読者です 読者をやめる 読者になる 読者になる

に参戦した

Web Identityとか

  • 勝原達也
Web Identity?
  • Subject/ Entity に対応する属性(形質、協議の属性、関係性)・・・
  • Identity Attributes
Web Identity Technology
  • 自分の情報を安全に流通させ、サイト同士の連携を行う
    • エンタープライズ
      • SAML, InformationCard, Liberty Alliance ID-FF
    • Web2.0
OpenID/ OAuth の歴史
  • 2007: OpenID 2.0
  • 2009 OAuth1.0 RevA
認証・認可
  • 認証(Authentication :AuthN)
    • 認証結果+属性情報を安全に流通させる
  • 認可(Authorization: AuthZ)
    • 認証に基づいて許可をする

OpenID

OpenIDでログイン
  • atnd
  • OpenID
    • ユーザが持ってるOpenIDの好きなものでログインできる
    • OPを選んで認証
    • OPが選択肢になければ「その他」を選択
なんでリストアップされてないOPがつかえるの?
  • OpenIDの認証フロー
  • OP特定:discovery
Discovery
  1. ひとまずhttp://www.nttid.jpにアクセス
    • X-XRDS-LocationヘッダにURL指定
    • URLにリクエストしてXRDSファイルを取得
    • 中にOpenIDの認証エンドポイントが記載されているので認証リクエストを送る
OpenIDログイン対応サービス(RP)もDiscoveryできる
  1. http://atnd.orgにユーザがアクセス
  2. X-XRDS-Locationヘッダ
  3. XRDSファイルがRPからユーザに対応
  4. ブラウザ側で自動検出
  1. RP Discovery
    • 世の中のRPの大半はRP Discoveryを実装していない
  • j.mp/zigorou
OpenID拡張仕様
  • 認証以外のことも拡張仕様を許可することで対応
  • 翻訳・教育ワーキンググループで翻訳済み
  • SREG Simple Registration Extension
  • AX Attribute Exchange
  • OAuth Hybrid
OpenID AX
  • OP - RP 間で属性情報を交換
  • 主な用途:RPがOPからユーザの属性を取得
    • 氏名、ニックネーム、メールアドレス、プロフィール画像 etc
    • RPは取得したい属性の属性タイプ識別子(URL)を認証リクエストに列挙
    • OPはユーザの同意のもと指定された属性を認証レスポンスに含める
      • 最近はYahoo! Japanが対応

Yahoo! Japan OpenID AX

  • 近藤裕介 @konfoo
  • Yahoo! Japan
Yahoo! JapanのOpenID
  • 2008/1 リリース(OpenID 2.0)
  • 2010/3 AX対応
OPサーバ構成
  • サーバ構成
    • open.login.yahooapis.jp x 3
    • open.login.yahoo.co.jp x 3
    • me.yahoo.co.jp x 2
      • 社内標準機を使ってる(特殊なものではない)
  • 属性情報
    • Y!プロフィールの専用DB(ソーシャルDB)
属性情報
  • axschema.org/XXX
  • Yahoo! Profile上で非公開にしている場合は、チェックボクスからも選択できないようになっている
AX Specについて
  • AssertionのURLが長すぎる!
    • 2000 over でPOSTに要切り替え
  • Fetch Requestのパラメタ
  • Store Requestは必要?
    • どこも実装してない
UI Extension (popup)
  • ポップアップウィンドウ単体で表示(MUST)
    • 別タブとかポップアップ禁止
  • サイズは450 x 500px (SHOULD)
  • popup画面からの導線に注意
  • 汎用的なUIが望ましい
    • Yahoo.com/ Facebook/ myspaceは同意画面がデフォルトで小さいサイズ
    • PC/ popup/ smart phone

最新RPランキング

  • 松岡
  • Yahoo
RP別Y! OpenID利用ランキング

下が上位

  • gameleom.jp
  • gilt.jp
  • fansak.info
  • smart.fm
  • lf.lievo.jp
    • atnd.orgはYahooの中では小さい
    • tenki.jpとかが使ったり
認証成功の内外比率
  • Yahoo! 内部:93.8%
  • Yahoo! 外部:6.2%
    • 外部サイトから結構きてるよね!
OpenIDとプライバシー
  • ID連携(OpenID) & 属性連携(AX)
  • 事例
    • smart.fm
OAuthでのサービス連携
  • OAuth & Attribute API & Wallet API & Point API
  • 事例
    • Oisixでの決済・ポイント連携 (OAuth)
属性情報の提供
  • 課題あります
  • 大切なユーザの属性情報を渡す先の外部サービスはどのように選ぶのか?
  • 課題
    • ISMS
    • プライバシーマーク
    • 企業イメージ
  • 内部での情報レベルを策定中
    • OIDF-Japanのつながりへ期待
    • まずは情報交換でも

OpenID入門〜NTT IDログインサービス紹介〜

  • 内山
  • NTT
www.nttid.jp
  • 2010/05/14サービスイン www.nttid.jp
  • 特徴
    • NTTグループのIDを束ねて統一的に使えるようにする
      • docomo + goo + OCN = 延7000万
    • セキュリティ面もケア
      • OpenIDのRPごとのだしワケ
      • RP Discovery必須 (RPの大半が未実装なのに…という意味で厳しい
        • NTTのサイトで警告メッセージがでる
      • SSL必須
I/F仕様書
  • www.nttid.jp/tech.html で取得!
対応のために
  • RP Discoveryをできるようにしてください!

楽天・OpenID

  • 星川
導入前の楽天
  • パートナー向け認証機能は楽天オリジナル
  • パートナーサイドでの導入も敷居が高い
  • Open仕様であるため、導入の敷居が下がった
  • 外部サイトにて楽天IDでのログインが可能になる、ユーザの利便性向上
歴史
  • 2008/10 楽天OpenID
  • 2009/05 AX
  • 2010/04 Hybrid
概要
  • ユーザの利便性向上に向けているなぁという感じ

[Tech night]rakuten

Smart.fm の利用状況

  • RPの視点から
  • @nov さん
  • OpenIDを使う理由 = ユーザ登録をシンプルに
    • AXも利用
      • Gravatarを利用 (mailアドレスに紐づく画像)
    • OAuth Hibridも利用
      • Google, Yahoo! US
      • 空いていて、それっぽいユーザ名をレコメンドしてくれる
      • Friend Recommend

OpenID TechNight #6 - OpenID on Smart.fm

OAuthについて

OAuthのはらむ危険
  • 認可の意味を把握せず利用される危険性
    • ユーザは読まない
  • 認可を行うことで、Twitterのフォロワー全員にダイレクトメッセージを送信するサービスが登場
OAuthの拡張
  • OpenID/ OAuth Hybrid
  • OAuth Proxy
    • User, Consumer, ServiceProvider, Gadgetの4者を相手にする
  • OAuth Consumer Request
  • xAuth

OpenID/ OAuth Hybrid

  • @nov さん
  • OpenIDのOPとOAuthのSPの両方が共通の場合
    • それぞれ使うと2回認可・認証しないといけないのでそういうのを避けたい
メリット/デメリット
  • メリット
    • UX
    • OpenIDを使ったユーザ登録直後にAPI連携が必要なときは重宝
  • デメリット
    • OAuth/ OpenIDのどちらかのバージョンが変わると?
    • 標準ライブラリでのサポートなし(少なくともRubyでは)

OpenID the next step

  • OpenID 2.0 Suits
    • Authentication 2.0
    • AX
    • PAPE 1.0
    • OAuth Hybrid 1. draft
    • CX 1.0 draft
    • UI
Artifcat Binding 1.0
  • OAuth 2.0 base
  • 携帯電話サポート
  • セキュリティ強化
  • 既存のOpenID/ OAuth LoA 1のみだがLoA4まで行ける
  • 実装が容易
  • OP/RP
  • OpenID v.Next
    • Discovery
      • Web Finger
    • Attribute
      • JSON based AX
    • Core
      • OAuth 2.0
    • AB + CX
  • OpenID Connect
    • by David Recordon