レポート

OpenID Tech Night Vol.6 ~OAuth,AXからOAuth HybridまでWeb Identity技術一挙紹介~

この記事を読むのに必要な時間:およそ 3 分

2010年5月28日,株式会社野村総合研究所にて,OpenID ファウンデーション・ジャパン主催のOpenID Tech Night vol.6が開催されました。本稿では,本イベントのレポートをお届けします。

はじめに

モデレータの株式会社野村総合研究所 勝原さんから,「はじめに」と題して,もはやイベントの恒例となった「Digital Identityとは」という話がありました。

Web Identity Technorogyを「インターネット上で「じぶん情報」を安全に流通させ,サイト同士の連携を行うためのテクノロジー」であると定義し,以前からエンタープライズ向けで利用されているSAMLのようなプロトコルに比べ比較的簡単に実装できるWeb2.0的な認証/認可のしくみとしてOpenID/OAuthが紹介されました。

「OpenID=認証」,「OAuth=認可」と単純に語られることがありますが,勝原さんはこれらを認証手段そのものを規定したものではなく,OpenIDならば認証結果の流通,OAuthならばアクセス権の委譲であると分かりやすく説明されていました。

OpenID Tech Night Vol.6 #1

OpenID

セレゴ・ジャパン株式会社 真武さんによる,OpenIDについてのセッションです。OpenIDをユーザー認証に利用しているATNDを例にあげ,OpenIDの特徴の一つである「どのOpenID Providerを利用するかをユーザーが自由に選択可能(ユーザーセントリック)」であるしくみと,それを支えるDiscoveryのフローについて,ATNDのログイン画面の一覧にないNTT IDのOpenIDを使う場合の実際の処理を詳細に解説されました。

RP側がOPのエンドポイントURLを取得するためのDiscoveryに対し,OP側がRPのreturn_toエンドポイントを確認するRP Discoveryというものがあります。このRP Discoveryに対応していないRPが多いこと,その結果の扱い方もOPによって異なることなど,仕様ドキュメントを読むだけでは分からない現状を知ることができました。

OpenID Tech Night Vol.6 #2

Yahoo! JAPAN OpenID

ヤフー株式会社 近藤さんのセッションです。Yahoo! JAPANは2008年1月にOpenID Auth 2.0の仕様にのっとり最初のリリースを行い,今年の3月にAX,UI Extension(popup)という拡張仕様に対応されていることに言及し,そのAX,UI Extensionの説明と実装方法,さらに実装しながら感じたことが説明されました。

AXのRequest/Assertionのサイズが増大する問題,UI Extensionのウィンドウ制御の話,サーバ構成などの隠れ話(?)など,拡張仕様を実装したOPならではの工夫や苦労が語られました。このような情報が共有できることは素晴らしいものです。

OpenID Tech Night Vol.6 #3

続いて,同じくヤフー株式会社 松岡さんのセッションが行われました。序盤に言及された,最新RPランキングと題して,タグクラウド表現されたスライドが印象的でした。また,OpenID/OAuthを使った外部サービスとの連携事例についても説明されていました。

Yahoo! JAPANではOAuth+APIでもユーザー属性を提供しているため,データの外部提供に関するポリシーなどを考える必要があることに触れていました。現在は独自のルールに沿って判断しているようですが,OpenID ファウンデーション ジャパンのWG活動等を通してこれらの共通的なガイドラインを決めていきたいという姿勢は素晴らしいと感じました。

OpenID Tech Night Vol.6 #4

NTTID ログインサービス紹介

NTTコミュニケーションズ 内山さんのセッションです。2010年5月14日にサービスインした,NTT IDについて紹介されました。「NTTグループの約7000万IDを束ねるしくみ」という他のOPとは異なるアプローチを取られていること,ポータルサイトgooへのNTT IDのログインフローなどが説明されました。また,NTTグループとしてセキュリティ面のケアにも重点をおいており,RPごとのOpenIDの出しわけやRP Discovery必須対応,SSL必須対応についても言及されていました。

ソーシャルプロフィール上の公開情報を出していって自社のIDの価値を高めていくというYahoo! JAPANに対して,名寄せ対策によりRP(realm)ごとに渡すOpenID文字列を変えるNTT IDというように,同じOpenIDのOPといっても「こう使われたい」という設計思想によって実装が変わることはとても興味深く感じました。

ベースのID数が多いこと,NTTグループのイメージを活かして,今後どれぐらいの勢いでRPを伸ばしていくのかについて注目すべきだと思います。

OpenID Tech Night Vol.6 #5

資料のスライドはこちら

著者プロフィール

伊東諒(いとうりょう)

ヤフー株式会社所属。

ユーザー認証プラットフォーム,不正利用対策機能,外部サービスとの連携システムなどを担当している。

twitter:http://twitter.com/ritou

コメント

コメントの記入