Pour les spécialistes des projets de méta-annuaires, au sujet de la problématique de l’identifiant unique pour établir la jointure entre des bases nominatives, en réglant la question de la permanence et de l’unicité de l’identifiant, voici quelques ressources utiles :

• une vulgarisation, en français, des fonctions de hachage
• comment l’université d’Oxford a traité cette problématique pour le cas de son système d’information médical
• de la modélisation probabiliste des risques de collision dans la génération d’identifiants uniques par des algorithmes de hachage
• du calcul des risques de collision de hash selon le théorème des anniversaires
• un algorithme avancé pour obtenir des hachages de longueur arbitraire à partir de messages de longueur quelconque
• une piste qui mène à l’INSERM et au RNSP pour obtenir des contacts compétents en France sur ces problématiques
• et une autre piste, peut-être moins spécialisée, mais suggérant des compétences en jointure de bases individuelles, par le biais de l’université de Rennes

Ce projet, qui traite de « communautés d’intérêt », propose une architecture de services d’annuaires s’appuyant sur des standards ouverts tels que, bien entendu, LDAP mais aussi RDF. La proposition mentionne RSS, le Dublin Core, et un vocabulaire de gestion de droits : INDECS. Ce que cette architecture cherche à réaliser, c’est un dispositif d’annuaires dans lequel chaque communauté d’intérêt pourrait disposer d’une instance LDAP dédiée contenant toutes les informations dont elle a besoin (sans requérir l’usage de « referrals » LDAP pour renvoyer d’un annuaire LDAP à l’autre). Le challenge consiste notamment à limiter et donc filtrer les entrées qui devraient être présentes dans une instance LDAP de communauté tout en respectant les contraintes normatives de LDAP.
Cette proposition mentionne une méthodologie de design d’annuaire établie par Elmasri et Navathe (« Fundamentals of Database Systems », Third Edition, 2000, 955 pages).
La proposition prévoit la présence, parmi les attributs LDAP, d’un attribut particulier consistant en un morceau de XML destiné à contenir des attributs supplémentaires sans requérir de modification du design LDAP. Il s’agit d’une sorte de tampon permettant à l’utilisateur d’ajouter des attributs supplémentaires à sa convenance. Et lorsque certains de ceux-ci deviennent d’un usage courant, le concepteur LDAP pourra les faire figurer dans le schéma LDAP comme attribut LDAP à part entière de manière à bénéficier des fonctionnalités et caractéristiques de performance associées à ce statut. L’architecture proposée suppose l’implémentation d’interfaces utilisateurs capables non seulement de traiter des données LDAP mais aussi d’inclure de manière transparente les extensions XML présentes dans l’annuaire.
La proposition inclut quelques considérations quant aux règles de gestion de l’entrée d’un individu dans une communauté d’intérêt et quant à la constitution des communautés elles-mêmes.

La nouvelle version de Samba (v.3.0.0) supporte Active Directory. Le logiciel Samba permet d’utiliser des serveurs linux en tant que serveurs de fichiers et serveurs d’impression au sein d’une infrastructure d’authentification Kerberos implémentée avec le logiciel ActiveDirectory de Microsoft.

De manière connexe aux problématiques d’annuaires se trouve celles de la gestion des contrôles d’accès et donc de l’authentification, de la gestion des droits d’accès à base de rôles (RBAC = Role Based Access Control) et de la gestion de sessions. Une publication auprès de l’IEEE donne un exemple d’approche globale de ces problématiques et esquisse la conception d’un système de gestion de la sécurité pour le Web faisant abstraction, par exemple, des technologies d’authentification sous-jacentes (Kerberos, SSL + X509, LDAPS, NTLM, NIS, …).

Windows (et les services NOS associés : partage de fichiers et d’impression notamment) n’a pas besoin d’Active Directory comme serveur d’authentification et, a fortiori, comme annuaire associé. C’est ce que je comprends lorsque je lis ça, ça, ça et ça.

SUN compare son produit d’annuaire « Sun One Directory Server » au produit concurrent
« Microsoft Active Directory » (AD) : AD n’utilise pas un identifiant standard pour désigner
les adresses de messagerie, AD n’utilise pas le standard inetOrgPerson (RFC 2798) pour
représenter les personnes, AD ne permet l’existence que d’un seul schéma par déploiement (un
schéma par « forêt ») et AD impose l’utilisation d’une API propriétaire (et non d’une API LDAP
standard) pour écrire la valeur du SPN (Service Principal Name) d’un objet dans l’annuaire.
De ce fait, AD n’offre pas les garanties d’interopérabilité suffisante pour les entreprises
souhaitant se doter de services d’annuaire LDAP.

Pour le Gartner Group, en août 2002, le leader du marché des méta-annuaires est Novell. Les produits de Siemens, Critical Path et Sun sont qualifiés de visionnaires mais ces acteurs accuseraient un retrait dans leur capacité de mise en oeuvre de méta-annuaires. Au contraire, Microsoft disposerait de moyens remarquables mais d’une vision nettement moins cohérente.

Le meilleur des techniques annuaires (LDAP + DSML) et le meilleur des techniques de gestion de métadonnées (RDF + DAML) font de bons ingrédient pour une action de recherche de la DARPA, agence de recherche du ministère américain de la défense à l’origine des protocoles de communication de l’Internet. Une communication plus complète, sur laquelle je reviendrai plus tard, donne des exemples concrets d’application du Web Sémantique.

En pratique, comment tirer partie des qualités des annuaires LDAP (distribution, performance en lecture) pour construire des bases de connaissance exploitables (raisonnements à base de moteurs d’inférence, intégration dans le Web sémantique) ? Cet article de la Web developer’s virtual library donne une bonne piste : utiliser DSML pour exprimer les données LDAP en XML. L’ingrédient suivant est une transformation XLST du résultat obtenu vers une sérialisation RDF puis le chargement dans un framework RDF de type RedFoot.

Le projet de recherche iMesh dans le cadre du programme Européen Desire étudie l’exploitation des techniques d’annuaire LDAP pour la création et la gestion de bases de connaissance et notamment la création de moteurs de recherche. A mon sens, nous devons préparer, à travers le projet annuaire groupe, le mariage des technos d’annuaire LDAP et de codification des méta-données via RDF. La finalité en est de produire non pas des annuaires de personnes seulement mais des annuaires de concepts métier auxquels pourraient être attachés tout document, mail ou donnée d’une application ebusiness. Il s’agit d’une orientation pouvant donner lieu à des applications significatives à l’échéance de 2 ou 3 ans.

Dans l’article « Role-based access control on a roll« , le magazine NetworkWorldFusion évoque la problématique des profils d’habilitation pour la gestion des contrôles d’accès ainsi que les solutions de e-provisionning Business Layers et Access 360.

Cet article de Réseaux & Télécoms présente l’importance des annuaires d’entreprise comme éléments centraux du système d’information.

Calendra lève des fonds pour conquérir les Etats-Unis. C’est ce que relate cet article du Journal du Net. Intéressant, le positionnement de Calendra avec sa future version intégrant un workflow : ni SSO ni PKI mais un positionnement croissant sur l’eprovisionning. Attendons de voir la réaction des premiers arrivés sur ce marché : Business Layers et Access360…