
Le module Rewrite d'Apache doit être activé dans la configuration Apache du portail ou dans la configuration du portail Nginx.

Aller ensuite dans Options pour définir :

Si l'identifiant OpenID n'est pas renseigné, la donnée Paramètres généraux » Journalisation » REMOTE_USER est utilisée, mise à uid par défaut

Attributs partagés (SREG)

SREG permet le partage de 8 attributs :

Chaque attribut SREG est associé à une clef de session utilisateur. Une clef de session peut être associée à un ou plusieurs attributs SREG.

Si le client OpenID demande des données utilisateurs, ceux-ci sont questionnés pour accepter ou non le partage.

Sécurité

Noter que le protocole SAML est plus securisé que OpenID, ainsi si les partenaires sont connus, preférer SAML.