読者です 読者をやめる 読者になる 読者になる

tech::hexagram

personal note for technical issue.

OpenID Summit Tokyoに行って来ました

http://www.event-info.com/openid/

12月1日に秋葉原UDXで開かれたOpenID Summit Tokyoに行って来ました。

当日のTwitterまとめはこちら。

Keynote

OpenIDの意義などについて、Don Thibeau氏、崎村 夏彦氏、八木 晃二氏らのIntroductionで始まりました。

  • インターネットのID保有数は平均20.9個、そのうち確実に記憶可能なID/Passの組み合わせは3.15個
  • OpenIDとは…サイバー空間上のアイデンティ層
    • 2007年にOpenID2.0が策定され、ルールの制定が行われた
  • 個人のID保護の重要性
    • ID詐欺がEUの腫瘍犯罪となっており、年間1兆ドルもの被害額となっている。この額はギリシャ救済額よりはるかに大きい

続いてGoogleのAndrew Nash氏による基調講演。

  • Internet上におけるIdentityの変遷
    • PKIからSAMLへ、そしてOpenIDへ。
    • PKI は有用だが普及しなかった。SAMLについても同様。OAuth等の軽量なものが普及
  • Open ID Exchange

次に楽天の和田氏、日経の渡辺氏による講演。
楽天では、楽天外での楽天支払いサービスにOpenIDが活用されていて、700ページ、月10億円ほどの支払いに利用されているとのこと。
また、日経では、デジタルサービスにおけるNiKKEI IDにOpen ID Connectを採用し、年内を目処に実装中だそう。

国立情報学研究所の中村氏の講演では、学認とOpenIDとの関わりについての説明がありました。

  • 学術認証フェデレーション(GakuNin)では,海外で普及するSAMLShibboleth技術を利用して,電子ジャーナル等の学術サービスへリモートアクセスを含めたシングルサインオン(SSO)を可能とする大学間連携の試行運用を行っています。

学認には、ID連携・活用ソリューション としてNRIの「Uni-ID」と呼ばれるサービスを利用しているそうです。総ID数は50万近く、33の組織で現在利用されているとのこと。
OpenIDConnectによって、学認のIdpからSAMLを通して学認Protocol Gatewayを通じ、OpenIDの外部サービスを利用することが現在可能となっていて、逆も出来れば有用となるが現在実装中だそうです。

午前中の締めはKen Klingenstein氏の講演。
若干集中力が途切れていたため、まともに残ってたメモはPKIに関するこれだけ…(;´∀`)

  • Classical PKI(Strong identity,but no privacy.Scalable,not easily deployed)


ここでいったん昼休憩となり会場設営のため締め出されました。

外に出ると、ちょうどタイバニ展を実施中だったので少し覗くことに。

午後は、Technology TrackとPolicy Trackの2つに別れてのセッションとなりました。

OpenIDの基礎と仕様について

MicrosoftのMichael B.Jones氏と、OpenID FoundationのChairmanの崎村夏彦氏によるセッション。

  • OpenID ConnectのOpenID2.0との差分について
    • Support for native client applications
    • Identifiers using e-mail address format
    • Built on OAuth 2.0
    • Uses JSON/REST,rather than XML
    • Support for higher LOAs(Levels of Assurrence)

OAuth2.0を採用し、現在のデータフォーマットの主流となっているJSONやRESTを採用したそうです。

崎村氏は、OAuth,OpenID 2.0,そしてOpenID Connectの違いについてわかりやすい図で丁寧に解説して下さいました。
スライドに載っていた図はこちらのページを参照すると良いと思います。

よく知りもしないウェブサイトにOAuthで認証もどきをしてログインして回るというのは、そこら中に合鍵をばらまいて歩いていることになり、大変危険です。最近はOpenIDよりもOAuth認証をしたいというサイトが増えてきているのもなぜだかわかりますよね。合鍵をもらったほうがいろいろとサービス提供したり悪さをしたりするのに便利だからです。

非技術者のためのOAuth認証(?)とOpenIDの違い入門

OAuthは手軽ではあるものの外部サービスのかなりの操作を可能にしてしまうため、危険であるというのは確かに納得でした。
OpenID Connectではそのあたりの改善が施されているようですね。

OpenIDの応用と実装について

まずはGoogleのAndrew Nash氏からAccount Chooserのお話。
http://account-chooser.appspot.comからデモを試せます。
GmailやYahoo mail、AOL mailなど自分の持っているアカウントを選んでログインすることが出来る、それがAccount Chooserの仕組みです(まんま

次にHo B.Chang氏によるバイオメトリックス技術とOpenIDとの組み合わせについての講演。顔認識による認証デモが行われました。
照明等の都合上時間内にうまく認証することはできず…

そしてJanrainのGreg Keegstra氏による講演。Janrainとはポーランドのprivately-held technology companyだそうです。

  • Janrain simplifies consumer registration
    • SaaS platform for user management
    • 22 consumer identity providers supported
    • 350000+ RPs supported globally
    • Author of many of the OpenID Libraries
  • Janrain now supports Mixi
    • Create a Mixi app
    • Create a Janrain login widget
    • install the widget on your site

ということで、Janrainはmixi対応となったそうです。

最後に、JCBの大串氏、リクルートの川本氏らによる国内企業のID連携導入事例について。
JCBでは、自社ポイントサービスであるOki DokiポイントからYahoo!ポイントへの即時移行にOpenIDやOAuthを採用したそうです。個人情報の受け渡しは不可能であるため、これらの技術が役に立ったそう。
また、リクルートのSUUMOでは、マイページのログインにOpenIDを採用しているそうです。私自身も最近家さがしでSuumoを利用していますが、ログインにはTwitterアカウントなどが利用できたと思います。

OpenID Connectが今後のインターネットサービスに与えるインパク

最初にヤフーの松岡氏がヤフーでの導入事例について説明されました。
DeNAYahoo!mobageにて)やまたスクウェア・エニックスとのキャリア連携においてOAuthを利用しているそうです。また、来年にもOpenIDConnect/OAuth2.0をサポート予定と宣言されました。

このように、各社の強みを生かしてセキュアにそれぞれの情報を引っ張り出すことができるのがOpenID Connectの魅力なのではと思います。

次にミクシィの伊東氏が同様にミクシィの導入事例について説明されました。伊東氏はこの日ミクシィに入社したそうですが、普通に社内の仕様について発表されていました。
まずOpenID2.0は2008年から採用、OAuth2.0絡みはmixi Graph APIAndroidiOSで利用されているとのこと。OpenID Connectの採用も現在検討中とのことだそう。

  • mixiOpenID Connect
    • OAuth2.0ベースの実装
      • 開発者の負担が低い
    • 認証結果を受け渡し


最後にTechnology Trackの講演者総出でパネルディスカッションとなったのですが、ここで途中退室しました。

まとめ

  • PKI,OAuthときて次はOpenIDだよ
  • OpenID Connectはセキュアでかつ欲しい情報のみ取り出せる次なる認証サービス。
  • みんな使ってね!

こんなところでしょうか。

OpenID 用語解説

  • iDp:Identifier Providerの略で、OpenIDの認証データを持つサービスのこと
  • LOA:Levels of Identity Assuranceの略で、4段階の保証レベルがある。レベルが上がるほど高いセキュリティが要求される手続きに用いられる。