OpenID Tech Night Vol.6に出てきた

  • すいません。自分メモなので理解できておらずいい加減です。
  • Phill Wndley
  • Subject/Entity
  • Indentyty Attribute(自分情報)
    • 形式
      • 名前、男、日本
    • 属性
      • 所属、住所、アドレス
    • 関係性
      • 業務経歴
  • Web Identity Technology
    • インターネットで自分情報を安全に流通させ、サイト同士の連携を行う
  • OpenID OAuth
    • すぐ試せせる、Webと相性がいい
    • 2007 OpenID2.0
    • 2009 OAuth1.0
  • 認証と認可
    • 認証
      • あー誰
    • 認可
      • キミだったらいいよ
  • OpenID
    • 認証結果+属性情報を主にブラウザを介して安全に流通
  • OAuth
    • 認可

OpenID

  • Smart.fmの方
  • OpenIDでログイン
  • Atend
  • OpenID
    • ユーザーが使いたいIDを自由選択
    • 使いたいOpenID Providerを選んで認証
    • なんで使われてないOpenIDも使えるよ
  • OpenIDのフロー
    • OP選択
    • OP特定
      • 共通鍵でやり取り
  • Opを特定するDiscovery
    • 知らないIDだなー。
      • X-XRDS-Location指定
      • XRDSファイル
  • XRDSファイル
    • XMLでサイトのURLが入ってる。そこからOpenIDの認証を送る
  • RP Discovery
    • OpenIDログイン対応再ービスをWebブラウザが自動検出
    • サイトにアクセスしただけで特定できる
  • OpenID拡張仕様
    • 認証以外のことも拡張仕様を許可することで対応
    • OpenID Attribute Exchage
    • OpenID Oauth
  • OpenID AX
    • OP-RP間で属性情報を交換
    • RPがOPからユーザ属性を取得
      • RPは属性タイプ識別子(URL)を認証リクエスト内に列挙

AX

  • Yahooの方
    • 2008,1 リリース OpenID2.0対応
    • 2010 Attribute XChange
  • サーバ構成
    • フロントエンド(同意画面)サーバ
    • OpenIdサーバ
    • 属性情報 Y!プロフィールの専用DB
  • UA Rp OP
    • 同意画面
  • Attribute XExchange Flow
  • 提供している属性情報
    • 画像、表示名、姓、名
  • AX Request
    • 属性情報 requireで定義
  • AX UI
    • 同意画面
  • AX Response
    • 長すぎ
  • AX Spec
    • Assertion URLが長すぎる
      • 2000自以上だとPOSTに切り替え
  • Store Requsetいらない
  • UI Extension(POP)
  • UI Spece
    • ポップアップはなー
    • 450 500は厳しい
    • popup画面から導線に注意
    • 汎用的なUIが望ましい

Yahoo OpenIDランキング

  • Yahooの方
  • YOpenID利用ランキング
  • gameleom,smart.fm,fansaka.info,gilt
  • yahooだけのOpenIDに対応してるとランキング高い
  • 6.2%が外部ログイン
  • オープン化とプライバシー
    • ID連携&
      • AX(属性連携)、属性情報を提供
    • ID連携(OAUth)
      • 属性連携(Attribute API)
      • 決済連携
      • ポイント連携
      • OISIX
  • 課題
    • 大切な属性情報を渡す相手の外部サービスはどのように選ぶのか
    • ISMSプライバシーマーク、とかね
    • 内部では独自ルールで判断してる
      • OIDF-Japanのつながりも期待
    • ログイン履歴、アラーととかあるんだよ

NTT IDログインサービス紹介

  • NTTコミュの方
  • 5/14から開始
  • NTTDocomo, れぞなんと、こみゅIDを束ねる
    • のべ7000万
  • セキュリティ面もケア
    • OpenIDのRPごとだしわけ
    • RP Discovery必須
      • RPごとの出し分けまでしてる
      • 名寄せ回避
      • RP Discoveryは必須
      • RPがないと警告出る
    • SSL必須
  • gooとかは対応してるよ
    • NTT IDでログインってボタンで画面遷移
    • 束ね画面で束ねる
  • インターフェイス仕様書(tech.html)
    • ロゴもいっぱいあるよ
  • RP Discoveryをできるようにしてね
  • RP毎にOpenIDの出しわけしてるからrealm変えないでね
今後
  • 対応サイト増やす
  • エンドユーザ増やす
    • 携帯対応

楽天事例

  • 楽天の方
  • パートナー向けの認証機能は楽天オリジナル
  • OpenID仕様だから導入の敷居は下がった
  • まだ非公開よ。。
  • 2008.10 あんしん支払いサービス OpenID
  • 2009,5 携帯も対応
  • 2010.4 OAuth Hybrid
  • OnGen
  • AXを利用してnickname渡しあってる
  • 携帯向け
    • シーケンスはOpenIDと同じ
  • Hybrid
    • 属性情報を取得
  • 利便性と導入のしやすい

Smart.fm

  • 70万ユーザの中で18万人がOpenID
  • OAuthにも対応
  • yahoo51 google24 mixi11 twitter6% facebook5%
  • 外部29%
  • OpenID使う理由
    • ユーザ登録をシンプルにしたい
  • OPenID拡張仕様も活用
    • Attribute Exchange
      • Gravater メアドにアバタくくりつけるサービス
    • Oauth Hybrid
      • ユーザレコメンド
      • Gmailのアドレスから友達をリコメンドしてる
      • twitter, facebookでもできるんだよ

OAuth

  • レゾナントの方
  • SocialWeb Japan
  • Google API Expert
  • マッシュアップ
    • はやってたよね
  • 認証を要するマッシュアップ
  • ベーシック認証だとセキュリティリスクあるよ
  • Twitpic
  • 間のサービスに渡すことがなく、サーバーにいける
  • クライアントにクレデンシャルを渡す必要がない
  • 連携してるクライアントを把握してるからサーバ側で停止できる
  • OAuthの危険
    • 認可の意味を把握せず利用される危険
    • 認可を行うことで、Twitterフォロアー全員にスパム
  • 署名が取れると安全だとみなされて認識される
OpenID/OAuth HyBrid
  • メリット
    • OpenIDを使ったログイン後にAPI連携簡単
  • デメリット
    • OAth/OpenIDバージョン変わるとまずい
    • 標準ライブラリでサポートないよ
OAuth Proxy, Open Social
OAuth Consumer Requset
  • ユーザ抜きで
xAuth

Auth Next

  • authentication,ax,page,outh hybrid
  • Artifact Binding
    • 携帯電話サポート
    • セキュリティ強化
    • 実装が容易
    • OP RPステートレス化
  • OAuth2.0
    • rapかな