いますぐ使えるOpenID

第6回 設計・運用の観点から考えるOpenIDの課題

この記事を読むのに必要な時間:およそ 3 分

OpenID Providerのサービス停止に備える

利用者やRPにとってOpenIDを使ってログインするということは,認証をOPに任せることになります。 OpenIDが普及しつつある現状では,これからも新規にOPを始めるところが増えていきます。 そうすると,⁠これまでは○○サービスでログインしていたけど,これからは××サービスでログインしたい」という要望もでてくるでしょう。

さらに大きいのは,OPがサービスを一時的・恒久的に停止した場合に,RPへもログインできなくなるという問題です。 そこで,パスワード認証の場合に利用者がパスワードを変更できるように,OpenID認証でも利用者がOPを変更できるようにすることが考えられます図3⁠。

図3 複数のOPによるOpenIDログイン

図3 複数のOPによるOpenIDログイン

利用者はRPローカルのIDと,複数のOPのIDを結びつけることとなります。 複数のOPでログイン可能であれば,一つのOPがサービスを停止しても他のOPでログインすることで,RPのサービスを継続して利用できます。

また,連載の第4回で作成したように,OpenID認証とあわせてRP個別のパスワード認証機能を併用する場合もあります。 この場合は,パスワード認証を利用するユーザがOpenID認証に切り替えたり,逆にOpenID認証を利用するユーザがパスワード認証に切り替えられると,より利便性が向上します。

利用者がOpenIDアカウントを忘れた場合への対応

通常のパスワード認証で最も多い問い合わせは,利用者が自分のIDやパスワードを忘れることでしょう。 同じようにOpenIDでも,利用者がOpenIDアカウント名を忘れる可能性があります。 ⁠○○でログイン」ボタンのように,OPのドメイン名を選択させる場合は忘れることは少ないでしょうが,OpenIDのアカウント名をそのまま入力させる場合は利用者がアカウント名を忘れることを想定しておいた方がよいでしょう。

前述のように複数のOPを登録できるようにすることでアカウント名を忘れるリスクは減ります。 また,利用者のメールアドレスを登録するようなサービスであれば,そのメールアドレス宛にOpenIDアカウント名を送るリマインダ機能を用意することも考えられます。 パスワード認証の場合はパスワード変更用のURLをメールに記載しておくことになりますが,OpenID認証の場合はアカウント名を送るだけですので,より安全と言えます。

ただし,利用者のメールアドレスをいつ登録してもらうかは,検討の余地があります。 パスワード認証の場合はユーザ登録時にメールアドレスの到達確認を行うことが多いですが,OpenID認証で同じような到達確認を行うと,利用者は「OpenIDでのログイン」「メールの到達確認」の2段階の登録手順を踏むこととなり,余計に煩雑な印象を与えてしまう可能性があります。 連載の第3回でご紹介したSREGのように,OPからRPへメールアドレスを通知するような仕組みが普及すれば,この状況は変わるかもしれません。 それまでは,必要に応じてRPへ個別にメールアドレスを登録してもらう仕組みが必要でしょう。

著者プロフィール

松岡浩平(まつおかこうへい)

NTTコムウェア株式会社にて,オープンソースを活用した認証システムの開発を担当しています。ここ2年は,情報セキュリティ大学院大学に通学しながら,OpenIDを使った認証システムについて研究していました。