La première génération : le désordre
Dans l'histoire des systèmes d'information, la multiplication des applications métiers conçues de manière autonome a engendré des référentiels utilisateurs disparates et hétérogènes sur le plan technologique.
Les données utilisateurs se sont ainsi vues stockées sous divers formats : fichiers plats, bases de données relationnelles, etc. La synchronisation de ces référentiels est vite devenue une problématique sensible, résolue de façon partielle par des appels de batch.

La seconde génération : LDAP, un référentiel spécialisé
A partir de 1996, les annuaires LDAP (Lightweight Directory Access Protocol) ont proposé une technologie dédiée à la gestion d'identité : une base de données hiérarchique adaptée à la description d'organisation d'entreprise, une technologie optimisée pour des recherches concurrentes sur d'immenses bases d'utilisateurs, et surtout un standard capable de prendre en charge les authentifications et habilitations de toutes les applications du SI. LDAP a ainsi permis d'envisager la possibilité d'un référentiel utilisateurs unique et centralisé.

Dans la pratique, les grandes entreprises gèrent jusqu'à quatre annuaires différents :
- La base utilisateurs de l'ERP ;
- L'annuaire du parc informatique ;
- L'annuaire de la messagerie ;
- L'annuaire LDAP des applications Web.

Diverses raisons expliquent l'échec de la véritable centralisation : d'une part, les DRH gèrent des données confidentielles sur les collaborateurs qu'elles ne désirent pas partager avec les autres applications. D'autre part, les annuaires de gestion de parc et de messagerie ne sont pas suffisamment souples pour fusionner avec les annuaires applicatifs.

Le besoin de synchronisation subsiste donc. Il est résolu par le méta-annuaire, un outil d'EAI orienté données et spécialiste des référentiels utilisateurs. Le méta-annuaire apporte une solution de contournement à l'annuaire central, cependant il a les mêmes limites que les outils "d'EAI lourd" : il est "déresponsabilisant" et "générateur d'entropie". En effet, il encourage le désordre par la multiplication des référentiels.

Le protocole LDAP constitue un middleware simple d'utilisation pour gérer authentification et habilitation. Pourtant, les grandes entreprises décident souvent de ne pas l'implémenter directement dans les applications. Elles préfèrent proposer une couche d'abstraction spécifique à leurs intégrateurs afin de :
- Gérer des pools de connexion ;
- Gérer un mapping objet / hiérarchique ;
- Gérer une politique des mots de passe ;
- Créer un point de contrôle de sécurité.
Cette tendance de fond fait apparaître un besoin de services autour d'une technologie LDAP, trop axée sur les données.

La troisième génération : une approche service avec le projet Liberty
D'après la plupart des analystes, la tendance de l'intégration d'applications est d'abandonner une approche "EAI lourd" pour un "EAI léger" basé sur les Web Services. De la même manière, les technologies de gestion d'identité tendent indubitablement vers une intégration plus légère. Le projet Liberty, lancé par un vaste consortium d'acteurs de l'informatique, va dans ce sens et est extrêmement prometteur.

Liberty propose de standardiser l'invocation des services d'identité en définissant un protocole basé sur les standards et indépendant des langages de programmations. Il définit une infrastructure basée sur des fournisseurs de services (services provider) et des fournisseurs d'identité (identity provider) :
- Les fournisseurs de services sont les applications nécessitant une authentification, donc consommatrices de données utilisateurs ;
- Les fournisseurs d'identité délivrent ces informations utilisateurs ;
- Ces acteurs sont reliés entre eux par des "cercles de confiance" définissant des accords de coopération.

Les utilisateurs peuvent utiliser plusieurs fournisseurs d'identité (par exemple un fournisseur pour accéder à des applications avec un profil personnel, et un autre avec un profil professionnel). Lorsqu'ils accèdent à une application, ils peuvent donc choisir de se présenter sous un profil ou un autre.

La grande innovation des fournisseurs d'identité est d'offrir, en plus de l'authentification, une série de services autour du référentiel utilisateurs :
- Un service de Single Sign On, permettant la propagation des sessions utilisateurs entre fournisseurs de services ;
- Un service de Global Logout, permettant de mettre fin à l'ensemble des sessions chez les fournisseurs de services ;
- Un service de profils utilisateurs, permettant de compartimenter les données utilisateurs et d'en réglementer l'accès ;
- Un service de pseudonymes, permettant à l'utilisateur de masquer son identité.

Le projet Liberty décrit ainsi une série de services d'identité user-centric, grâce auxquels leur usager peut gérer l'accès à ses données personnelles. Il propose donc une solution extraordinairement mature aux enjeux de la gestion d'identité. Il solutionne les insuffisances de LDAP en terme de services.

Sur le plan technique, la norme décrit des mécanismes d'échange entre fournisseurs d'identité et fournisseurs de services :
- Une solution à base de redirections HTTP, qui normalise les mécanismes implémentés dans les moteurs de SSO propriétaires ;
- Une solution basée sur SOAP, qui inscrit le projet dans une approche EAI léger.

Le projet Liberty met donc fin aux besoins de synchronisation en permettant une intégration des fournisseurs d'identité dans une démarche d'urbanisation globale.
Il apporte une réponse très pertinente aux problématiques récurrentes de gestion des référentiels utilisateurs.

Les innovations qu'apporte le projet Liberty dans le domaine de la gestion d'identité sont comparables à l'apport des Web Services dans le domaine de l'intégration inter-applicative.
Si ce standard est encore en cours de finalisation, il commence à être implémenté par les grands éditeurs (Sun, Novell, Critical Path, etc.) et expérimenté par de grandes entreprises comme France Télécom. Il deviendra incontournable dans les années à venir.