FAQ (fr)
Main Page (fr) > FAQ (English)
Cette page documente les questions fréquemment posées à propos de OpenID. Pour les questions posées dans la presse, cf. la FAQ de la presse.
Vous êtes invités à poser vos questions ici et dans les listes de diffusion.
Questions générales sur OpenID
Qu'est-ce que OpenID ?
OpenID est un système pour se connecter à de multiples sites Web avec une seule identité, permettant de prouver que vous êtes la même personne à travers plusieurs sites.
En quoi est-ce différent d'un service d'authentification unique centralisé (tel que Microsoft Passport) ?
Avec un système d'authentification unique centralisé, un seul service et en fin de compte souvent une seule entreprise contrôle le système. Si vous souhaitez en faire partie, vous devez être confiant dans ce service unique et l'entreprise associée, qu'ils n'abusent pas du pouvoir qui leur est accordé. OpenID est décentralisé, c'est-à-dire que quiconque peut devenir fournisseur sans avoir besoin de s'enregistrer ou d'obtenir la permission d'une quelconque organisation centrale.
L'avantage qui en découle est que vous êtes libre de sélectionner un fournisseur en qui vous avez confiance et qui correspond à vos besoins. Les fournisseurs OpenID publics sont en concurrence dans un marché libre pour offrir le meilleur service à leurs utilisateurs sans autorité de contrôle centrale. Si aucun fournisseur OpenID public ne convient, vous avez le loisir (avec quelques connaissances techniques) d'être votre propre fournisseur.
De plus, OpenID offre une caractéristique appelée délégation laquelle vous permet d'utiliser votre propre site Web comme identificateur OpenID tout en utilisant les services d'un fournisseur OpenID tiers. L'avantage est que vous êtes libre de changer de fournisseur OpenID quand vous le souhaitez, donc si vous découvrez un nouveau fournisseur offrant de meilleures caractéristiques, vous pouvez basculer vers celui-ci sans perdre de votre identificateur existant. La mise en place nécessite seulement de pouvoir ajouter un petit bout de code HTML dans la page que vous souhaitez utiliser comme identificateur.
Un hacker ne pourrait-il pas prendre le contrôle d'une base de données et voler les informations de quelqu'un pour tout faire ?
À la différence de nombreux systèmes à authentification unique (N.d.T. single sign-on) du passé, OpenID n'utilise pas de base de données centrale de tous les renseignements au sujet de tous les utilisateurs. En revanche, il est exact que chaque fournisseur distinct tient en quelque sorte une base de données d'informations à propos de ses utilisateurs. Il importe donc de choisir un fournisseur OpenID réputé pour héberger votre identité. Si vous n'êtes pas satisfait de services des fournisseurs publics, il est possible de devenir son propre fournisseur en utilisant les logiciels décrits ailleurs dans ce wiki.
À qui appartient OpenID ?
OpenID n'appartient à personne. C'est un standard et un protocole ouverts dont les spécifications sont disponibles maintenant. N'importe qui peut donc les mettre en œuvre sans avoir besoin de s'enregistrer ou d'obtenir la permission d'une entité centrale.
OpenID a été inventé par Brad Fitzpatrick et Six Apart, mais a été développé par beaucoup d'autres contributeurs y compris plusieurs entreprises dont certaines proposent des services de fournisseurs OpenID. Quoi qu'il en soit, vous êtes libre de choisir n'importe quel fournisseur ou d'être votre propre fournisseur.
Des travaux sont en cours actuellement pour former une organisation de la communauté ou une fondation OpenID. Cette fondation aura le rôle nécessaire de propriétaire et de protecteur de la propriété intellectuelle en relation avec OpenID, y compris ses noms de marques. Toujours est-il que le protocole restera libre et ouvert. Puisque la nature exacte de l'organisation OpenID est toujours en débat, cette section sera mise à jour ultérieurement pour des informations plus complètes.
26 septembre 2007 : Une nouvelle proposition des droits de propriété intellectuelle est ouverte aux commentaires immédiats. Cf. l'appel à commentaires .
Questions des utilisateurs potentiels
Pourquoi devrais-je avoir un identificateur OpenID ?
Une fois que vous avez un identificateur OpenID, qui se présente sous la forme d'une adresse Web ou adresse URL, vous pouvez ouvrir une session auprès de tout site acceptant les connexions OpenID sans créer de comptes séparés pour chaque site individuel. Beaucoup de sites acceptent déja les connexions OpenID, et ce nombre ne cesse d'augmenter chaque jour.
Dès lors que vous avez établi un identificateur OpenID, vous pouvez ouvrir une session sur deux sites ou plus avec le même identificateur, vous permettant de prouver à d'autres que vous êtes le même utilisateur. Vous n'aurez également plus besoin de créer un mot de passe séparé à chaque site exploitant OpenID, puisque votre unique fournisseur OpenID vérifie l'authentification à votre place.
Comment obtenir un identificateur OpenID ?
Un nombre croissant de sites ajoutent des services d'identification OpenID à côté de leurs dispositifs existants, ainsi il se peut que vous ayez déjà un identificateur OpenID sans le savoir. Tous les utilisateurs de LiveJournal, TypeKey, WikiTravel, GreatestJournal et Vox, parmi d'autres, ont déjà des identificateurs OpenID.
Il y a aussi plusieurs organisations qui fournissent des services OpenID dédiés plutôt que les regrouper avec des services existants. Ces fournisseurs OpenID publics fonctionnent indépendamment de toute autorité de contrôle centrale, et vous pouvez donc sélectionner un service qui satisfait à vos besoins. Votre identificateur sera toujours utilisable dans l'éventail de sites acceptant les connexions OpenID.
Est-ce qu'une connexion OpenID me protège des attaques par hameçonnage ?
Jusqu'à un certain point. Puisque vous donnez vos identifiant/mot de passe à un seul site, votre fournisseur OpenID, il devient plus difficile de berner l'utilisateur pour qu'il offre son mot de passe courant à un site légèrement moins familier. En outre, il existe des extensions de navigateurs tel que Ph-Off qui identifieront clairement si vous êtes bien sur la page d'authentification de votre fournisseur OpenID.
Dois-je avoir un blogue pour utiliser OpenID ?
Non. Bien que plusieurs fournisseurs OpenID offrent également des services de blogue, il en existe beaucoup qui fournissent seulement des services OpenID. Ce wiki contient une liste de fournisseurs OpenID majeurs. Pour le futur, on espère que certains sites populaires de réseautage personnel (N.d.T. social networking) offriront aussi des services OpenID.
Comment utiliser mon propre domaine comme identificateur OpenID ?
Toute adresse URL peut être un identificateur OpenID. Il est juste besoin d'ajouter quelques lignes dans la section <head> du document pour définir quel est le serveur de cet identificateur. Cf. la page sur la délégation pour des détails.
Si quelqu'un prend le contrôle de mon domaine, pourra-t-il accéder à mon compte ?
Oui. Puisque quiconque a le contrôle de votre domaine peut faire qu'il se résolve vers n'importe quel serveur, il aura effectivement le contrôle sur votre identificateur OpenID tout comme il aura accès à votre courrier entrant et la possibilité de placer un contenu arbitraire sur le site Web qui y est hébergé.
Il est important de s'assurer de la sécurité du domaine utilisé pour l'adresse URL de votre identificateur OpenID. Cela implique de choisir un registraire (N.d.T. registrar) et des services de noms de domaine réputés, et de s'assurer de la crédibilité de quiconque est à même de placer du contenu à l'adresse URL de votre identité. Vous devez aussi vous assurer que votre nom de domaine n'expire pas, ou si vous le laissez volontairement expirer, de supprimer toute information sensible dont le nouveau propriétaire pourrait prendre connaissance ou de clore les comptes associés à votre identificateur.
Ceux qui s'appuient sur des services tiers pour héberger leur adresse URL d'identificateur et des services associés n'ont pas à se préoccuper des points précédents, mais ils doivent s'assurer de sélectionner un fournisseur OpenID réputé.
Et si j'ai un compte sur un site auquel je ne veux pas être associé ?
Vous pouvez créer autant d'identificateurs OpenID indépendants que vous voulez. Si vous souhaitez utiliser un site sans que cette utilisation ne soit traçable jusqu'à votre identificateur normal, vous pouvez simplement créer un deuxième identificateur et l'utiliser. OpenID n'offre aucun moyen technique direct pour détecter que ces deux identificateurs sont liés, sinon bien sûr que les méthodes disponibles précédemment, telle que la journalisation des adresses IP, s'appliquent encore.
Quelques fournisseurs OpenID offrent la possibilité de générer automatiquement des identificateurs à usage unique pour un site donné, mais en utilisant un tel service, il faut savoir que le fournisseur OpenID aura un enregistrement interne de la relation entre les deux identificateurs, et vous devez donc vous assurer que vous puissiez confier cette information au fournisseur. En cas de doute, vous pouvez établir votre deuxième identificateur chez un fournisseur différent.
Puis-je utiliser mon adresse électronique ?
OpenID utilise des adresses URL (des adresses Web) comme identificateurs, pas des adresses électroniques (N.d.T. email addresses). Cela se révèle souvent avantageux parce qu'en donnant votre adresse électronique vous vous exposez à recevoir du courrier non sollicité. Que des services OpenID fournissent des identificateurs ressemblant à des adresses électroniques est possible, mais cela n'est pas recommandé à moins que l'adresse électronique réelle correspondant à l'identificateur ne représente le même utilisateur, pour éviter les confusions. Dans la plupart des cas, vous aurez vos services de courrier électronique chez un fournisseur différent de celui pour vos services OpenID, donc ce n'est pas possible.
Dans la plupart des cas, votre adresse URL d'identificateur livrée par votre fournisseur ressemblera à quelque chose comme http://username.provider.com/, que vous pouvez écrire username.provider.com lors d'une authentification. Si vous employez la délégation pour utiliser votre propre domaine comme identificateur, vous pourrez peut-être arranger votre identificateur pour qu'il devienne http://username@example.com/ (que vous pouvez écrire username@example.com), mais il est souvent plus facile d'utiliser juste http://username.example.com/ ou même http://example.com/ à la place.
Questions de sites susceptibles d'accepter des connexions OpenID
Si n'importe qui peut créer un identificateur OpenID, alors comment se fier aux utilisateurs OpenID ?
Un identificateur OpenID n'est que cela : un identificateur. C'est juste le nom d'utilisateur que peut-être vous utilisez déjà sur votre site Web, mais il est utilisable à travers le Web au lieu d'être spécifique à votre site. On peut être confiant dans un identificateur OpenID juste comme dans un nom d'utilisateur local, si on le traite correctement.
Lorsque les utilisateurs ouvrent un compte (N.d.T. sign up) sur votre site, est-ce que vous leur demandez de valider une adresse électronique et de passer un test CAPTCHA ? Vous pouvez aussi le faire avec des identités OpenID si vous voulez ! La meilleure façon de le faire est de obtenir ces informations de l'utilisateur au travers de votre site la première fois où vous voyez l'ouverture de session d'un identificateur particulier. Si cela est gênant pour une raison quelconque, vous pouvez également adapter votre page d'ouverture de compte afin que l'utilisateur puisse entrer un identificateur OpenID au lieu d'un nom d'utilisateur/mot de passe. Vous n'avez pas du tout besoin de changer les étapes restantes d'ouverture du compte, et vous pouvez donc conduire l'utilisateur par autant de passages que vous voulez !
Est-ce qu'accepter les connexions OpenID me protège du spam ?
Le protocole OpenID Authentication vous permet simplement de valider le fait qu'un utilisateur est autorisé à emprunter une adresse URL donnée pour se connecter. Rien n'est dit à propos de cet utilisateur. Cela signifie qu'OpenID Authentication seul ne fait rien pour améliorer la situation du spam, mais puisqu'OpenID fournit une identité, il est possible de construire une réputation et des services de « vérification humaine » sur des fondations OpenID.
Par exemple, vous pourriez utiliser un test CAPTCHA conjointement à une connexion OpenID pour établir que l'utilisateur distant est humain. Cette vérification effectuée, vous pouvez stocker le fait du succès du test CAPTCHA pour éviter de tester à nouveau ce même utilisateur à l'avenir. OpenID fournit également un descripteur (N.d.T. handle) authentifié pour bannir les utilisateurs indésirables ou mettre en liste blanche les utilisateurs vérifiés. Avec l'amélioration de la mise en œuvre d'OpenID dans les blogues et les logiciels de discussion, on espère que de tels dispositifs deviennent facilement disponibles.
Comment intéger OpenID dans mon projet ?
Des bibliothèques utilisant le protocole sont disponibles dans beaucoup de langages.
Relations avec d'autres technologies
En quoi OpenID est-il apparenté à CardSpace ?
A remplir.
En quoi OpenID est-il apparenté à SXIP et DIX ?
À remplir.
Questions spécifiques au wiki
Comment créer un nom d'utilisateur ?
Ce wiki utilise OpenID pour gérer les comptes et les connexions. Vous pouvez obtenir un identificateur OpenID auprès de MyOpenID ou ClaimID, tout comme d'autres fournisseurs d'identités.
