<div dir="ltr">I should give a good warning for any implementation: make the user's ID their local identifier and have usernames delegate to their identifier. Otherwise you run into a security issue with renaming users: fallenpegasus requests a rename, then a new user takes fallenpegasus, thereby stealing their identity on sites registered with <a href="https://id.openstack.org/~fallenpegasus">https://id.openstack.org/~fallenpegasus</a>.<div>

<br></div><div>It's also not a bad idea to version the openid urls, like:</div><div><br></div><div><a href="https://id.openstack.org/v1/">https://id.openstack.org/v1/</a><id><br></div><div><br></div><div>where</div>

<div><br></div><div><a href="https://id.openstack.org/~fallenpegasus">https://id.openstack.org/~fallenpegasus</a> -> <a href="https://id.openstack.org/v1/1">https://id.openstack.org/v1/1</a><br></div><div><br></div><div>

assuming ~fallenpegasus's ID is 1.</div><div><br></div><div>This makes it possible to change URL schemes in the future while still keeping backwards compatibility for older names.</div></div><div class="gmail_extra">
<br>
<br><div class="gmail_quote">On Thu, Sep 26, 2013 at 2:40 PM, Atwood, Mark <span dir="ltr"><<a href="mailto:mark.atwood@hp.com" target="_blank">mark.atwood@hp.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hmm, ok.  I am painfully about convinced that a centralized auth solution is<br>
the right choice for us.<br>
<br>
While I'm wishing for a pony:<br>
<br>
First of all and most of all, I want the whole thing to be open source, and<br>
managed via the OpenStack infra review process, just like the rest of the<br>
stuff managed by Monty's team.<br>
<br>
I want it to have a web UI with a URL like<br>
<a href="https://id.openstack.org/~fallenpegasus" target="_blank">https://id.openstack.org/~fallenpegasus</a> so I can see someone's<br>
 name,<br>
 email addresses,<br>
 gravitar photograph,<br>
 when did they join the foundation,<br>
 are they (board, TC, PTL, Core (of which teams)) and since when,<br>
 project participation history,<br>
 IRC handles,<br>
 XMPP ids,<br>
 PGP key fingerprints,<br>
 social media URLs,<br>
 Launchpad id,<br>
 GitHub id,<br>
 and Ohloh account.<br>
<br>
I want it to have, via some API, all the employer history tracking that is<br>
currently contained and duplicated in various data files in the gitdm project<br>
and stackalytics project.<br>
<br>
I want it to do LDAP, vCard, and PoCo, and make all that data I wished for the<br>
past few paragraphs available over those APIs.<br>
<br>
I want it to do OpenID and OpenID Connect (for the web apps),  and a good<br>
backend to SASL (for the non-web apps).<br>
<br>
And I want it to support standard OATH TOTP 2-factor auth.<br>
<br>
AND<br>
<br>
And I want world peace.<br>
<br>
:)<br>
<br>
..m<br>
<br>
Mark Atwood <<a href="mailto:mark.atwood@hp.com">mark.atwood@hp.com</a>><br>
Director of Open Source Engagement for HP Cloud Services<br>
M <a href="tel:%2B1-206-473-7118" value="+12064737118">+1-206-473-7118</a><br>
<br>
<br>
> -----Original Message-----<br>
> From: Jeremy Stanley [mailto:<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>]<br>
> Sent: Wednesday, September 25, 2013 7:20 PM<br>
> To: <a href="mailto:openstack-infra@lists.openstack.org">openstack-infra@lists.openstack.org</a><br>
> Subject: Re: [OpenStack-Infra] On being an OpenID consumer instead of an<br>
> OpenID<br>
> producer.<br>
><br>
> On 2013-09-24 16:39:44 -0700 (-0700), Ryan Lane wrote:<br>
> [...]<br>
> > If every application is provider agnostic each one of them will have<br>
> > their own OpenID consumer interface. This means it's necessary to make<br>
> > all of them look the same, which requires modifying a lot of<br>
> > applications. Adding different auth mechanisms (like persona) means<br>
> > adding it to every single application, too.<br>
> [...]<br>
><br>
> This reminds me of yet another point in favor of centralization. We want to<br>
> be able to<br>
> correlate information between a user's account in various distributed<br>
> systems where<br>
> there is currently no cross-system index mapping them to one another. If all<br>
> of them use<br>
> a common OpenID provider then we can key on that, but if they're<br>
> provider-agnostic<br>
> then at least some subset of users will authenticate to systems with more<br>
> than one<br>
> (potentially to different systems with different providers).<br>
><br>
> Also not mentioned yet in these threads, but one the reasons it was<br>
> suggested to run<br>
> our own provider is that we have some services which are not "Web apps" (so<br>
> not well-<br>
> suited to OpenID), and we'd like to be able to tie other auth protocols into<br>
> the same<br>
> backend eventually to support those systems as well.<br>
<span class="HOEnZb"><font color="#888888">> --<br>
> Jeremy Stanley<br>
><br>
> _______________________________________________<br>
> OpenStack-Infra mailing list<br>
> <a href="mailto:OpenStack-Infra@lists.openstack.org">OpenStack-Infra@lists.openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-infra" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-infra</a><br>
</font></span><br>_______________________________________________<br>
OpenStack-Infra mailing list<br>
<a href="mailto:OpenStack-Infra@lists.openstack.org">OpenStack-Infra@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-infra" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-infra</a><br>
<br></blockquote></div><br></div>