OpenID Tech Night Vol.4
ID技術 最新動向2009
Tatsuo Kudo
http://tkudo.blogspot.com

Agenda
1. ID技術の構成要素
2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID
3. OpenIDの現状と将来
4. まとめ

Agenda
1. ID技術の構成要素
2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID
3. OpenIDの現状と将来
4. まとめ

「アイデンティティ(ID)」情報とは?
人とサービスを結びつけるための情報
「認証」: その人がどのようにして本人であると確認されるか
「認可」: その人にどのような権限が不えられているか
「属性」: その人がどのような属性を持っているか
適切に管理することによって…
「使いたいときに使える」 環境の実現
利用権限の無いユーザによるアクセスの禁止
シームレスなサービス連携

ID技術を構成する要素
管理・同期 ID ID
リポジトリ リポジトリ
アクセス管理
ID連携 ID
リポジトリ
ID
リポジトリ
ID アプリケー
リポジトリ ション
アプリケー アプリケー
ション ション
アプリケー
ション

ID技術を構成する要素
管理・同期 ID ID
リポジトリ リポジトリ
アクセス管理 ID管理・同期
作成、変更、削除など
ID連携 ID
リポジトリ
ID
リポジトリ
ID アプリケー
リポジトリ ション
アプリケー アプリケー
ション ション
アプリケー
ション

ID技術を構成する要素
管理・同期 ID ID
リポジトリ リポジトリ
アクセス管理 ID管理・同期
作成、変更、削除など
ID連携 ID
リポジトリ
ID
リポジトリ
ID アプリケー
リポジトリ ション
アプリケー アプリケー
ション ション
アプリケー
ション

ID技術を構成する要素
管理・同期 ID ID
リポジトリ リポジトリ
アクセス管理 ID管理・同期
作成、変更、削除など
ID連携 ID
リポジトリ
ID
リポジトリ
ID アプリケー
リポジトリ ション
アプリケー アプリケー
ション ション
アクセス管理
アプリケー
ション
ユーザのアクセスの制御

ID技術を構成する要素
管理・同期 ID ID
リポジトリ リポジトリ
アクセス管理 ID管理・同期
作成、変更、削除など
ID連携 ID
リポジトリ
ID
リポジトリ
ID アプリケー
リポジトリ ション
アプリケー アプリケー
ション ション
アクセス管理
アプリケー
ション
ユーザのアクセスの制御 ID連携
ドメイン間でのサービス連携

ID技術全般の動向
管理・同期、アクセス管理技術は成熟
技術よりも、構築手法や運用プロセスにフォーカス
近年は「ID連携」分野の技術の発展が著しい
一極集中モデルから、標準ベースの分散連携へ
サービス提供者主導から、「利用者とサービスの協調」へ

Agenda
1. ID技術の構成要素
2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID
3. OpenIDの現状と将来
4. まとめ

ID連携のしくみ

ID連携のしくみ

ID連携のしくみ
アイデンティティ・
プロバイダ (IdP)

ID連携のしくみ
リライング・パーティ
アイデンティティ・
(RP)
プロバイダ (IdP)

ID連携のしくみ
リライング・パーティ
アイデンティティ・
(RP)
プロバイダ (IdP)
1
1. サービスにアクセス

ID連携のしくみ
リライング・パーティ
アイデンティティ・
(RP)
プロバイダ (IdP)
2 1
1. サービスにアクセス
2. ID 情報を要求

ID連携のしくみ
リライング・パーティ
アイデンティティ・
(RP)
プロバイダ (IdP)
2 1
3
1. サービスにアクセス
3. ユーザ認証 2. ID 情報を要求
(事前に IdP にログイン
している場合には
通常省略される)

ID連携のしくみ
リライング・パーティ
アイデンティティ・
(RP)
プロバイダ (IdP)
2 1
4
3
1. サービスにアクセス
3. ユーザ認証 2. ID 情報を要求
(事前に IdP にログイン
している場合には
4. IdP から得た
通常省略される)
ID 情報 (認証、認可、属性) を
提示

ID連携を実現するための技術標準
3 種類の主要なフレームワーク
SAML / Liberty Alliance ID-FF
InfoCard (CardSpace など)
OpenID

SAML / Liberty ID-FF
サービス同士が事前の信頼関係に基づき連携
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)

SAML / Liberty ID-FF
サービス同士が事前の信頼関係に基づき連携
ID情報をどこに提供
するかを事前に設定 リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
ID情報をどこから入手
するかを事前に設定

SAML / Liberty ID-FF
サービス同士が事前の信頼関係に基づき連携
ID情報をどこに提供
するかを事前に設定 リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
ID情報をどこから入手
するかを事前に設定

SAML / Liberty ID-FF
サービス同士が事前の信頼関係に基づき連携
ID情報をどこに提供
するかを事前に設定 リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
ID情報をどこから入手
するかを事前に設定
1
1. サービスにアクセス

SAML / Liberty ID-FF
サービス同士が事前の信頼関係に基づき連携
ID情報をどこに提供
するかを事前に設定 リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
ID情報をどこから入手
するかを事前に設定
2 1
1. サービスにアクセス
2. 事前設定した IdP からの ID
情報の取得を要求

SAML / Liberty ID-FF
サービス同士が事前の信頼関係に基づき連携
ID情報をどこに提供
するかを事前に設定 リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
ID情報をどこから入手
するかを事前に設定
2 1
3 1. サービスにアクセス
2. 事前設定した IdP からの ID
3. ユーザ認証
情報の取得を要求

SAML / Liberty ID-FF
サービス同士が事前の信頼関係に基づき連携
ID情報をどこに提供
するかを事前に設定 リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
ID情報をどこから入手
するかを事前に設定
4 2 1
3 1. サービスにアクセス
2. 事前設定した IdP からの ID
3. ユーザ認証
情報の取得を要求
4. IdP から得た
ID 情報を提示

InfoCard
ID情報を「カード」に見立て、ユーザがサービスに提示
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)

InfoCard
ID情報を「カード」に見立て、ユーザがサービスに提示
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
1
1. サービスにアクセス

InfoCard
ID情報を「カード」に見立て、ユーザがサービスに提示
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
2 1
1. サービスにアクセス
2. サービスが受け入れる
「カード」 の条件を提示

InfoCard
ID情報を「カード」に見立て、ユーザがサービスに提示
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
2 1
1. サービスにアクセス
2. サービスが受け入れる
「カード」 の条件を提示
3
3. ユーザが
カード (ID 情報) を選択

InfoCard
ID情報を「カード」に見立て、ユーザがサービスに提示
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
2 1
1. サービスにアクセス
4
4. 必要に応じて
カード発行者が
2. サービスが受け入れる
ユーザを認証
「カード」 の条件を提示
3
3. ユーザが
カード (ID 情報) を選択

InfoCard
ID情報を「カード」に見立て、ユーザがサービスに提示
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
5 2 1
1. サービスにアクセス
4
4. 必要に応じて
カード発行者が
2. サービスが受け入れる
ユーザを認証
「カード」 の条件を提示
3
3. ユーザが
5. 条件に合致する
カード (ID 情報) を選択
カードを提出

OpenID
サービス同士をどう連携させるかを「ユーザ」が決定
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)

OpenID
サービス同士をどう連携させるかを「ユーザ」が決定
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
1 1. サービスに「利用する
IdP」 を明示してアクセス

OpenID
サービス同士をどう連携させるかを「ユーザ」が決定
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
2. RP が動的に
信頼関係を確立
1 1. サービスに「利用する
IdP」 を明示してアクセス

OpenID
サービス同士をどう連携させるかを「ユーザ」が決定
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
2. RP が動的に
信頼関係を確立
3 1 1. サービスに「利用する
IdP」 を明示してアクセス
3. ユーザの指示したIdP からの
ID 情報の取得を要求

OpenID
サービス同士をどう連携させるかを「ユーザ」が決定
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
2. RP が動的に
信頼関係を確立
3 1 1. サービスに「利用する
IdP」 を明示してアクセス
4
3. ユーザの指示したIdP からの
4. ユーザ認証と
ID 情報の取得を要求
ID情報の提供

OpenID
サービス同士をどう連携させるかを「ユーザ」が決定
リライング・
アイデンティティ・
パーティ (RP)
プロバイダ (IdP)
2. RP が動的に
信頼関係を確立
5 3 1 1. サービスに「利用する
IdP」 を明示してアクセス
4
3. ユーザの指示したIdP からの
4. ユーザ認証と
ID 情報の取得を要求
ID情報の提供
5. IdP から得た
ID 情報を提示

OpenIDが注目されている理由
すぐ試してみることができる
「広く利用可能な OpenID 提供サイト」と、「サービスを
OpenID対応にするための実装」の両方が多数存在
仕様が比較的シンプル
Webアーキテクチャとの親和性が良い
一般的なブラウザで利用可能
サイト間での事前の取り決めが基本的に丌要
ユーザの自由度が高い
サービスに対して任意のIDを選択可能
同意に基づく属性連携

Agenda
1. ID技術の構成要素
2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID
3. OpenIDの現状と将来
4. まとめ

大量のIDがOpenIDとして利用可能に
既に5億個以上のIDがOpenID化
2008年に発行開始した
大手サイト
Yahoo! (1月)
ミクシィ (8月)
Google (10 月)
今年はさらに増加する
見込み
Windows Live ID (現在
試験運用中)

OpenID対応サイトの多様化
31,000超のサイトがOpenID対応
カジュアルなサービスで
の対応が引き続き増加
例: iKnow!、MapQuest、
Windows Live
カオティック・ブレイン Google
(オンラインゲーム) excite!
シリアスなサービスでの biglobe
採用も徐々に進行中 mixi
Yahoo!
2008年
クレジットカード情報の提 livedoor
供や医療情報へのアクセス
例: JAL、HealthVault、
Basecamp 出所：Janrain Blog: Relying Party Stats as of Jan 1st, 2009
http://blog.janrain.com/2009/01/relying-party-stats-as-of-jan-1st-2008.html

重要なID情報の流通に対応する仕様
サービス間での認証ポリシーの要求・提供
PAPE (Provider Authentication Policy Extension)
例: OpenID 対応サイトが、OpenID 提供サイトに対して、
「ユーザを多要素認証によって本人確認して下さい」 とリクエ
ストできるようになる
契約に基づくID情報の提供
CX (Contract Exchange)
例: ID情報の利用目的や利用期間を、サービス同士が動的に
「契約」として定めることができるようになる

日本が世界をリード
OpenID ファウンデーション・ジャパン
40社を超える会員企業
幅広い会員構成
仕様策定の主導と実サービスへの適用
Trusted Data Exchange (CX の前身) の考案・適用 (NRI)
EVSSL の採用 (ビッグローブ)
PAPE、CX の策定 (NRI 他)
「メンバーシップ認証」 の考案・適用 (ミクシィ)
利用者への普及
認知率28.1%、利用率15.2% (japan.internet.com, ’08/10)

OpenIDと他仕様との組み合わせ
OpenID と SAML との相互運用
SAML 認証コンテクストと PAPE とを相互変換
フレームワークをまたがったID連携を実現
NRI と NTT が RSA Conference 2009 (米国) にてデモ予定
OpenID と OAuth とのハイブリッド化
互いに補完関係にあるプロトコル
▪ OpenID: ブラウザベースのID連携
▪ OAuth: ユーザのアクセス権限を考慮したサービス連携
「ID 情報の提供」と「アクセス権限の委譲」に関するユーザの
同意確認を同時に実施

“Open Stack”
「アイデンティティ」はソーシャル Web の中核要素
出所： Joseph Smarr, “A New „Open Stack‟ – Greater Than the Sum of its Parts”
http://josephsmarr.com/papers/Smarr-IIW2008b.ppt

“Open Stack”
「アイデンティティ」はソーシャル Web の中核要素
XRD
出所： Joseph Smarr, “A New „Open Stack‟ – Greater Than the Sum of its Parts”
http://josephsmarr.com/papers/Smarr-IIW2008b.ppt

Agenda
1. ID技術の構成要素
2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID
3. OpenIDの現状と将来
4. まとめ

まとめ
ID連携技術は急速に発展・普及している
SAML/Liberty ID-FF, InfoCard, OpenID
OpenIDがその発展・普及を促進している
導入分野の拡大
仕様の充実
相互運用の中心
2009年はOpenIDが「人とサービスとの協調」を実現する
ユーザの意思をサービスに反映させるための基盤
実ビジネスへの適用拡大、社会基盤化への期待

Thanks!