【解説】
OpenIDのこれまでとこれから――企業ITでも活用できるか

B2BでのID管理基盤作りには、各種標準仕様との相互運用が必須

（2008年05月19日）

コンシューマー分野でOpenIDが急速な勢いで普及しつつある。機能を絞ったシンプルな仕様であるOpenIDは、これまで大手ベンダーが挑み、ことごとく足踏みしてきたWebサイト間をまたいだシングル・サインオン（SSO）の基盤作りに活路を開こうとしている。一方、エンタープライズ分野でも、企業内および企業間におけるアイデンティティ管理やSSO基盤にOpenIDを利用しようとする動きがある。本稿では、OpenIDのこれまでの軌跡やその最新仕様を解説するとともに、エンタープライズ分野で想定される利用シーンを検証していく。それらを通し、エンタープライズ分野におけるOpenIDの課題と可能性を探っていきたい。

工藤達雄
サン・マイクロシステムズ

OpenIDを特徴づける「ユーザーID」の役割

　OpenIDとは、ユーザーが自由に選択したIDをさまざまなWebサービスへのログインに利用できる、非集中型のアイデンティティ・フレームワークのことである。最大の特徴は、「ユーザー識別子（ユーザーID）を基盤とするデジタル・アイデンティティ」という点にある。

　OpenIDでは、ユーザーIDを単なる文字列としてではなく、ユーザーのアイデンティティを証明するWebサイト（OpenIDプロバイダー）に対する“ポインタ”として利用する。つまり、OpenIDを受け入れるWebサイト（リライング・パーティ）へログインする際のユーザーIDを入力する行為は、同時に「わたしのアイデンティティを証明するのは、このOpenIDプロバイダーである」と表明することにもなる。

　OpenIDでは、ユーザーIDとして2つの形式を定義している。1つはURLであり、例えば、「http://johnsmith.example.com」のような形式になる。もう1つは、URI（Uniform Resource Identifier）と互換性があるXRI（Extensible Resource Identifier）で、こちらは「=john.smith」のような形式で表現される。ユーザーは、通常、サービスへのログイン時にユーザーIDとパスワードを入力するが、OpenIDでは上記のようなURLまたはXRIを自身のIDとして入力することで、サービスへログインできるようになる。

　ユーザーからURLまたはXRIを受け取ったリライング・パーティは、それをユーザーIDとして認めるのが妥当かどうかを、OpenIDプロバイダーに確認することになる。ここで、リライング・パーティがどのOpenIDプロバイダーに問い合わせるかは、ユーザーがIDとして利用しているURL/XRIに基づいてアドホックに探索・取得する、XMLベースのXRDS（Extensible Resource Descriptor Sequence）文書、もしくはHTML文書内の記述に基づいて決定される。つまり、リライング・パーティ側では、OpenIDプロバイダーの情報をあらかじめ持つ必要がないため、Webサイト間のサービス連携において手間のかかる、相互の事前設定作業を不要にしている。

　ユーザーIDを保証するOpenIDプロバイダーで、どのような本人確認がなされるかはOpenIDの仕様を規定した「OpenID Authentication」のスコープ外であるが、基本的にはパスワードや、あるいはより強固な認証機構が利用される。そして、OpenIDプロバイダーは、ユーザーが主張する「自分を識別するためのURL/XRI」が本当にユーザーIDとして正しいかどうかを判断し、その結果をリライング・パーティに送信する。こうした一連の作業により、ユーザー認証が行われるわけだ。

　最終的にリライング・パーティは、OpenIDプロバイダーからの回答に基づきユーザーIDを識別し、ログインの許可／拒否の判断や、サービス内容およびアクセス範囲の制限／認可を行うことになる。以上の処理をユーザーの視点から見ると、1つのOpenIDプロバイダーにログインするだけで、複数のリライング・パーティで個別のログインが不要となる、いわゆるWebサイト間をまたいだシングル・サインオン（SSO）が実現されることになる。

｜1｜2｜3｜4｜5｜ > 次のページへ