Quelle que soit la norme utilisée pour l'authentification unique, l'infrastructure sécurisée fait intervenir, entre le client et le serveur de service, un serveur d'authentification où est géré un identifiant ( www.siteweb.pays/ ou .siteweb.pays par exemple pour une authentification via un serveur OpenID).
Serveur d'authentification/identification
Même si l'authentification et l'identification sont deux choses différentes, il faut que ce serveur soit mis en place par un organisme lié aux transactions monétaires (particulier acheteur, professionnel). Aucune des sociétés de services internet vivant exclusivement de la publicité (payé par des professionnels) ne sont actuellement capables de vérifier et de garantir les données saisies par les internautes ; de plus chacune a développé son propre système d'authentification :
L'état ou un organisme sous son autorité, voire une société commerciale offrant un service réel (connexion internet/téléphonie/site de commerce), sont les seuls à pouvoir garantir ces deux paramètres.
Un standard Web pourrait venir d'une des trois implémentations classées par ordre d'ancienneté.
- Liberty Alliance implémenté par IBM dans leur produit et utilisé par Sun et Novell utilise que des jetons SAML.
- WS-Federation implémenté par Microsoft dans ces produits pour contrer Liberty. Geneva est le futur et proposera des jetons Kerberos et SAML.
- OpenID implémenté/utilisé par les sociétés clés de l'Internet (Yahoo!, Myspace, Google, Microsoft...)
Un autre standard pourrait être un système de gestion d'identité local
- Sxipper: compatible OpenID et Firefox, il fonctionne sous Linux, Windows et MacOS.
- Windows CardSpace: compatible Microsoft.
Le problème des serveurs d'authentification est que lors de la saisie des identifiants et autre données personnelles, les services web gratuits ou les sites de commerces doivent laisser le choix du prestataire d'authentification, en sachant que de nombreux internautes arrêtent toute transaction face à la difficulté de remplir un formulaire.
Délégation d'authentification
Ils évitent de se connecter en mode visuel grâce à l'utilisation d'API. Cette API permet à un service (« role consumer ») d'utiliser un autre service (« service provider ») utilisant un identifiant sans avoir à divulguer de couple identifiant/mot de passe. L'utilisateur tiers a ainsi accès de façon indirecte selon son groupe et son nom à un ensemble de fonctionnalités/données restreintes éventuellement par les droits d'accès dont il dispose.
Ainsi on trouve comme protocoles de délégation :
- BBAuth (Browser-Based Authentication) mis en place par Yahoo!
- AuthSub mis en place par Google
- OpenAuth mis en place par AOL
- FlickrAuth mis en place par Flickr
- Facebook Auth mis en place par Facebook
- Windows Live ID mis en place par Microsoft
- OAuth en fonctionnant côté bureau et internet.
- EGO mis en place par Symeos
Les sociétés souhaitant ce standard (Google, Yahoo, MySpace) se sont regroupées dans la fondation OpenSocial, suivies par des sociétés comme LinkedIn, Bebo, PLaxo. Seul Facebook fait cavalier seul sans doute du fait que FaceBook définit aussi un format standard d’échange de données personnelles sous le nom de FBML pour Facebook Markup Language.
Stockage
Les données sont stockées dans des bases d'utilisateurs variées : LDAP V3 (dont Active Directory), Postgresql, MySQL.
Proxy
Serveur faisant le lien entre un fournisseur de services et d'identités.
Le service compatible
Il permet en utilisant un identifiant unique d'éviter la saisie dans un formulaire d'informations nécessaire à créer un compte.
Protocoles
Différents protocoles ont été proposés pour échanger des informations liées à la sécurité, et notamment pour la mise en œuvre de systèmes d'authentification unique dans un cadre de sites indépendants les uns des autres :
- SAML a été développé par le consortium OASIS et est un protocole ouvert ;
- WS-Federation, proposé par Microsoft, constitue une solution concurrente;
- NuFW, basé sur des logiciels libres et qui permet de mettre en place une solution indépendante du protocole.