水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2010: OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から

WASForum Conference 2010: OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から

2010年5月22日(土曜日)

WASForum Conference 2010: OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から

公開: 2010年5月29日22時10分頃

WASForum Conference 2010、Yahoo!のお話に引き続き、OpenIDのお話です。野村総研の崎村夏彦さんによる「OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から」。

OpenIDって、何?
  • Open Identity
  • Identity とは?
Digital Identity

Subject / Entityに対応する、属性の集合

  • 形質 traits …… 変わらないもの。生年月日、身長、体重、名前など
  • 属性 attributes …… 住所 電話番号 {メールアドレス ユーザー名} …… 識別子)
  • 関係性 relationships 交友関係、購買履歴、etc.
  • 例: Wii でいうところの mii。mii に体重なども結びつけて記録することができる
  • ただし、mii は Wii の中でしか生きられない
  • 標準化・Open化すると Open mii → Open ID
認証プロセス
  • Digital Identityの制御者として「正当性の確認」「属性引き渡し」を要求
  • Digital Identityの制御者としての正当性の確認
  • 正当性と属性確認書 (Assertion) の発行とお届け
OpenIDの基本モデル
  • IDプロバイダとサービス提供者
認証基盤連携フォーラム

「通信プラットフォームのあり方について」で規定

  • 分散&連携
  • ユーザー中心
  • 高可用
  • 信頼&評判

目的は、ユーザセントリックIDの実現

OpenIDはモバイルでは……。
  • コンテンツ画面で「ログイン」をクリックすると……エラーが発生
  • GET URLが長すぎる
  • POSTにすれば通るが、ユーザーがクリックしなければならない
  • レスポンスにはAssersionが全て乗るのでさらに大きくなる
属性連携はユーザ利便性を高める

属性情報を全て入れてもらう場合と、属性連携を使って一部の属性情報入力を省いた場合とでユーザテストを実施。

  • 時間短縮削減、エラー発生率低下の効果
  • 1分33秒 vs 19秒
  • 19.6% vs 7.1%
  • テスト後のアンケートでは、属性連携を「非常に利用したい」53%、「利用したい」41%、「利用したくない」3%、「全く利用したくない」0%、「わからない」3% となり、予想以上の評価
  • ただし、情報提供先が信頼できるのかどうかを確認したいという声も見られた
OpenID for mobile (Artifact Binding)
  • RPはリクエストファイル作成、そのURLをOPに送信
  • OPはファィルを取得、Artifactを送信
  • RPからArtifactをOPに送信、Assertion取得
  • リクエストファィルはJSON
  • AeerstionもJSON
  • Artifactは302リダイレクト
  • OP https Endpoint に対して GET で取得 (ログ残る)

実装サンプルが https://openid4.us (openid4.us) で見られる。

  • ブラウザ経由のGETを小さくできる
  • ほとんどサーバ間通信
  • Assertion Disclosureの防止 (ブラウザを経由しないため)
  • OPの完全ステートレス化も可能
  • NISTのLoA4まで対応可能
  • Signed Assertion Requestを使えば繰り返し属性の取得が可能 (ユーザの許可があれば)
  • OAuth2.0のtoken受け渡しも可能 (OAuth2.0--)
  • 実装が簡単
  • OPがサポートすればSAMLやWSSも返せる

スケジュール……5末仕様凍結、12月最終仕様?

属性をどう表現するのか
  • Type URI で表現するのが主流
  • どの Type URI を使うかのコンセンサスはない
  • AXSchema, Portable Contacts, etc... ユーザのOPによってリクエストするURLを使い分けなければならない
  • フリガナなどはない。そもそもスクリプトの概念がないので、ひらがな/カタカナ/漢字のような指定ができない
  • "Type_URL#言語_スクリプト_国" の形で表現する案 例: http://axschema.org/nameParson#ja_Kana_JP
  • Artifact Binding の短縮表記案 例: ns:ax/foo = http://axschema.org/foo
Q&A
  • Artifact Binding
  • SAMLなどと比較した際の優位性は?
  • OpenIDとSAMLの相互運用性確保
  • Idプロバイダが廃業すると……
    • 今まではサービスプロバイダ = IdPだった
    • 分離されると……IdPの廃業でサービスにログインできなくなってしまう
    • アメリカで4社廃業、うち2社はトラストフレームワークに入っており、データをエスクローしていて問題なし
    • どこまでの情報を移行すれば良いのか?
    • RPごとに別々のIDを振り出せる……どこにどのIDか、という情報まで必要
  • デバイス間のセッション引き継ぎ
    • 携帯電話上でパスワードを入れさせるのはユーザからの評価が非常に低い
    • しかし、インターネット上で識別番号を使用するのは非常にまずい
    • タンパリングされている可能性が高い
    • ガラケー → フィーチャーフォン
    • ケータイから来ているかどうかを知りたい、というニーズがある(AOL / Yahoo)
    • ケータイキャリアがOpenIDプロバイダになれば良いのだが……

WASF2008のときにはOpenIDをあんまり理解していなかった私ですが、2年経ってもそんなに理解が進んでいない気がしております。というわけであんまりコメントすることはありません。

※結構知らない単語や概念があったりして、勉強不足を痛感しております。orz 午後の上野さんのセッションの方が入門的な内容だったので、順番が逆の方が分かりやすかったかもしれません。

このセッションで一番印象に残ったのは、やはり「フィーチャーフォン」でしょうか。「ガラケー」ではなく「フィーチャーフォン」と呼ぶのがクールみたいですよ。

続きます……「ケータイ2.0が開けてしまったパンドラの箱」。

関連する話題: セキュリティ / WASForum Conference / WASForum Conference 2010 / モバイル

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト