Wednesday Jul 23, 2008

SAML / Liberty から見た相互運用の可能性

先週金曜の 「第 3 回 Liberty Alliance 技術セミナー」, 開始直前にいきなりものすごい土砂降りになったにもかかわらず 110 人を越える方が参加されたとのことで, パネリストのひとりとして関わった自分としても, なんかうれしい. どうもありがとうございました.

当日ぼくが使ったスライドは以下. 基本的には Infocard Authentication Scenario DetailsOpenID Bootstrapping ID-WSF 2.0 の内容を整理しただけなんだけど, それぞれを読み解くときの参考になれば幸いです.

Friday Jul 04, 2008

7/18 (金): 第 3 回 Liberty Alliance 技術セミナー

再来週の金曜日に, リバティ・アライアンスが第 3 回の技術セミナーを開催する. 伊藤さんが SAML を語ったり, 崎村さんが OpenID を語ったりと, かなり興味をそそられるアジェンダなので, ぼくもふつうに聴講者として参加申込した... はずだったんだけど, 気づいたら, セッションのひとつにパネリストとして登壇することになりましたw

  • 「パネル:アイデンティティ管理標準の相互運用の可能性を探る (SAML/Liberty, OpenID, CardSpace)」 (仮題)
    パネリスト
    サン・マイクロシステムズ株式会社 工藤 達雄(くどう たつお)氏
    株式会社野村総合研究所 崎村 夏彦(さきむら なつひこ)氏
    マイクロソフト株式会社 田辺 茂也(たなべ しげや)氏
    モデレータ
    日本電信電話株式会社 高橋 健司(たかはし けんじ)氏

第 3 回 Liberty Alliance 技術セミナー

ということで, 当日ぼくは SAML/Liberty の帽子をかぶって, InfoCard + SAML2 および SAML2 + WS-Federation とか, OpenID Bootstrapping ID-WSF 2.0 とか, あとフェデレーション・ハブ的な話をふられそうな予感.

会場はけっこう人が入れるそうなので (150 人くらいとか), お時間のあるかたはどしどしどーぞ.

Monday Jun 23, 2008

第 2 回アイデンティティ・カンファレンス + 第 3 回アイデンティティ飲み会

昨日は表記の集まりに参加してきた. 幹事の水野さん, そして発表者のみなさん, どうもありがとうございました.

  • 基調講演 (=nat さん)
    XRI の基礎 (コンタクト・サービスに mailto: を使ったりもできるんすね) から W3C TAG のネガティブ・キャンペーンの話, ORMS, JAL の OpenID 採用事例, そして @freeXRI の提供するツールの紹介まで, まさにキーノートと呼ぶにふさわしい内容.
  • Apache2::AuthenOpenID (lopnor さん)
    .htaccess に呪文を書けば結構動く」 というのは, たしかに敷居を下げるという意味で有効だよなー, OpenSSO のアイデンティティ・サービスも, .htaccess に
    AuthType OpenSSO
    ...
    みたいに書くだけで使えるようにするといいのかなー, などと個人的にいろいろ刺激をうけた.
  • Attribute Exchange Sucks (ZIGOROu さん)
    SAML はこの手の間接通信では JS で POST してる」 の件, いま思い出したけど, IdP と SP が直接通信できないような場合 (たとえば企業内部にあるアクセス管理 / SSO システム (IdP) を使って Google Apps (SP) にログインする) に対応するというのが, 理由としてあったかもしれない.
  • ID-WSF (伊藤さん)
    実は最近あんま ID-WSF 関連はさわってなかったので, IdP が WSC (Web サービス・コンシューマ) に 「DS (ディスカバリ・サービス) にアクセスするときに提示するアサーション」 を発行したり, さらに DS が WSC に 「WSP (Web サービス・プロバイダ) にアクセスするときに提示するアサーション」 を発行したり, さらにそのアサーションが失効したら再度新しいアサーションを取得したり, といった, なんか基本的なことを自分がわかってないことがわかった... ちょっと OpenSSO でリハビリします.

そして飲み会は二次会まで楽しすぎた! ワインうまかった!

Identity Nomikai #3-2

Monday May 19, 2008

【解説】 OpenID のこれまでとこれから — 企業 IT でも活用できるか

【解説】OpenIDのこれまでとこれから——企業ITでも活用できるか : セキュリティ・マネジメント - Computerworld.jp

先月の Computerworld に寄稿した OpenID の記事が, Computerworld.jp のほうに今朝転載されたみたい.

ちなみに執筆後から最近にかけての 「OpenID in the Enterprise」 を模索する動きとしては, myOpenID for Domains (企業 OpenID プロバイダの外部委託サービス) とか, ClickTime (37signals のように, 企業ユーザの OpenID を受け入れる) とかがあった. あと国内でも 市販のSaaSサービスを組み合わせ、セットで提供 する際の サービス間をつなぐSSO機能「OpenIDにも対応していきたい」 という記事が出てたのも, ちょっと気になるところ.

そういや一方, salesforce.com がいよいよ SAML に対応するそうで. たしか昔は SAML に否定的なことを言ってたような気もするけど, なにがきっかけになったんだろうか. 勝手に推測すると, どこかの大型案件の RFP に 「SAML サービス・プロバイダとしての機能を有すること」 と書いてあった, とかかな!?

Friday Apr 25, 2008

OpenID Tech Night Vol.1

木曜の晩, ひそかに申し込んでた OpenID Tech Night vol.1 に行ってきた. 以下, ZIGOROu さんのエントリパクり引用しつつ, 所感などをつらつらと.

OpenID Authentication 2.0 〜概要とシーケンス・トレース〜

会場について, 席に置いてあったクリアファイルを見たら, このセッションの配布資料と一緒に, Final: OpenID Authentication 2.0 - Final の全文をそのまま 2up 両面で印刷したのが入ってた. 率直に言ってそのときは 「うわ, いきなりこれはきっついなー」 と思ったんだけど, でもこのセッションが進むにつれて, 「手元に仕様書が紙ベースで用意されていて, ちょっとわからないところがあったらすぐに仕様の記述を確認できること」 のありがたさをつくづく感じさせられたという, そういう内容でした.

もきちんと話していて素晴らしいーと思った。

ぼくが興味深く思った (というか, まともに仕様読んでないだけなんだけど) のは

のくだり. キャッシュしてる assoc_handle を更新する方法も仕様化されてたのか.

あと, Yahoo! がいつのまにか localhost な RP をサポートするようになってたのは知らなかった. Yahoo! OpenID FAQ にはまだ Yahoo! will only support Relying Parties running on webservers with real hostnames (略) running on standard ports と書いてあるけど, このへんの制限を実際はすこし緩和してきてるみたい.

Realmとreturn_to辺りの話とか、RP Discoveryとかの話は@ITの連載とかでいつか真面目に話そうかなと思います。

ぼくも, この RP Discovery のネタがセッションの中で出てきたときには, そこまで話すのかーと思ってニヤニヤしてしまった. ちなみに資料では 「利用している OP は殆ど無い」 となってるけど, 少なくとも一社, Yahoo! がやってるらしい.

Building Relying Party Best Practice

すごくわかりやすかった. ただ,

  • Claimed Identifier Claimed Identifier をそのままRP 上での“ID”扱いする
  • あるいは RP 上での上での“ID”に紐付ける

のどちらがいいのかは, 一概には言えないと思う. たしかに利便性とか可用性とかの面では後者が有効であることに同意なんだけど (てか, これって SAML とか Liberty の世界の 「アイデンティティ・フェデレーション」 っすね), たとえば 「おれはこの Flickr の URL を使って己のディジタル・アイデンティティを確立していくぞ!」 という, Eve Maler が名づけるところの 「Me generation」 の人にとっては, そのサービスが, 積極的に自分の Flickr URL をさらけだしてくれることを望むのではないかと.

飲み会とか

=natさんやtkudoさん、mizzyさんなどと帰りにちょっと呑んで来ました。

なんかプチアイデンティティ飲み会の様相を呈してた.

XRI と CanonicalID の事、あとClaimed Identifier の fragment の話

ただ、これは固定IPアドレスみたいな物であると同時に、仮に =zigorou が別のジゴロウさんになったとした場合、異なるCanonicalIDが割り振られる。つまり再利用しないって事みたい。

ドメイン失効とか乗っ取られたりしたらその Identifier は一見他人を表してしまうけど、そうならないように、Canonical IDは個人にユニークな値を割り振る。

ぼくはいまだに XRI 2.0 FAQ を斜め読みしてるような知識レベルなので, 素人考えなのかもしれないけど, この 「一人の持つ複数の i-name (e.g. =zigorou) が, 最終的には一つの i-number (e.g. =!545A.6972.43FA.38AD) にひもづく」 というしくみは, いわゆる 「ペルソナ」 との相性があんまよくないように見える. つまり性質の異なる RP ごとに, それぞれ違う i-name を用いても, 結局は一人の個人に結びついてしまうんじゃないかと.

まあそのへんは, OpenID の場合には URL ベースであれば 「ディレクテッド・アイデンティティ」 (どの RP にどの OpenID URL を渡すか, たとえば暗号化された値にするか Flickr URL にするかを, ユーザが自分の意志をもって 「指図する (direct)」) ができるから, 別にいいのかな.

関係ないけど, ぼくのような XRI 素人にとっては, そもそもの XRI のなりたちを解説する以下のエントリが非常に参考になった.

それと今度 XRI 2.0 の webinar があるらしくて, ちょっと興味あるんだけど, 日時が日本時間の 5/7 未明なんだよなあ...

=nat さんは次回の Identity Conference で基調講演として XRI/XRDS と Reputation について基調講演して下さる予定です。

YAPCとかIIW(?)とかあるんで5月24日以降だといい感じみたい>id:mizuno_takaaki

ついでに, その Internet Identity Workshop のお話とかも聴きたいなー. ぜひぜひ. > =nat さん

Reputation の話

セキュリティレベルの監査とか、OP, RP, Userの3者の間で各々の評価を行う仕組みが出来て、評価する枠組みが "公平" だとしても、Reputation で高い得点となったとしても、実際にユーザーに使われてて、広く認知されてなかったりなんて事もありそうとtkudoさんが言ってたんだけど、僕もそれに同意。

表現がうまくなくてすみません... ぼくが思ったのは, たとえば Yahoo! OpenID のリピュテーション・スコアは低くなるだろう, とぼくは勝手に想像してる (みんなにタダでアカウントを配ってるから) んだけど, だからといって, RP がそれをもって Yahoo! の OpenID の受け入れを拒否するようなことはないのではないか, でもそしたら 「リピュテーション・スコア」 って何のためにあるのかわからないなー, ってことです.

でもしらふの状態でもう一度考えてみると, Yahoo! のようなメガ OpenID プロバイダは, 海千山千ある中でも例外的な存在として扱ったほうがいいのかもという気がしてきた. うーん.

今度改めて。

同じく.

しょこたん

しょこたん似の人に写真を撮られるなどした。

名前聞かなかったけど idcon 来て下さい。

あまりのアイデンティティ・セレブっぷりに軽く嫉妬しましたw

=katsu さん

ブログ書いてたら教えて下さい。あと書いてなかったら書いて下さい(ぇ

=katsu さんのブログだから, やっぱ =katsu/(+blog) ですかね... と思ったら, ホントにあった!

そのほか

OIDF の裏話とか, 某 OP はギャグでやってんのかとか, ZIGOROu さんと帰りの電車でずーっとアイデンティティ・トークし続けたりとか, いろいろ楽しかった! 関係者のみなさまありがとうございました & 次回もよろしくお願いします.

Monday Apr 14, 2008

月刊 Computerworld 2008 年 6 月号に OpenID の記事を寄稿

今週金曜 (4/18) 発売の月刊 Computerworld 2008 年 6 月号に, 『コンシューマーからエンタープライズへ ── 本格化する OpenID の明日を探る』 という記事を寄稿した. 内容は, 「IT マネージャー」 向けに

  • OpenID 仕様の概要
  • 最近の動向
  • Web サービス・ベンダの目論見
  • 「ディレクテッド・アイデンティティ」
  • エンタープライズ分野への適用
  • 普及への課題

を概観する, 全 6 ページ. 冒頭 2 ページの PDF が IDG Direct からダウンロードできるようになっているので, よろしければご高覧くださいませ.

Monday Mar 24, 2008

2011 年, OpenID は今のフィード・リーダーと同じくらいには普及する

ソースは脳内 (すみません). こないだ出てた

という調査結果をみて, なんかこれって数年前のフィード・リーダーの普及状況と似てるなあと思っただけ. ちょっと検索してみたら, 3 年半前はこんな感じ↓だったらしい.

RSSリーダーの利用者は全体の4.7%で、あまり利用されていないことが明らかになった。
CNET Japan, 2004 年 8 月 11 日

で, 昨年の調査結果は以下. こちらは 「使っている」 ではなくて 「使ったことがある」 だけど.

RSS リーダーの「利用経験がある」人も、過去調査では16〜18%程度であった値が、今回はついに2割を越えている。
japan.internet.com, 2007 年 4 月 6 日

いま多くのサイトにフィードがついてるのと同じように, もしかしたら OpenID もこの先 2, 3 年たったら, いろんな Web サイトが受け入れるようになる (リライング・パーティになる) かも. けど一方 OpenID を自覚的に使うユーザは, その段階でも全体の 2 割くらいに留まるんじゃないだろうか.

Tuesday Mar 18, 2008

第 1 回アイデンティティ勉強会 + 第 2 回アイデンティティ飲み会

昨日、サイボウズ・ラボにてIdentity Conference #01を開催しました。
Identity Conference #01を開催しました - Yet Another Hackadelic

ということで, おととい (日曜日) 会社の近くで開催された Identity Conference #01 + 第 2 回アイデンティティ飲み会に行ってきた.

勉強会のほうでひとコマ 30 分ほど 「技術比較: OpenID と SAML」 の紹介をさせていただいたんだけど, なんかグダグダですみませんでした... ZIGOROu さん, きれいにまとめてくださってありがとうございます... そういや, ぼくが言った 「OpenID Provider と Relying Party の総当たりテスト」 って, OSIS のやつです. ご参考まで.

あと,

自分の保有する複数のディジタル・アイデンティティを束ねるという意味では CardSpace とか Clickpass とか, もっと単純に OpenID Authentication 2.0 の Directed Identity なんじゃないかなと思ったけど, Relying Party の特徴とか, いま現在のコンテクストをみて 「このような場ではこのようなアイデンティティが適切でしょう」 と教えてくれるアイデンティティ・プロバイダ (あえて OpenID Provider と限定しない) は, たしかにおもしろそう. 勝手に名づけるなら, Suggested Identity ってとこかな.

Thursday Jan 24, 2008

Relying Party に対してユーザを匿名化する OpenID Provider

あ, あと

そのために、SAMLでは各SP<=>IdPのペアごとに異なる中間の識別子を使っている。
SAMLについて自由勝手に紹介 - snippets from shinichitomita’s journal

で思い出したけど (なお 「使っている」 というよりは 「使うこともできる」 のほうが適切かと), OpenID 2.0 を採用した一部の IdP でも, このようなやりかたをしている / しようとしているみたい. 具体的には OpenID.eeYahoo!. それぞれとくに OpenID.ee では自身の管理しているアカウント名とは別の識別子を, RP (Relying Party) ごとにランダムに生成し払い出すらしい.

3. openid.ee/4e1243bd22c66e76c2ba9eddc1f91394e57f9f83 which is a "pseudo-anonymous" or "opaque" per-site identifier. - used for 'partial anonymity', something that consumers very often would like to use.
[OpenID] OpenID 2.0, PAPE and directed identities

Also note that even when you use Yahoo ID to sign in to a site that accepts openid, there is no personal information being shared. By default only an encrypted identifier (e.g. https://me.yahoo.com/a/D.GGRt8BtuO56ICRqYtp287qNA) will be shared with the RP.
[OpenID] Opt out of Yahoo OpenID?

Yahoo! JAPAN がやろうとしている OpenID Provider の設定は知らないけど, もし Yahoo! と同じだとすると, Yahoo!IDは微妙にセンシティブだと思っていて、あまり公開したくない ような人からも受け入れてもらえそう.

加えて Yahoo! の場合には,

  1. Flickr の photos URL (例: www.flickr.com/photos/naveen)
  2. Yahoo! の URL (例: me.yahoo.com/naveen)
  3. RP ごとにランダムに自動生成される URL (例: 上記のような me.yahoo.com/a/D.GGRt8BtuO56ICRqYtp287qNA)

いずれかからユーザが選べるようになるそうだ. Yahoo! みたいなところは 「抱えているアイデンティティの量が突き抜けている」 というだけで IdP としてものすごく有利だろうなあ (逆に, その一点だけでも他の IdP と差別化できる) と以前考えたけど, それだけに満足せずいろいろなひねりが入ってそうで, ちょっと楽しみ.

1/28/'08 追記: Yahoo! JAPAN も OpenID 2.0 オンリーの模様.

※お客様の安全を考慮して、Yahoo! JAPANのOpenIDでは、OpenID2.0の仕様に対応したサイトにしかログインできません。
OpenIDとは? - Yahoo! JAPAN

4/14/'08 追記: ちょっと前に気づきつつ訂正しそびれてたけど, Yahoo! の 「encrypted identifier」 は結局 OpenID.ee のとは違って, 「RP ごと」 に払い出されるものではなかったんだった. つまり there is no correlation inhibition てこと. がっかり.

Monday Jan 21, 2008

第 1 回アイデンティティ飲み会

先週の金曜日は七時半から十一時すぎまで, ずーっとアイデンティティねたで盛り上がることができてしまった. ぜひまたやりましょー!

以下, 参加されたみなさんのエントリから, いろいろ思い出しつつ...

ZIGOROu さん:

OpenIDだとかSAMLだとかの切り口の違いって、

  • 誰をターゲットにしてるのか
  • ビジネス的にどーよ

って話で分けられるのかなとか思いました。

第1回アイデンティティ飲み会 - Yet Another Hackadelic

マジレス厳禁 のところ, 真面目にフォローアップしてすみません... けど, これには基本的に同意. OpenID, SAML, あるいはほかのアイデンティティ・フレームワークの中からどれを使うべきかを決定する一番の要件は,

  • Idetity Provider (IdP; OpenID でいうところの OpenID Provider)
  • Service Provider (SP; 同 Relying Party)
  • エンドユーザ

の三者の中でのおカネの流れだと思う.

Identity Provider と Service Provider, つまり「組織から組織へと」 おカネが流れる場合には, 組織対組織の信頼関係を表現するのに最適 (というか現実解) である PKI にネイティブに対応した SAML 仕様が適している (余談だけど, 個人対個人とか個人対組織のための PKI ってホントに広まらないよなあ...). Google Apps Premier Edition なんかも the partner must provide Google with the URL for its SSO service as well as the public key that Google should use to verify SAML responses と書かれていることから推測すると, 企業 (IdP) からの SAML レスポンスにディジタル署名をつけさせて, 信頼できない企業へのサービス提供の防止と, 企業が表明した SAML レスポンスに対する否認防止をねらってるっぽい.

一方, 組織間ではなく 「Identity Provider とエンドユーザとの間」 「Service Provider とエンドユーザとの間」 におカネが流れる場合, あるいはまったくおカネが流れない場合, あるいは広告モデルの場合には, 事前の信頼関係の構築を明に暗に求める SAML 仕様はちょっと重たい. こういう分野には OpenID のような考えかたのほうが向いてるはず.

ただこれらの向き不向きはあくまでも現状であって, OpenID + リピュテーション・サービスとか, 動的フェデレーション可能な SAMLとかが実現すると, また状況は変わってくるんだろうなーと思う.

あと

名指しすると反応してくれるかもと言うことで、
同上

ということなので, ぼくも勝手にエンタープライジーな方面で名指ししてみる :)

ご都合があえば, 次回ぜひ!

まちゅさん:

言われてみれば SAML の話ってあんまりネットにでてこない。
第1回アイデンティティ飲み会 (エンタープライズとWebの素敵な出会い) - まちゅダイアリー (2008-01-18)

たしかに. 他にあるとすると, 手前味噌だけど, 昨年書いたコレ↓とかどうでしょ. SAML, Liberty Alliance, ID-WSF などをさらっと紹介してます.

冨田さん:

ソーシャルブックマークサイトなどでブックマークされてるのをみると、あまりidentityタグって使われてない。なんでも「認証」って、おいおい(tkudo)
アイデンティティ飲み会 - snippets from shinichitomita’s journal

そうそう, 飲み会の席でも言ったけど, きちんと identity タグを使ってるのって冨田さんくらいなんじゃないかという印象がある. しかもいまみたら, ちゃんと identity タグauthentication タグを使いわけてるし. さすが.

ちなみにぼくのプライマリのブックマーク先は, 社内にある某 del.icio.us クローンだったりする. ずっこくてすみません... これからは del.icio.us/tkudo をちゃんと更新することにしよう.

全然関係ないけど、大昔工藤さんにおしえてもらったこのブログが好きです。翻訳かけて読んでます。

Korean Identity Management(KIM)

同上

同じく, ぼくもこんなフィード経由で読んでます → http://preview.tinyurl.com/ytl7z7

たけまるさん:

終電が早かったので先に帰ったのですが,
支払いを忘れてしまいました ><

ホントに申し訳ありません.特に幹事の工藤様,早急に支払いますので連
絡くださいませ.

... 内容については書く元気がなくなったので,ZIGOROu さんや machu さ
んのブログを見てください.まぁ,支払いを忘れるくらい盛り上がったっ
てことで..
たけまる / 第1回アイデンティティ飲み会 (と信じられないようなミス)

たけまるさん, 一応あとでご連絡しますけど, でも飲み代は第 2 回のときでもいいですよー. それよかぜひ内容書いてください!

ここギコねねさん:

行ってみた感想としては、とりあえず「ほとんど判らなかった」状況でした...。
特に、私の席は周囲がエンタープライズ系の人中心で、OpenID/SAMLで言うところのSAMLの話題が中心だった(もしかしたらOpenID/SAMLを問わないアイデンティティ一般の普遍な話題だったのかもしれませんが、それすら判らない状態)ので、そちら方面はほとんど知らない私はキーワード収集するのが精一杯と言う感じでした。
ここギコ!: アイデンティティ飲み会、行って参りました

すみません... しかもぼくも高橋さんとかと 「Data Portability とかいう今こそ ID-WSF People Service が注目されるべき!」 とか 「アドレス帳のポータビリティとコンタクト・ブックのポータビリティはわけて考えないといけないですよ!」 とか, OpenID とはあんま関係ないことばっか話してたような気がします...

ともあれ, みなさん満足していただけたみたいで, 企画して良かったです!

Friday Jan 18, 2008

「OpenID をさらに発展させたものが SAML」

Ω ΩΩ < な, なんだってー (棒読み)

2006年、2007年あたりから注目が集まりだしたOpenID。対象Webサイトで登録する必要なく、認証情報を流用できるので便利だ。そしてそれをさらに発展させたものがSAMLというプロトコルだ。
MOONGIFT: » セキュアなシングルサインオンを実現する「simpleSAMLphp」:オープンソースを毎日紹介

こういう明らかな事実誤認が生まれてしまうのは, 残念ながら SAML 自体よく知られていないからだと思うんだけど, さておき SAML を使うとなにができるのかをてっとり早く試してみたい, というかたにオススメしたいのが SSOCircle. ここでアカウント作ってから, Google Apps (ssocircle.com ドメイン) へシングル・サインオンしたりシングル・ログアウトしたりする (Daniel のエントリが参考になる) ところまで, だいたい 2, 30 分でできるはず. 昼休みとかの空いてる時間にでもどーぞ.

Friday Jan 11, 2008

「アイデンティティ飲み会」 は来週金曜

「アイデンティティ飲み会」の件, 以下のみなさまに案内を送った (つもり). もし届いていなかったらご連絡くださいませ.

それでは, 来週金曜の晩に!

Thursday Jan 10, 2008

SAML と OpenID はなにが違うのか (高校生的に)

そういや trust で思い出したけど, 正月休みに読んだたとえ話, ちょっとウケた.

One more thought on the love and trust linkage. One of the fellow identerati told me this:

Identity federation is like high school sex. Everyone is talking about it. But hardly anyone is doing it. And even the ones that are doing it, are not doing it right (and not for the right reasons either).

For federation to be long lasting, there should be love. And trust.

itickr.com » Blog Archive » Love.Federation.Cello Tape.Collaboration…and Viagra

OpenID は promiscuous だから, きっと love や trust は不要に違いない ;)

P.S. ちなみにこの言い回し自体はけっこう使われてるっぽい.

SAML と OpenID はなにが違うのか (考えかた的に)

なんかここ最近, SAML という単語を見かけることが多い気がする. 逆説的だけど, OpenID への関心が高まることで SAML の再評価がすすむのかも.

OpenIDやOAuthと、LDAPやSAMLなどのシングル・サインオン(Single Sign On)は似ているようで違う。その違いをちゃんと理解できていないので、勉強モードで調べた情報をまとめてみた。かなり長くなってしまったので、まずはまとめから。
OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic

冒頭の 「LDAP や SAML などのシングル・サインオン」 という記述にものすごく違和感を感じるけど (「RDBMS や SAML などのシングル・サインオン」 と書いてるのに等しい), そのような瑣末な点を除くと, 信頼 (trust) に関する考えかたに起因する SAML と OpenID の違いがよくまとまってると思う (とくに 「これからは、個人的な理解の整理です」 以降).

なお SAML と OpenID とを同時に説明してる資料としては, 紹介されてる Patスライドのほかに Eve Maler のもオススメ.

Tuesday Jan 08, 2008

OpenID をどう扱うかは, それを扱うサイトの考え次第

ひとつ前のエントリに関して, ネタ元のたけまるさんからたくさんのツッコミをいただいた. ありがとうございます & すみません, 正月休み中の一本目だったので, 浅知恵ご容赦ください... 以下, いろいろコメント.

まず簡単なところで, たけまるさんの環境では OpenID.sun.com を使った再現ができなかったという話から. この OpenID プロバイダは他の一般的なやつとは違って, アカウント発行の際に申請者が Sun の正社員かどうかを確認するという, ちょっと変わった運用方針をとっている. だから Sun の正社員以外のかたがサインアップしようとしても, そのときに使うアカウントが Sun Online Account (Sun の Web サイトでのユーザ ID. これは誰でも取得できる) だと,

Forbidden
Your client is not allowed to access the requested object.
      

になってしまう.

そしてここからが本題なんだけど, OpenID.sun.com は各正社員にひとつずつしか OpenID identifier を提供しない. よって 「ユーザが OpenID を使って RP にログイン → RP だけからログアウト → OpenID を使って RP に再ログイン」 のときに, 同一の OpenID プロバイダにある複数の OpenID を使いわけるというユースケースは, OpenID.sun.com においては起こりえない.

だからそのような 「起こりえない要求」 を OpenID.sun.com が受けたときには, その試みを不審なものとみなして, verification を一方的に中断してしまうのもひとつの実装 (というか運用方針) かなー, と考えたのが前回のエントリ.

たとえば OpenID.sun.com に存在するぼくの利用可能な OpenID identifier が仮に 「http://openid.sun.com/くどう」 だとして, かつ OpenID.sun.com にぼくがログインしている状態であるとする. このときにぼくがどこかの RP に 「http://openid.sun.com/くどう」 以外の 「http://openid.sun.com/代表取締役社長」 みたいな OpenID identifier を使ってログインを試みたら, RP から問い合わせを受けた OpenID.sun.com は 「なんでくどうが社長を名乗ってるんだ!? なんかあやしい」 と判断するような感じ.

ただ, 中断させるために openid.mode=cancel を返してもいいかどうかというと, たけまるさんのご指摘の通り, たしかにユーザにとってはわかりにくいっすね. すごくまっとうな挙動 とまでは, ちょっと言えなかったかも...

まあ OpenID.sun.com のような一風変わった OpenID プロバイダではなく, 一般的なところであれば, たけまるさんの提示された ログインユーザ名と OpenID が異なっていたとき,IdP はユーザをログアウトさせてしまえば良い というやりかたは理にかなっていると思う (user-experience に投げてみるとおもしろそう). あるいは OpenID プロバイダごとに存在する挙動の違いを無視するために, (ユーザにとっては不便だけど) 必ず max_auth_age=0 を指定するような Relying Party の運用もアリだろう.

いずれにせよ OpenID うんぬんというよりは (もっと言えば, OpenID に限らず SAML とかであっても), 各サイトがアイデンティティをどう扱うかというポリシー決めがまずは重要かと.

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today