Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

OpenID Introduction

2,561 views

Published on

Published in: Technology
  • Login to see the comments

OpenID Introduction

  1. 1. OpenIDでWebの認証を もっと便利に MATSUOKA Kohei http://www.machu.jp/diary/ twitter: machu 1
  2. 2. 2008年はOpenIDの年 大手サービスがOpenID発行サイトに参入 1月 … 米Yahoo!, Yahoo! JAPAN 8月 … mixi (マイミク認証, コミュニティ認証も) 10月 … Google Account 10月 … Microsoft (Windows Live ID対応発表) OpenIDファウンデーション・ジャパンの設立 2
  3. 3. 11:3011分30秒でわかる OpenID入門 3
  4. 4. OpenIDとは 「○○のIDでログイン」を実現するための仕組み http://atnd.org/ より 4
  5. 5. 利用者 Webサイト Webサイト Webサイト 従来Webサイトのログイン 各Webサイトに登録したIDとパスワードでログイン 5
  6. 6. OpenIDでのログイン 利用者 (End User) OpenID発行サイト (OpenID Provider, OP) OpenID対応サイト (Relying Party, RP) 発行サイトのIDで対応サイトにログインできる 対応サイトにパスワードは送られない OpenID対応サイト (Relying Party, RP) mixi, Google, Yahoo! JAPANなど 6
  7. 7. OpenIDのメリット (1) 利用者にとって 複数のIDとパスワードを管理しなくていい! (2) OpenID対応サイト (RP) にとって 利用者のパスワードを管理しなくてよい! (3) OpenID発行サイト (OP) にとって 保有するアカウントの価値が高まる! 7
  8. 8. OpenIDの最大の特徴 「○○のIDでログイン」→複数の発行サイトが共存! 普及のために、とても重要なこと。 対応サイト 発行サイトA 発行サイトB 発行サイトD 発行サイトC mixi livedoorGoogle Yahoo! JAPAN 8
  9. 9. OpenIDの実現方法 「○○のIDでログイン」を実現するために 1. グローバルなID (URL) を用意する 2. ログイン先となる発行サイトを指定する 9
  10. 10. グローバルなID (1) 対応サイト 発行サイトA 発行サイトB id:machu id:machu 衝突 複数の発行サイトが存在 → IDが衝突すると困る 10
  11. 11. グローバルなID (2) 対応サイト 発行サイトA 発行サイトB URLをIDとして使うことで、グローバルなIDを実現 URLで 区別 http://www.hatena.ne.jp/kmachu/ http://profile.livedoor.com/k_machu/ 11
  12. 12. ログイン先の指定 (1) 複数の発行サイトが存在する。 ログイン先の発行サイトを利用者が指定する。 発行サイト対応サイト 2. 発行サイトのログイン画面へ誘導 OpenIDでログイン 1. 利用者が発行サイトを指定する 12
  13. 13. ログイン先の指定 (2) OpenID 1.1では、ユーザのID (URL) を入力する。 https://id.mixi.jp/1741395 …覚えられません>< OpenID 2.0では、発行サイトのID (URL) でもOK。 mixi.jp ちょっと短くなった OpenIDでログイン 13
  14. 14. ログイン先の指定 (3) よく使われる発行サイトを事前に用意しておく。 キーボードによる入力が不要になった。 反面、用意されていない発行サイトを使えない。 入力フォームとの併用が現実的な解。 14
  15. 15. 参考: ログインの流れ (1/2) 利用者 対応サイト 発行サイト http://example.jp/ 利用者が入力したIDから発行サイトを特定する 15
  16. 16. 参考: ログインの流れ (1/2) 利用者 対応サイト 発行サイト http://example.jp/ 利用者が入力したIDから発行サイトを特定する (1) IDを入力 example.jp 15
  17. 17. 参考: ログインの流れ (1/2) 利用者 対応サイト 発行サイト http://example.jp/ (2) IDから発行サイトを発見 利用者が入力したIDから発行サイトを特定する (1) IDを入力 example.jp 15
  18. 18. 参考: ログインの流れ (2/2) 利用者 対応サイト 発行サイト 発行サイトから対応サイトへ認証結果を通知する http://example.jp/ 16
  19. 19. 参考: ログインの流れ (2/2) 利用者 対応サイト 発行サイト 発行サイトから対応サイトへ認証結果を通知する http://example.jp/ (3) 発行サイトにログイン id:machu 16
  20. 20. 参考: ログインの流れ (2/2) 利用者 対応サイト 発行サイト 発行サイトから対応サイトへ認証結果を通知する http://example.jp/ (3) 発行サイトにログイン id:machu (4) 認証結果 (ID) を通知 http://example.jp/machu/ 16
  21. 21. OpenIDの拡張機能 (1) 名前やメールアドレスをOpenID対応サイトに通知。 ユーザ登録時の手間を省くために使用する。 対応サイト 発行サイト 17
  22. 22. OpenIDの拡張機能 (2) mixiのマイミク認証とコミュニティ認証 mixi内の属性情報をmixi外部で活用できる! マイミクだけがコメントできるブログ 高専カンファコミュのメンバだけが使えるWiki …ほしい? https://id.mixi.jp/1741395/friends/ https://id.mixi.jp/community/1651291/ 18
  23. 23. OpenID入門のまとめ OpenIDは「○○のIDでログイン」を 実現するための仕組み。 「利用者」、「発行サイト (OP)」、 「対応サイト(RP)」の三者モデル。 複数の発行サイトが共存できる(とても重要)。 19
  24. 24. 20
  25. 25. 付録 OpenIDを安心して使うために 21
  26. 26. よくある質問 OpenIDってセキュリティ は大丈夫なの? 22
  27. 27. 結論 信頼できる発行サイトを 選びましょう。 23
  28. 28. OpenIDのリスク フィッシング 名寄せ IDの再利用 発行サイトのサービス停止 24
  29. 29. (1) フィッシング 悪いOpenID対応サイトが偽のログイン画面へ誘導。 利用者がパスワードを入力 → ウマー 対応サイト 発行サイト 発行サイト(偽) 25
  30. 30. フィッシング対策 暗号化 (SSL, TLS) 対応のログイン画面を 提供しているOpenID発行サイトを利用する。 秘密情報を入力するときは Webブラウザのアドレスバーを確認する。 Yahoo! JAPANのログインシールを利用する。 26
  31. 31. (2) 名寄せ OpenIDは複数のWebサイトで同じIDを使う。 IDの名寄せが可能に。 対応サイトA 対応サイトB 対応サイトC 発行サイト 27
  32. 32. 名寄せ対策 セキュリティではなくプライバシーの問題。 Yahoo! JAPANはIDにランダムな文字列。 Yahoo! JAPANのIDは推測できない。 逆に、積極的にIDの同一性を主張したい場合もある 必要に応じて複数のOpenIDアカウントを使い分ける https://me.yahoo.co.jp/a/Qc51zrFBeYpbtGdGquXK6qonwL0-#316fa 28
  33. 33. (3) IDの再利用 OpenID発行サイトからアカウントを消す → 他の人が同じアカウントで登録したら? OpenID対応サイトに勝手にログインされる?? 29
  34. 34. IDの再利用への対策 発行サイトがIDのうしろに識別子をつけておく。 他の人が同じIDを取得しても、この識別子が変われ ば別IDとして認識される。 まともな発行サイトなら実装しているはず…。 https://me.yahoo.co.jp/a/Qc51zrFBeYpbtGdGquXK6qonwL0-#316fa https://me.yahoo.co.jp/a/Qc51zrFBeYpbtGdGquXK6qonwL0-#317gs 30
  35. 35. (4) サービス停止 発行サイトが落ちると対応サイトにログイン不可。 発行サイトが潰れると永遠に… ドメインが第三者に渡ると悪用の恐れも。 31
  36. 36. サービス停止対策 対応サイトによっては、複数のOpenIDアカウントを 登録できる。 落ちているときは別の発行サイト経由でログイン。 32
  37. 37. 結論 信頼できる発行サイトを 選びましょう。 33
  38. 38. おわりに OpenIDを使うとWebの認証がもっと便利になりま す。 機会があれば、ぜひOpenIDを使ってみてください。 そして、OpenID対応サイトを作ってみてください。 ご静聴ありがとうございました。 34

×