Web Identity?

• Subject/ Entity に対応する属性(形質、協議の属性、関係性)・・・
• Identity Attributes

Web Identity Technology

• 自分の情報を安全に流通させ、サイト同士の連携を行う
  • エンタープライズ
    • SAML, InformationCard, Liberty Alliance ID-FF
  • Web2.0
    • OpenID, OAuth

OpenID/ OAuth の歴史

• 2007: OpenID 2.0
• 2009 OAuth1.0 RevA

認証・認可

• 認証(Authentication :AuthN)
  • 認証結果＋属性情報を安全に流通させる
• 認可(Authorization: AuthZ)
  • 認証に基づいて許可をする

OpenIDでログイン

• atnd
• OpenID
  • ユーザが持ってるOpenIDの好きなものでログインできる
  • OPを選んで認証
  • OPが選択肢になければ「その他」を選択

なんでリストアップされてないOPがつかえるの？

• OpenIDの認証フロー
• OP特定：discovery

Discovery

1. ひとまずhttp://www.nttid.jpにアクセス
   • X-XRDS-LocationヘッダにURL指定
   • URLにリクエストしてXRDSファイルを取得
   • 中にOpenIDの認証エンドポイントが記載されているので認証リクエストを送る

OpenIDログイン対応サービス(RP)もDiscoveryできる

1. http://atnd.orgにユーザがアクセス
2. X-XRDS-Locationヘッダ
3. XRDSファイルがRPからユーザに対応
4. ブラウザ側で自動検出

1. RP Discovery
   • 世の中のRPの大半はRP Discoveryを実装していない

• j.mp/zigorou

OpenID拡張仕様

• 認証以外のことも拡張仕様を許可することで対応
• 翻訳・教育ワーキンググループで翻訳済み
  • j.mp/openid_trans
• SREG Simple Registration Extension
• AX Attribute Exchange
• OAuth Hybrid

OpenID AX

• OP - RP 間で属性情報を交換
• 主な用途：RPがOPからユーザの属性を取得
  • 氏名、ニックネーム、メールアドレス、プロフィール画像 etc
  • RPは取得したい属性の属性タイプ識別子(URL)を認証リクエストに列挙
  • OPはユーザの同意のもと指定された属性を認証レスポンスに含める
    • 最近はYahoo! Japanが対応

Yahoo! JapanのOpenID

• 2008/1 リリース(OpenID 2.0)
• 2010/3 AX対応

OPサーバ構成

• サーバ構成
  • open.login.yahooapis.jp x 3
  • open.login.yahoo.co.jp x 3
  • me.yahoo.co.jp x 2
    • 社内標準機を使ってる(特殊なものではない)
• 属性情報
  • Y!プロフィールの専用DB(ソーシャルDB)

属性情報

• axschema.org/XXX
• Yahoo! Profile上で非公開にしている場合は、チェックボクスからも選択できないようになっている

AX Specについて

• AssertionのURLが長すぎる！
  • 2000 over でPOSTに要切り替え
• Fetch Requestのパラメタ
  • openid.ax.requiredとopenid.ax.if_available
• Store Requestは必要？
  • どこも実装してない

UI Extension (popup)

• ポップアップウィンドウ単体で表示(MUST)
  • 別タブとかポップアップ禁止
• サイズは450 x 500px (SHOULD)
• popup画面からの導線に注意
• 汎用的なUIが望ましい
  • Yahoo.com/ Facebook/ myspaceは同意画面がデフォルトで小さいサイズ
  • PC/ popup/ smart phone

RP別Y! OpenID利用ランキング

下が上位

• gameleom.jp
• gilt.jp
• fansak.info
• smart.fm
• lf.lievo.jp
  • atnd.orgはYahooの中では小さい
  • tenki.jpとかが使ったり

認証成功の内外比率

• Yahoo! 内部：93.8%
• Yahoo! 外部：6.2%
  • 外部サイトから結構きてるよね！

OpenIDとプライバシー

• ID連携(OpenID) & 属性連携(AX)
• 事例
  • smart.fm

OAuthでのサービス連携

• OAuth & Attribute API & Wallet API & Point API
• 事例
  • Oisixでの決済・ポイント連携 (OAuth)

属性情報の提供

• 課題あります
• 大切なユーザの属性情報を渡す先の外部サービスはどのように選ぶのか？
• 課題
  • ISMS
  • プライバシーマーク
  • 企業イメージ

• 内部での情報レベルを策定中
  • OIDF-Japanのつながりへ期待
  • まずは情報交換でも

www.nttid.jp

• 2010/05/14サービスイン www.nttid.jp
• 特徴
  • NTTグループのIDを束ねて統一的に使えるようにする
    • docomo + goo + OCN = 延7000万
  • セキュリティ面もケア
    • OpenIDのRPごとのだしワケ
    • RP Discovery必須 (RPの大半が未実装なのに…という意味で厳しい
      • NTTのサイトで警告メッセージがでる
    • SSL必須

I/F仕様書

• www.nttid.jp/tech.html で取得！

対応のために

• RP Discoveryをできるようにしてください！

導入前の楽天

• パートナー向け認証機能は楽天オリジナル
• パートナーサイドでの導入も敷居が高い
• Open仕様であるため、導入の敷居が下がった
• 外部サイトにて楽天IDでのログインが可能になる、ユーザの利便性向上

歴史

• 2008/10 楽天OpenID
• 2009/05 AX
• 2010/04 Hybrid

概要

• ユーザの利便性向上に向けているなぁという感じ

[Tech night]rakuten

OAuthのはらむ危険

• 認可の意味を把握せず利用される危険性
  • ユーザは読まない
• 認可を行うことで、Twitterのフォロワー全員にダイレクトメッセージを送信するサービスが登場

OAuthの拡張

• OpenID/ OAuth Hybrid
• OAuth Proxy
  • User, Consumer, ServiceProvider, Gadgetの4者を相手にする
• OAuth Consumer Request
• xAuth

メリット/デメリット

• メリット
  • UX
  • OpenIDを使ったユーザ登録直後にAPI連携が必要なときは重宝
• デメリット
  • OAuth/ OpenIDのどちらかのバージョンが変わると？
  • 標準ライブラリでのサポートなし(少なくともRubyでは)

Artifcat Binding 1.0

• OAuth 2.0 base
• 携帯電話サポート
• セキュリティ強化
• 既存のOpenID/ OAuth LoA 1のみだがLoA4まで行ける
• 実装が容易
• OP/RP

• OpenID v.Next
  • Discovery
    • Web Finger
  • Attribute
    • JSON based AX
  • Core
    • OAuth 2.0
  • AB + CX

• OpenID Connect
  • by David Recordon