IDEALX publie OpenTrust PAM

Posté par Sherley BROTHIER le 17 juin 2007 à 17:51. Modéré par Nÿco.

Étiquettes :

juin

2007

Développée avec la Mairie de Paris et l’INSERM, la solution OpenTrust-PAM (Portal Access Manager) d’IDEALX est désormais libre au téléchargement sous licence GPL.

OpenTrust PAM permet à un utilisateur de n'avoir à s'identifier qu'une seule fois pour accéder à toutes ses applications distantes. C'est donc un « reverse-proxy », assurant le SSO (Single Sign On), qui interagit avec les systèmes d’authentification des applications mises à disposition, grâce aux protocoles Web.

Mise en ½uvre pour la première fois à l’Inserm en 2004, la solution a été mise en production à la Mairie de Paris dans le cadre de la création d’un portail « Partenaires », destiné à multiplier les services fournis aux différentes entités liées à la ville.

Publié depuis aujourd’hui sous licence Open Source (GPL), le logiciel OpenTrust-PAM pourra ainsi être utilisé et s’enrichir par l’apport de nouvelles contributions.

Aller plus loin

OpenTrust PAM (110 clics)
Opentrust (54 clics)
IDEALX (114 clics)
Témoignage Mairie de Paris (21 clics)

# Commentaire supprimé

Posté par Anonyme le 17 juin 2007 à 20:13. Évalué à 2.

Ce commentaire a été supprimé par l’équipe de modération.
- [^] # Re: OpenID
  
  Posté par anonyme512 le 18 juin 2007 à 08:22. Évalué à 2.
  
  Aucun lien. OpenID c'est un truc à la MS Passport.net, OpenTrus-PAM c'est un reverse proxy-SSO, comme il y en a d'ailleurs plein d'autres sur le marché. Entre autres:
  - Vulture (en libre aussi, http://vulture.open-source.fr)
  - JOSSO (en libre aussi, http://www.josso.org/)
  - shibboleth (qui ressemble un peu plus à OpenID)
  - SiteMinder
  -...
  
  Bref, rien que de très commun. Ce qui différencie ces solutions ce sont des problématiques du type:
  - passage du jeton d'authentification (en interceptant les formulaires, ou par agent)
  - le "provisioning" c'est à dire en gros la gestion des bases d'utilisateurs des applis SSO-isées
  - au niveau technique, ce que peut faire suivre le reverse proxy sans tout casser (simple HTML, JavaScript - pensez AJAX, ...)
  - les perfs et la haute dispo
  - [^] # Re: OpenID
    
    Posté par Cros Pierre (site web personnel) le 18 juin 2007 à 13:42. Évalué à 1.
    
    Shibboleth ne ressemble pas à OpenID, c'est une solution basée sur OpenSAML (OpenID ne fait pas de SAML) et ce n'est pas non plus un reverse-proxy.
    
    Comme reverse proxy SSO sous GPL on peut citer :
    
    - LemonLDAP, fortement utilisé par l'administration française : http://wiki.lemonldap.objectweb.org/xwiki/bin/view/Main/WebH(...)
    - LARPE, certifié Liberty Alliance : http://larpe.labs.libre-entreprise.org/
    - [^] # Re: OpenID
      
      Posté par anonyme512 le 18 juin 2007 à 16:22. Évalué à 1.
      
      Désolé pour le raccourci.
      Shibboleth, OpenID et Liberty Alliance (et MS Passport) répondent tous à la même problématique de gestion des identités. Il peuvent être utilisés comme mécanismes SSO avec passage de relais (donc sans machine en coupure et réécriture d'URL). Fonctionnellement c'est par contre comparable, même si il y a des différences.
      
      Shibboleth est OpenSource (Apache) et il existe des implémentations libres de Liberty Alliance (LASSO, Authentic).
      
      En France, le CRU a déployé une fédération Shibboleth, tandis que la recommandation de l'état va plutôt à Liberty Alliance. Ca tombe bien, les deux s(er)ont interopérables (SAML 2).
# PAM

Posté par Éric (site web personnel) le 17 juin 2007 à 20:23. Évalué à 3.

Je n'arrive pas à avoir beaucoup d'info à partir des liens mais est-ce que vous êtes sur que le PAM n'est pas le PAM habituel sous linux ? le "pluggable authentification module" ?

La boite a l'air de faire des modules PAM et vu l'utilisation de cette brique d'après le shéma du premier lien, je suis étonné de la définition PAM = Portal Access Manager

Dans le cas contraire je trouve malencontreuse l'utilisation de cet acronyme pour de l'authentification.
- [^] # Re: PAM
  
  Posté par anonyme512 le 18 juin 2007 à 08:07. Évalué à 3.
  
  Rien à voir avec Pluggable Authentication Module. Et oui, l'acronyme n'est peut être pas très heureux. C'est bien Portal Access Manager.
# CAS

Posté par psychoslave__ (site web personnel) le 18 juin 2007 à 14:48. Évalué à 2.

Quels sont les inconvénients/avantages sur un service SSO basé sur un serveur CAS (souvent utilisé conjointement à un serveur LDAP)?
- [^] # Re: CAS
  
  Posté par Stéphane Traumat (site web personnel) le 23 juin 2007 à 21:05. Évalué à 1.
  
  Nous utilisons CAS avec des applications Java (Spring / Acegi / JSF: Struts / GWT) et on est super content. Super beau produit !
  http://about.me/straumat
# Génial !

Posté par bahadz le 18 juin 2007 à 21:46. Évalué à -3.

Franchement, je suis bluffé : un SSO écrit en PERL, franchement, ils ne se foulent pas chez IDEALX ...
- [^] # Re: Génial !
  
  Posté par Maillequeule le 18 juin 2007 à 22:00. Évalué à 0.
  
  Parce que les résultats de tes travaux, ils sont en quoi ?
  - [^] # Re: Génial !
    
    Posté par bahadz le 19 juin 2007 à 10:52. Évalué à -1.
    
    C'est bien ce que je pensais, c'est un encore un TFE.
- [^] # Re: Génial !
  
  Posté par Raphaël SurcouF (site web personnel) le 18 juin 2007 à 23:34. Évalué à 2.
  
  Comme leur PKI en Perl (tiens, qu'est devenue IDX-PKI d'ailleurs ?), ou leur Console Web pour Samba et Nagios qui devait être l'avenir de Webmin : tout en Perl.
  Il n'y a bien que leur simulateur de charge qui soit écrit en Erlang.
  - [^] # Re: Génial !...en tout cas, on espère!
    
    Posté par Phil_S le 21 juin 2007 à 13:38. Évalué à 1.
    
    "tiens, qu'est devenue IDX-PKI d'ailleurs ?)"
    
    Elle a disparue !
    
    idx-pki s'appelle désormais OpenTRUST-pki
    (http://www.opentrust.com/content/view/119/111/lang,fr/) et n'est plus téléchargeable.
    
    Idealx ne répond plus aux mails relatif à ce produit, la version debian n'est jamais sortie et même la version stable (redHat7.3.... n'est plus dispo; heureusement que j'en ai gardé une au chaud.. ;-) )
    
    Dommage, car c'était vraiment un bon produit (à l'exception de l'obligation de laisser l'AC en ligne)...
    
    Dites les spécialistes de la GPL, c'est valide ça ? En supposant bien sûr que aucun contributeur n'ait distribué de patche (et/ou de fonctionnalités)
    
    Cordialement.
    - [^] # Re: Génial !...en tout cas, on espère!
      
      Posté par briaeros007 le 21 juin 2007 à 19:52. Évalué à 2.
      
      tu dois fournir les sources qu'a tes clients
      si personne a récupérer le soft, tu t'en fous
      
      si par contre tu as le soft qui est sous gpl (ce que tu semble avoir)
      tu peux leur envoyer un mail demandant les sources du produit.
      - [^] # Re: Génial !...en tout cas, on espère!
        
        Posté par Alex le 22 juin 2007 à 00:03. Évalué à 2.
        
        Vu que c'est en perl, tu as à prioris accès aux sources (quoiqu'avec perl, ca ressemble souvent à du code compilé... non non, ce n'est pas un troll ;) ). Il manque surement le système de build par contre.
        
        Puis, une fois distribuée au client, celui-ci peut le redistribuer à prioris
  - [^] # Re: Génial !
    
    Posté par Prae le 28 juin 2007 à 12:00. Évalué à 2.
    
    Le concepteur d'IDX-PKI a fait quelques trucs *kh0f* :
    http://search.cpan.org/~domq/Crypt-OpenSSL-CA-0.11/
- [^] # Re: Génial !
  
  Posté par Paul POULAIN (site web personnel, Mastodon) le 21 juin 2007 à 12:34. Évalué à 2.
  
  Ce serait bien d'en dire un peu plus : pourquoi ce "ils ne se foulent pas chez IDEALX" ? Hormis pour lancer un troll du genre "Perl c'est mal" et/ou "Perl ca tient pas la charge", je ne vois pas le sens de la remarque, désolé...
  - [^] # Re: Génial !
    
    Posté par Alex le 22 juin 2007 à 00:05. Évalué à 3.
    
    Au contraire, maintenir un truc pareil en perl, c'est un gage de talent ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.