に参戦した
Web Identityとか
- 勝原達也
Web Identity?
- Subject/ Entity に対応する属性(形質、協議の属性、関係性)・・・
- Identity Attributes
Web Identity Technology
認証・認可
- 認証(Authentication :AuthN)
- 認証結果+属性情報を安全に流通させる
- 認可(Authorization: AuthZ)
- 認証に基づいて許可をする
OpenID
- 真武信和 @nov
- Smart.fm
なんでリストアップされてないOPがつかえるの?
- OpenIDの認証フロー
- OP特定:discovery
Discovery
- ひとまずhttp://www.nttid.jpにアクセス
- X-XRDS-LocationヘッダにURL指定
- URLにリクエストしてXRDSファイルを取得
- 中にOpenIDの認証エンドポイントが記載されているので認証リクエストを送る
OpenIDログイン対応サービス(RP)もDiscoveryできる
- http://atnd.orgにユーザがアクセス
- X-XRDS-Locationヘッダ
- XRDSファイルがRPからユーザに対応
- ブラウザ側で自動検出
- RP Discovery
- 世の中のRPの大半はRP Discoveryを実装していない
- j.mp/zigorou
OpenID拡張仕様
OpenID AX
- OP - RP 間で属性情報を交換
- 主な用途:RPがOPからユーザの属性を取得
- 氏名、ニックネーム、メールアドレス、プロフィール画像 etc
- RPは取得したい属性の属性タイプ識別子(URL)を認証リクエストに列挙
- OPはユーザの同意のもと指定された属性を認証レスポンスに含める
- 最近はYahoo! Japanが対応
Yahoo! Japan OpenID AX
- 近藤裕介 @konfoo
- Yahoo! Japan
OPサーバ構成
- サーバ構成
- open.login.yahooapis.jp x 3
- open.login.yahoo.co.jp x 3
- me.yahoo.co.jp x 2
- 社内標準機を使ってる(特殊なものではない)
- 属性情報
- Y!プロフィールの専用DB(ソーシャルDB)
属性情報
- axschema.org/XXX
- Yahoo! Profile上で非公開にしている場合は、チェックボクスからも選択できないようになっている
AX Specについて
UI Extension (popup)
- ポップアップウィンドウ単体で表示(MUST)
- 別タブとかポップアップ禁止
- サイズは450 x 500px (SHOULD)
- popup画面からの導線に注意
- 汎用的なUIが望ましい
- Yahoo.com/ Facebook/ myspaceは同意画面がデフォルトで小さいサイズ
- PC/ popup/ smart phone
最新RPランキング
- 松岡
- Yahoo
RP別Y! OpenID利用ランキング
下が上位
- gameleom.jp
- gilt.jp
- fansak.info
- smart.fm
- lf.lievo.jp
- atnd.orgはYahooの中では小さい
- tenki.jpとかが使ったり
認証成功の内外比率
- Yahoo! 内部:93.8%
- Yahoo! 外部:6.2%
- 外部サイトから結構きてるよね!
属性情報の提供
- 課題あります
- 大切なユーザの属性情報を渡す先の外部サービスはどのように選ぶのか?
- 課題
- ISMS
- プライバシーマーク
- 企業イメージ
- 内部での情報レベルを策定中
- OIDF-Japanのつながりへ期待
- まずは情報交換でも
OpenID入門〜NTT IDログインサービス紹介〜
- 内山
- NTT
www.nttid.jp
I/F仕様書
- www.nttid.jp/tech.html で取得!
対応のために
- RP Discoveryをできるようにしてください!
楽天・OpenID
- 星川
導入前の楽天
- パートナー向け認証機能は楽天オリジナル
- パートナーサイドでの導入も敷居が高い
- Open仕様であるため、導入の敷居が下がった
- 外部サイトにて楽天IDでのログインが可能になる、ユーザの利便性向上
歴史
- 2008/10 楽天OpenID
- 2009/05 AX
- 2010/04 Hybrid
Smart.fm の利用状況
- RPの視点から
- @nov さん
- 70万人中18万人がOpenIDを利用
- OAuthも利用
OAuthについて
- @agektmr
- 404 error. Page Not Found.
OAuthのはらむ危険
- 認可の意味を把握せず利用される危険性
- ユーザは読まない
- 認可を行うことで、Twitterのフォロワー全員にダイレクトメッセージを送信するサービスが登場
OAuthの拡張
- OpenID/ OAuth Hybrid
- OAuth Proxy
- User, Consumer, ServiceProvider, Gadgetの4者を相手にする
- OAuth Consumer Request
- xAuth