【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
【解説】
OpenIDのこれまでとこれから――企業ITでも活用できるか
B2BでのID管理基盤作りには、各種標準仕様との相互運用が必須
(2008年05月19日)
コンシューマー分野でOpenIDが急速な勢いで普及しつつある。機能を絞ったシンプルな仕様であるOpenIDは、これまで大手ベンダーが挑み、ことごとく足踏みしてきたWebサイト間をまたいだシングル・サインオン(SSO)の基盤作りに活路を開こうとしている。一方、エンタープライズ分野でも、企業内および企業間におけるアイデンティティ管理やSSO基盤にOpenIDを利用しようとする動きがある。本稿では、OpenIDのこれまでの軌跡やその最新仕様を解説するとともに、エンタープライズ分野で想定される利用シーンを検証していく。それらを通し、エンタープライズ分野におけるOpenIDの課題と可能性を探っていきたい。
工藤達雄
サン・マイクロシステムズ
OpenIDを特徴づける「ユーザーID」の役割
OpenIDとは、ユーザーが自由に選択したIDをさまざまなWebサービスへのログインに利用できる、非集中型のアイデンティティ・フレームワークのことである。最大の特徴は、「ユーザー識別子(ユーザーID)を基盤とするデジタル・アイデンティティ」という点にある。
OpenIDでは、ユーザーIDを単なる文字列としてではなく、ユーザーのアイデンティティを証明するWebサイト(OpenIDプロバイダー)に対する“ポインタ”として利用する。つまり、OpenIDを受け入れるWebサイト(リライング・パーティ)へログインする際のユーザーIDを入力する行為は、同時に「わたしのアイデンティティを証明するのは、このOpenIDプロバイダーである」と表明することにもなる。
OpenIDでは、ユーザーIDとして2つの形式を定義している。1つはURLであり、例えば、「http://johnsmith.example.com」のような形式になる。もう1つは、URI(Uniform Resource Identifier)と互換性があるXRI(Extensible Resource Identifier)で、こちらは「=john.smith」のような形式で表現される。ユーザーは、通常、サービスへのログイン時にユーザーIDとパスワードを入力するが、OpenIDでは上記のようなURLまたはXRIを自身のIDとして入力することで、サービスへログインできるようになる。
ユーザーからURLまたはXRIを受け取ったリライング・パーティは、それをユーザーIDとして認めるのが妥当かどうかを、OpenIDプロバイダーに確認することになる。ここで、リライング・パーティがどのOpenIDプロバイダーに問い合わせるかは、ユーザーがIDとして利用しているURL/XRIに基づいてアドホックに探索・取得する、XMLベースのXRDS(Extensible Resource Descriptor Sequence)文書、もしくはHTML文書内の記述に基づいて決定される。つまり、リライング・パーティ側では、OpenIDプロバイダーの情報をあらかじめ持つ必要がないため、Webサイト間のサービス連携において手間のかかる、相互の事前設定作業を不要にしている。
ユーザーIDを保証するOpenIDプロバイダーで、どのような本人確認がなされるかはOpenIDの仕様を規定した「OpenID Authentication」のスコープ外であるが、基本的にはパスワードや、あるいはより強固な認証機構が利用される。そして、OpenIDプロバイダーは、ユーザーが主張する「自分を識別するためのURL/XRI」が本当にユーザーIDとして正しいかどうかを判断し、その結果をリライング・パーティに送信する。こうした一連の作業により、ユーザー認証が行われるわけだ。
最終的にリライング・パーティは、OpenIDプロバイダーからの回答に基づきユーザーIDを識別し、ログインの許可/拒否の判断や、サービス内容およびアクセス範囲の制限/認可を行うことになる。以上の処理をユーザーの視点から見ると、1つのOpenIDプロバイダーにログインするだけで、複数のリライング・パーティで個別のログインが不要となる、いわゆるWebサイト間をまたいだシングル・サインオン(SSO)が実現されることになる。
