OpenID Tech Night Vol.6 ~OAuth、AXからOAuth HybridまでWeb Identity技術一挙紹介~

2010年5月28日、株式会社野村総合研究所にて、OpenID ファウンデーション・ジャパン主催のOpenID Tech Night vol.6が開催されました。本稿では、本イベントのレポートをお届けします。

はじめに

モデレータの株式会社野村総合研究所 勝原さんから、⁠はじめに」と題して、もはやイベントの恒例となった「Digital Identityとは」という話がありました。

Web Identity Technorogyを「インターネット上で「じぶん情報」を安全に流通させ、サイト同士の連携を行うためのテクノロジー」であると定義し、以前からエンタープライズ向けで利用されているSAMLのようなプロトコルに比べ比較的簡単に実装できるWeb2.0的な認証/認可のしくみとしてOpenID/OAuthが紹介されました。

「OpenID=認証⁠⁠、⁠OAuth=認可」と単純に語られることがありますが、勝原さんはこれらを認証手段そのものを規定したものではなく、OpenIDならば認証結果の流通、OAuthならばアクセス権の委譲であると分かりやすく説明されていました。

OpenID Tech Night Vol.6 #1

OpenID

セレゴ・ジャパン株式会社 真武さんによる、OpenIDについてのセッションです。OpenIDをユーザー認証に利用しているATNDを例にあげ、OpenIDの特徴の一つである「どのOpenID Providerを利用するかをユーザーが自由に選択可能(ユーザーセントリック⁠⁠」であるしくみと、それを支えるDiscoveryのフローについて、ATNDのログイン画面の一覧にないNTT IDのOpenIDを使う場合の実際の処理を詳細に解説されました。

RP側がOPのエンドポイントURLを取得するためのDiscoveryに対し、OP側がRPのreturn_toエンドポイントを確認するRP Discoveryというものがあります。このRP Discoveryに対応していないRPが多いこと、その結果の扱い方もOPによって異なることなど、仕様ドキュメントを読むだけでは分からない現状を知ることができました。

OpenID Tech Night Vol.6 #2

Yahoo! JAPAN OpenID

ヤフー株式会社 近藤さんのセッションです。Yahoo! JAPANは2008年1月にOpenID Auth 2.0の仕様にのっとり最初のリリースを行い、今年の3月にAX、UI Extension(popup)という拡張仕様に対応されていることに言及し、そのAX、UI Extensionの説明と実装方法、さらに実装しながら感じたことが説明されました。

AXのRequest/Assertionのサイズが増大する問題、UI Extensionのウィンドウ制御の話、サーバ構成などの隠れ話(?)など、拡張仕様を実装したOPならではの工夫や苦労が語られました。このような情報が共有できることは素晴らしいものです。

OpenID Tech Night Vol.6 #3

続いて、同じくヤフー株式会社 松岡さんのセッションが行われました。序盤に言及された、最新RPランキングと題して、タグクラウド表現されたスライドが印象的でした。また、OpenID/OAuthを使った外部サービスとの連携事例についても説明されていました。

Yahoo! JAPANではOAuth+APIでもユーザー属性を提供しているため、データの外部提供に関するポリシーなどを考える必要があることに触れていました。現在は独自のルールに沿って判断しているようですが、OpenID ファウンデーション ジャパンのWG活動等を通してこれらの共通的なガイドラインを決めていきたいという姿勢は素晴らしいと感じました。

OpenID Tech Night Vol.6 #4

NTTID ログインサービス紹介

NTTコミュニケーションズ 内山さんのセッションです。2010年5月14日にサービスインした、NTT IDについて紹介されました。⁠NTTグループの約7000万IDを束ねるしくみ」という他のOPとは異なるアプローチを取られていること、ポータルサイトgooへのNTT IDのログインフローなどが説明されました。また、NTTグループとしてセキュリティ面のケアにも重点をおいており、RPごとのOpenIDの出しわけやRP Discovery必須対応、SSL必須対応についても言及されていました。

ソーシャルプロフィール上の公開情報を出していって自社のIDの価値を高めていくというYahoo! JAPANに対して、名寄せ対策によりRP(realm)ごとに渡すOpenID文字列を変えるNTT IDというように、同じOpenIDのOPといっても「こう使われたい」という設計思想によって実装が変わることはとても興味深く感じました。

ベースのID数が多いこと、NTTグループのイメージを活かして、今後どれぐらいの勢いでRPを伸ばしていくのかについて注目すべきだと思います。

OpenID Tech Night Vol.6 #5
資料のスライドはこちら

楽天 × OpenID

楽天株式会社 越川さんのセッションです。パートナー限定で提供されている楽天のOpenIDについての説明がされました。既存の独自システムを提供していたものをOpenID+拡張仕様を導入することで、敷居が下がったという話です。

NTTグループのブランドイメージ、Yahoo! JAPANや楽天というEコマースまで取り扱う大規模ポータルサイトでOpenIDが採用されているということで、これからRPになろうとしている企業も安心してOpenIDを導入していただけるような環境が揃っているのではないかと感じました。

OpenID Tech Night Vol.6 #6

smart.fm × OpenID

セレゴ・ジャパン株式会社 真武さんのOpenID/OAuth実装についてのセッションです。smart.fmではOpenIDによる認証だけではなく、AXやOAuth Hybridといった拡張仕様を利用して属性情報を取得してその情報をどのように利用されているかを説明されました。

それぞれのOPが異なる拡張に対応していること、また同じAXでも取得できる情報が異なるため、smart.fmでは個別にロジックを調整して効率的なユーザー登録ができるように考えられているとのことです。開発者としてはどのOPを選択しても必要な属性が同じ形式で渡されるというのが理想的な姿だと思いますが、よりRPが使いやすい属性情報のセットを定義することも今後の課題になるのではないかと感じました。

OpenID Tech Night Vol.6 #7

OAuth

NTTレゾナント株式会社 北村さんのセッションです(6月からGoogleに入社されています⁠⁠。TwitterのOAuth Consumerとして有名な「twitpic⁠⁠、ID/PWを入力させること+αで有名になった「UNIQLO LUCKY LINE⁠⁠、以前に一斉DM送信でこれまた話題になった「MOBSTAR WORLD」などの事例を用いて、OAuthを利用することによるメリット・デメリットを分かりやすく説明されていました。

OAuthの拡張仕様の紹介として、OpenSocialのGadgetからOAuthを使う際に利用されるしくみとして「OAuth Proxy」等の紹介があり、OAuthは単体で利用されるだけではなく、OpenIDやOpenSocialといった他の標準規格との親和性も高い仕組みであることがわかるプレゼンでした。

OpenID Tech Night Vol.6 #8

その後、再び真武さんからsmart.fmのOpenID OAuth hybrid対応についてのセッションがありました。TwitterやFacebookはOpenIDのOPではありませんが、新規サービスにとってたくさんのユーザーは魅力的です。OpenIDとOAuthのお互いの仕様が互換性を持つまでは、開発者はしばらくはOpenIDとOAuth、それぞれの仕様を調べ、Hybridを使うかどうかなどOPごとに実装を分けて考える必要がありそうです。

OpenID Tech Night Vol.6 #9

OpenID The next step

最後に、株式会社野村総合研究所 崎村さんのセッションです。最新の端末を使った最新情報の紹介として、iPadを使ったプレゼンテーションでした。内容は、現在正式版やドラフト版として出揃っているOpenIDの仕様の説明から、OpenIDArtifact BindingとOAuth 2.0、OpenID v.Nextについて説明がありました。

今までのセッションにあったように、OpenID/OAuthの仕様にはまだまだ改善すべき点やサポートされていない機能があるため、次の仕様の策定が進んでいます。ドラフト段階から仕様を読むことは難しいことではありませんが、OpenID ConnectとArtifact Bindingの関係者のやりとりの様子など、OpenID Foundationの副理事で仕様策定に深くかかわっている崎村さんでなければ得られない情報でした。

OpenID/OAuthをこれから導入しようと検討されている方には難しい話かもしれませんが、実際に実装していて今後の動きが気になる方にはとても刺激的な内容だったと思います。

OpenID Tech Night Vol.6 #10
資料スライドはこちら

まとめ

私はOpenID Tech Night vol.1から参加させていただいていますが、会場に集まった参加者の数(105名⁠⁠、USTREAM+twitter連携の様子を見ると、回数を重ねるごとにOpenID/OAuthへの関心度や認知度が上がっていると感じました。

また、OpenID/OAuthの普及がすすみ、認知度が高まっていることもあり、今回のOpenID Tech Nightは入門編が多かった過去の内容よりも一歩進んだ内容だったと思います。ともに大規模なOPでありながら、それぞれの導入アプローチが異なるヤフー、NTT ID、楽天の取り組み方、RP側としてきめ細やかな対応をされているsmart.fmの実装紹介など、これからOpenIDの導入を考えていられる人にとって有益なイベントであることは間違いないでしょう。

また、次回の開催を楽しみにしています。

おすすめ記事

記事・ニュース一覧