Le vénérable format LDAP devrait-il laisser la place à un concept mieux adapté à la gestion des identités ? C’est en tout cas une piste explorée par Martin Kuppinger dans un récent billet. Deux reproches principaux sont faits à LDAP dans le domaine de la gestion des identités : d’abord il oblige à une hiérarchie unique héritée de X.500. C’est certes un atout pour les opérateurs télécom qui ont initialement créé LDAP pour leurs propres besoin, mais ce n’est pas forcément l’organisation la mieux adaptée à la gestion des identités : comment gérer un objet appartenant à plusieurs hiérarchies indépendantes sans avoir à traiter d’épineux problèmes de copie et de synchronisation ?

Et puis LDAP centralise l’information : c’est un conteneur unique. Impossible d’avoir des morceaux du même enregistrement stockés dans des conteneurs de types et de localisation fondamentalement différents, par exemple. Et pourtant il faut bien reconnaître que plus l’on parle d’identité plus on perçoit cette dernière comme une suite d’attributs distincts et « géographiquement » épars plutôt que comme un bloc monolithique.

Face à ces constats Martin Kuppinger propose de jeter un oeil à system.identity, un projet sorti des laboratoires de Microsoft. Il s’agit de repenser la façon de stocker les informations liées aux identités en prenant en compte « l’éclatement » de l’information qui compose l’identité et sa propension à recouvrir différentes hiérarchies.

Il ne s’agit bien entendu pas pour autant de jeter LDAP avec l’eau du bain de la gestion des identités. Mais la question de son adaptation à l’évolution des besoins mérite tout de même d’être posée.