##はじめに
→OpenIDが仮に広まった未来には、サービス事業者がユーザの個人情報をどれだけ持つのが適正なのかを考えられるようになりたいよ
##OpenIDを利用したサービスは、将来オープンにOpenIDプロバイダを受け入れることができる?
OpenIDを受け入れる、ということは「特定ではないIDプロバイダによって認証」されたユーザをサービス事業者は受け入れるということになるよ。
※以下サービス事業者の例を、わかりやすくするために京都発のWebサービス提供会社、はてなさん(以下はてな)にするよ
ここでいう「特定ではないIDプロバイダによって認証」というカッコ書きについて整理しておくね。
これ、逆に言うとこれまでのサービスって、はてなも勿論そうだけど「特定されるIDプロバイダによって認証」が行われていたんだということになるよね。
例えば、はてなというサービスにエンドユーザの増田が、はてなのIDとパスワードでもってログインを行う場合は、
増田・はてなサービス・はてな会員管理システム(これもはてなの一部だけど)の3者関係で考えると、
増田がはてなのサービスを利用するためにログインすると、はてなサービスは、はてなの会員管理システムに僕が僕であるためのID・パスワードを問い合わせして
はてな側に僕だよ、っていうことを認証、そしてサービス利用の許可(認可)していたわけだよね。
これまでの
はてなのサービス→はてなの会員管理システムで認証する、というお決まりのやり方を
はてなのサービス→「特定ではないIDプロバイダによって認証」もOKにしちゃう!
っていうのがOpenIDの基本的な考えだと思ってるよ。
つまり、はてなに対してみんな大好きなmixi(渋谷区)のゆるふわIDパスワードでOpenID認証しちゃえ!ていう感じ。
OpenIDと呼ばれるもののコアなところって、この自分じゃない余所様でログインをさせるにあたっての
通信の決まり・振る舞い方についての仕組みとかのことなんだね。
認証機能の委譲、なんて難しい言葉で言われてもバカな僕にはわかんなかったから、とりあえずこんな感じで整理してみたよ。
でもね。増田自身がはてなの立場になって考えてみるとこう思うよきっと。
他所のプロバイダさんに認証をお願いしたら、、、
「コノ人確カニ○○○君!ザッツヒム!イッツOK!!」ていう怪しげな応答があったとしてもさ
「うちは京都のサービスさかいに、妙ちくりんな英語まじりのプロバイダさんの言うことなんか信用できまへんなー」
て自然と思ってしまうよきっと。これがひいてはOpenIDプロバイダの評判問題ってやつにつながる話だね。
あと、じゃあOpenIDプロバイダの認証結果は信じることにしたとしてでも今度は
「まーmixiさんところが認証OKてゆなら確実でっしゃろう?遠いところからよくきはりました。
どれ、アンタうちでもサービス使わせてやるさかい...あれれ?君、うちでいうところのid:誰くんでしたっけ?」
てなっちゃうねーやっぱり。。これが認証と認可(属性情報交換)に関わる問題てやつだよ。
うーん、ちょっと自分自身にとってもムツカシくなってきたなぁ。もう少しわかりやすく書くね。
上の話ははてな子ちゃんが自分の会員管理システムでログインさせない(外の会員管理システムでログインする)ことにより、
自社のサービス提供では当たり前にできていたことができない、という問題が2つ出てきたねーということだよね。
1. 「あなた(Openプロバイダ)の認証、あ、あたし。信じていいの?ゴクリ・・・」
という信頼関係について。
2. 「あなた(エンドユーザ)は彼(OpenIDプロバイダ)に認められた人だから、アタシも、が、がんばって信じる!…けど、○○○君(エンドユーザ)のことをもっと知る必要があるの。。。」
という(エンドユーザの)認可・(OpenIDプロバイダからの)属性情報の受入(交換)について。
うー、あれ?
はてなスターではこの2つの問題をどうしているの?って思う人は多いよね。
たぶんはてなスターがOpenID対応しているっていうのを聞いたことがあっても、実際にやったことある人は少数派じゃないかなまだ。。
じゃあこっからははてなスターを例にとって説明するよ!
詳しくは下のリンクの説明通りなんだけど、
http://www.hatena.ne.jp/info/openid
今回増田が問題としている2つについてはてなスターの機能はどーなってるの?ていうのを整理すると
1.「OpenIDプロバイダとの信頼関係について」=「フレンドプロバイダのみ認証OK!」(いわゆるホワイトリスト)
2.「(エンドユーザ)認可・(OPとの)属性情報交換」=OpenIDのユーザ名でスターがつく
という対応をしているみたい。
※ちなみにこの記事書くにあたって増田ははじめてOpenID経由ででスターつけてみたよ!!
つまり、
1.の信頼関係については、Livedoorなど数社のOpenIDプロバイダのみを受入OKにしているし、
2.の属性情報については、OpenID認証を行う際に必要なOpenIDプロバイダ側の「ユーザ名@OP名」でスターがつくだけ
→なので属性情報交換などはほぼゼロだよね、って感じだったよ。
1.は、
「なーんだ。Open何とか言っておきながら内輪でのID連携かよ。うちも一応OpenIDプロバイダたててんだよ?え?無理?うちみたいなチンケなプロバイダは無視ですかそーですか」
みたいな中小企業のボヤキが聞こえてくるくらい全然Openじゃなくすることで一方での
はてな子ちゃんにとっての問題=「あなた(Openプロバイダ)の認証、あ、あたし。信じていいの?ゴクリ・・・」問題を回避しているということになるよね。
2.についてははてなスターはほぼガン無視を決め込んでいるのが今回よくわかりました!
今回増田がためしにOpenID認証経由でスターをつけてみたんだけど、
あのー、、増田も一応こうして増田をやっているので一応はてな市民であって、「あいでぃー:xxx」みたいな立場ではあるじゃないですか。
なのに、LivedoorのIDでスターつけちゃったら「あいでぃー:xxx」でスターつけたことにならない><!(※)ので、
うーん、、ちょっとこれは深刻な機能不足だなーと思った次第ですー。いや?いいのかこれでOpenIDとしては。微妙だなぁ・・
(※)
だって、増田のidhttp://s.hatena.ne.jp/xxx/starsでスターが反映されない
あと<増田のLivedooeのアカウント名>@livedoor のスターのカウント(上のhatena/user/starsに相当するページね)はどこにいったのだろう??
でもさぁ、
はてな子ちゃんの立場はそれはそれでよくわかるのよね。
いまいまのOpenIDのセキュリティレベルでは、どこの馬の骨ともわからん奴にあなたのことについて
※ほんとは、はてなの「あいでぃー:xxx」とLivedoorのidがSocialに結びついてくれて、
自動的にhatenaのidでスターをAddしたことになればいいんだけどねー。でもそれじゃあはてなIDでログインしろってことと変わらんかー。
とも思うし難しいなぁこの辺。
こういう問題があるOpenID界隈では、でもこれらの問題について色々知恵を出し合って解決しようとしている
人もいるみたい。サイボウズのzigorouさんとか、他にもいっぱいいらっしゃるけど、皆さんすごいがんばってるみたい!すごい!
増田個人は、
1.については各OpenIDプロバイダとIDを利用するサービス側(Ryling Party)それぞれのホワイトリストが
Socialに連携/公開されてグラフになってエンドユーザが利用できる・できないの仕組みになるのがいいのかなー、
と思っていたりするよ。DNSみたいな公開されて相互利用できるよな仕組みがあればいいのかなー。
2.については属性情報の仕組みとしてはAXとかsregとかあるけど、要は使い方でリバティ・アライアンスの頃からしきりと言われているらしい
「串刺しにした」サービスの連携のためにどう属性情報を流通させるのか?SSO連携が肝だよねー。とか。
また属性情報流通させるにあたってのその情報粒度は?っていう話を詰めなきゃいけないんだろうなー、というレベルでぼんやり中です。
もう少し↑について知識・考えついてきたら、またまとめてみたいです。じゃあまたね!!
openidぜんぜんわからないよ! そのレベル以前の問題でわからないよ。 ログインurlは誰にもおしえちゃいけないの? あ、外部認証みたく、openurlにいれたURLに飛んでそこでログインしてた...
元増田だよ! 外部ログインで入られるとメールアドレスとかがないのが前提になってしまうのでいろいろ機能に制限をいれなきゃいけなかったり、できることを縛る必要がある。 こ...