OpenIDファウンデーション・ジャパン

OpenID Connect, ふたつのトークンの物語

Wed, 16 Nov 2011 16:10:33 +0900

「なぜ OpenID Connect にはトークンが二種類あるの?」という質問を、たびたびもらいます。そこにはいくつかの設計上の要件があり、わたしたちは仕様策定のなかで議論してきました。

1 - RP (リライング・パーティ) からの要件は、ログイン後のユーザー・インタフェースの簡便なカスタマイゼーションです。

そこでは、ユーザーへのレスポンスを一秒以下で行うことが求められました。つまり、ユーザー ID を取得するための、IdP へのさらなるラウンドトリップ (問い合わせ) は許されなかったのです。パスワードによる認証に加えて数秒の遅延が発生するようでは、実際に使うことはできないと、多くの RP が考えています。

Facebook は署名つきリクエスト (signed request) を用いて、ユーザー ID をレスポンスに格納して返却しています。クライアント (RP) は署名を検証し、ユーザー・インタフェースを即座に表示することが可能です。

2 - Salesforce や他の IdP には、既にユーザー情報 (user-info) エンドポイントとその他保護リソースが存在しており、これらに対するアクセスをスコープとしてアクセス・トークンに追加したいと考えています。

ここでの要件は、異なるアクセス・トークンの形式が強制されることで、既存の実装を変更しなくてはならなくなるようなことは避けたい、ということでした。

3 - T-Mobile 他では、署名つきトークン (signed token) にスコープを含め、エンドポイントに渡しています。

彼らの要件は、トークンに必要な情報だけを格納し、保護リソースに渡す、ということです。リソースは第三者に管理されていることもありうるため、ユーザー ID を送信することは、プライバシー情報の漏洩につながりかねません。

4 - Google 他の要件は、Connect が複数種類のクライアント、とくにブラウザ内の Ajax をサポートすることでした。

5 - リソースごとに毎回ユーザーに認可を求めることはできない、ということには、全員が同意しました。

まず、要件 1 を満たすには、RP に対して user_id の入った署名つきトークンを送る必要があり、そして、そのトークンは認可サーバー (Authorization Server) からのレスポンスに含まれていなくてはないことがわかります。
よって、id_token が必要なのです。Facebook には、署名つきリクエスト (signed request) という独自形式のしくみがあります。わたしたちコミュニティは、JWT という、より汎用的でオープンな標準を考案しました。これは署名つきリクエストと似ており、加えて暗号化もサポートします。

OAuth 2.0 の手法のひとつとして、異なる保護リソースに対して複数のトークンを生成することを、ダウンスコーピング (down-scoping) といいます。各リソースごとに、認可リクエストにおいて、複数のスコープを要求するのです。
認可サーバーは、すべてのスコープに対して有効なリフレッシュ・トークン (Refresh Token) を提供します。そしてこのトークンをトークン・エンドポイントに提示し、全てではなく一部のスコープに対する新しいトークンを要求することになります。

ダウンスコーピングにはいくつか問題がありますが、最も大きなものは、これが code フローでしか使えないため、要件 1 と 4 を満たせないということです。

これに対し、いくつかの選択肢があります:

id_token をアクセス・トークンとして用いる
アクセス・トークンを id_token に含める
ふたつのトークンを返却する

id_token をアクセス・トークンとして用いる方法では、要件 2 を満たせませんし、長い期間有効となるアクセス・トークンがセッション・クッキーとなってブラウザーに保管されるかもしれないという、新たなセキュリティ上の懸念が生じます。

アクセス・トークンを id_token に含めるやりかたは、Facebook Connect が選択した方法と同じです。要件 1 と 2 に対してはうまくいきますが、やはりいくつか問題があります。それは、id_token をセッション管理に用いたいと RP が考えた場合です。そのためにはセッション・クッキーに長期間有効なアクセス・トークンを埋め込むことになりますが、id_token のサイズがかなり大きくなってしまいます。要件 3 は満たせたとしても、アクセス・トークンにはその他のユーザー情報を載せることができません。

認可サーバーからのレスポンスとしてふたつのトークンを返却することで、すべての要件を満たすことができます。

認証されたユーザーの情報が、アクセス・トークンから切り離される
id_token のサイズをかなり小さくすることができる
id-token をセッション・クッキーとして用いる場合にも、アクセス・トークンは漏洩しない
アクセス・トークンを署名つきトークンにすることができ、さらに必要な情報だけを含めることができる
code フローを用いる場合に、引き続きダウンスコーピングを行うことができる
id_token をユーザー・セッションの生存期間と結びつけることが可能であり、一方、アクセス・トークンの生存期間とは切り離すことができる
ふたつのトークンの受け手 (audience) を分けることができるため、それぞれの受け手に合わせた暗号化を行うことが容易となる

一般的に、 OAuth 2.0 の implicitフローを用いる RP では、あらかじめ登録されたリダイレクト・エンドポイントに認可サーバーから返却されたレスポンスの中から、id_token を取り出します。次に署名を検証し、そこに含まれる user_id を用いて Web ページをカスタマイズする一方、もし必要であればさらに、OAuth 2.0 によって認証されたリクエストを user_info エンドポイントに対して行います。これにより、再度アクセスしてきたユーザーのログイン処理を、RP が許容することのできる時間内に行うことができるようになります。新規ユーザーの場合であっても、比較して少し時間はかかりますが、プロファイル情報を取得することが可能です。

OpenID Connect に関連して、新規の OAuth 2.0 response_type が複数登録されています。これによって、クライアントからの様々な要求を満たすためのトークンの返却方法に、いくつかの選択肢が生まれることになります。

id_token を活用した、セッション管理およびシングル・ログアウト拡張についても、現在検討中です。

トークンを分離することについては、現在 OASIS の SAML WG がセッション・トークン・プロファイルの公開レビューを行っており、おそらくそこで部分的にですが検証が行われることになるでしょう。

トークンをひとつにすることは一見魅力的ですが、たくさんの理由から、わたしたちのユースケースの多くに対してはうまくいきません。わたしも単一の JWT トークンを主張していた一人ですが、結局負けました。

近いうちに、OpenID Connect の response_typeについて投稿したいと思います。

John B.

NETWORKWORLD の NSTIC に関する記事

Fri, 19 Aug 2011 14:10:00 +0900

NETWORKWORLD に、米国 NSTIC (National Strategy for Trusted Identities in Cyberspace) に関する二つのコラムが掲載されていたので、紹介しておきます。

Can the Obama Administration fix your identity management problems? （オバマ政権はID管理に関する問題を解決できるか？）

オバマ大統領は、NSTIC のドキュメントの冒頭で、ID窃盗やプライバシー侵害を防ぐたために、セキュアじゃないパスワードをなんとかし、オンライン取引をもっと信頼性の高いものにしたいと謳っている。また、これは米国政府の負債削減という意図も。
NSTIC のワークショップでは、民間のベンダー団体の Open Identity Exchange (OIX) や、Kantara Initiative が参加しており、パイロットプロジェクトが行われる予定。OIX は、OpenID Foundation の姉妹企業。
OIX のメンバーである Verizon 曰く。NSTIC の目的は、オンラインのビジネスが誰にとっても簡単になること。例えば、Best Buy のサイトで買い物するときに、Verison の ID でログインし、さらに必要であれば、ワンタイムパスワードを携帯電話に発行し、それでアクセスできるようになる。
Verizon は長年政府に対して PKI の証明書を発行する仕事をしてきたが、今回 Identity Ecosystem を構成するメンバーの一社と、その立場を変えた。

NSTIC director: ‘We’re trying to get rid of passwords’ （NSTIC担当高官「我々はパスワードを無くすことに注力している」）

NSTIC の担当官である、Jeremy Grant 曰く。パスワードだけに頼らない高度な認証サービスを提供している民間事業者と作業している。目下、彼らと標準ガイドラインに関して合意を取ることに注力中。
17.5百万ドル（約14億円）の予算を今年度 NSTIC のパイロット・プロジェクトとして計上。
Identity Ecosystem では、発行された ID を監査するが、その基準や仕様については、NIST 自身が書かない。NIST は民間企業がコンセンサスを取れるような標準づくりを支援する立場に徹する。これは、大変なチャレンジだけども。
NSTIC には政府による中央集権的データベースは存在しない。政府は、NSTIC に認定されたサービスを採用する。但し、そのための監査はやる。
パスワードというものは脆弱なため、政府は業務をオンライン化できていない。
OIX の会長である Don Thibeau 曰く。パスワードはセキュアではない。Google をはじめとした OIX のメンバーは、政府の NSTIC プログラムに参加している。
OIX は OpenID と OAuth の仕様をベースに、インターネット・スケールのアイデンティティ標準を実現しようとしている。
OIX のメンバーで、NSTIC のパイロットの他に、民間だけでのパイロットも計画。 (Google, AOL, Hotmail 間で)
NSTIC は新しい考えにもとづいたセキュリティ設計に挑戦しようとしている。

Follow The (OpenID) Money

Fri, 19 Aug 2011 12:57:00 +0900

（このエントリは、US OpenID Foundation の2011/8/5付エントリを翻訳したものです。）

Cloud Identity Conference 期間中で開催された OpenID Summit (PingIdentity 社主催)や、Gartner の Catalyst カンファレンス(Identity Management で最も高名なイベントの一つ) で最もホットな話題は、「エンタープライズのコンシューマーサービス化」でした。OpenID は、技術面の牽引役としてこの話題の中心にあり、エンタープライズ及びコンシューマーの両方の利用ケースにおいてどのような価値を果たすのか議論されました。

ついさっきまでインターネットのほんの片隅にいたのに、今メインストリームへ適用されようとしている OpenID の進化は、インターネット・アイデンティティの世界に革新をもたらしたと、ひょっとすると後に理解されるかもしれません。Salesforce.com の Chuck Mortimore 氏の「Does OpenID work for the Enterprise?（OpenID は企業向けで使えるか？）」というお題のプレゼンテーションを見ると、OpenID のユーザ中心的な発想が、事業者中心的なアーキテクチャーをどのように変化させるか、最前線にいるプレーヤーの大胆な考察が伺えます。

OpenID が流行るか流行らないかを判断するには、”follow the money” いわゆる「お金の匂い」がするかどうか嗅いでおくこと、つまりは、リーダー的企業の動きを追っかけっていればいいでしょう。OAuth 2.0 と同じく、OpenID Connect は、数ある技術標準の中でも、Google と Microsoft、Facebook の三社が好んで技術的関与をしているという点で、類を見ない標準です。

これらの企業や、リライング・パーティがどうしていくのかは、誰も予想出来ないけども、彼らがどこに投資しているのかについては見ておくことができます。関連するカンファレンスやパイロットで、JanRain や PingIdentity のような業界のリーダー的企業が、OpenID プロトコルに対して、数年掛けて数億円の投資を行っているわけです。

このような投資の動きを見てると、今日の Web におけるソーシャルへのログインやシングルサインオン以上の価値がありそうだと判断できます。投資アナリスト達は、世界的に Identity Management ソリューションに大きな需要があると言っていて、Ping Identity や Janrain のような会社は、ファンドからの大規模の投資を受け、このビジネス機会をものにしようとしています。

もちろん不安要素もあるわけで、それはChuck Mortimore 氏が言うような新しいマーケット環境に適応するために、OpenID が過去1、2年ずっと静かだったという点です。だけども、標準というものをつくることは、そんなに簡単ではなく、時間とお金がかかります。業界のリーダー的企業によって率いられるボランタリーのコミュニティは、OpenID のような基本技術を再設計するには、いろいろと配慮する必要があるわけです。

一方で、Symantec や PayPal、Google などの OpenID ファウンデーションのメンバーは、OpenID Summit や様々なイベントを共催し、OpenID の進化について議論し、さまざまな分野でどう適用していくか計画を立てています。OpenID は、将来の確固たる技術的な基盤として、シリコンバレーのある意味寵児になりつつあります。

OpenID Foundation と Google が携わってきた、Account Chooser の仕組みを見てもらえればと思います。これは、分散型の相互運用可能なアイデンティティ・ソリューションの考え方を踏襲しながら、OpenID 技術をマス向けに分かりやすく拡張可能にしたものです。

OpenID が再び流行るかどうかを見極めるためには、どうしたらいいでしょうか。9月12日と13日にカリフォルニアのマウンテンビューの Microsoft のオフィスで実施される「OpenID Summit」にて、OpenIDファウンデーションは、技術的インターロップとテストのためのワークショップを開催します。OpenID Connect に興味を持っている、技術者・開発者向けになります。

ここでは、Webサイトの運営をしている企業が、パスワードを自社で管理するべきでなく、IDプロバイダーとの連携をとるべきである理由について、いろいろと学べるセッションを用意しています。OpenIDの進化が、上昇基調にあるのかないのか是非目で見て確かめて頂ければと思います。乞うご期待！

技術者向け無料セミナー "OpenID TechNight Vol.8 in 大阪 " を開催いたします。

Thu, 18 Aug 2011 16:57:00 +0900

技術者向け無料セミナー "OpenID TechNight Vol.8 in 大阪 " を開催いたします。:

仕様が策定中の OpenID Connect と OAuth 2.0 の最新状況や、ID プロバイダーの取り組みについてご紹介します。

■日時：
2011年 9月 9日（金） 16:00 ～ 18:30（開場15:30 ～）

■ 場所：
株式会社ケイ・オプティコム 16階会議室（中之島ダイビル）（大阪市北区中之島3-3-23）地図はこちら

■ 対象：
Web Identity 技術にご興味をお持ちの方。
特に、Twitter / Facebook / Google / mixi などの API を触ったことがある方、これから勉強してみたいと思っている方。

■ プレゼンテーション（予定）：
「OpenID Connect latest spec」 by @ritou
「OAuth latest spec」 by @nov
「Microsoft の Restful Identity」 by @phr_eidentity
「eoID の OpenID 化について」 by K-Opticom

■ インターネット中継：
当日の模様は Ustream の以下の URL にて中継する予定です。
http://www.ustream.tv/channel/openid-tech-night

■ Twitterハッシュタグ：
#openid #technight

Connect | OpenID

Thu, 18 Aug 2011 16:41:33 +0900

Connect | OpenID:

OpenID Connect の現在の概要を説明するページが公開されました。

Connect | OpenID

OpenID Connect とは?
OpenID 2.0 となにが違うの?
現在のバージョン（仕様群）
メーリングリストへの参加
開発者とアーリーアダプターのみなさまへ

中小企業では、社員のアカウント管理がGoogleやセールスフォースなどクラウドに移行していくのではないか－ Publickey

Thu, 18 Aug 2011 15:58:36 +0900

中小企業では、社員のアカウント管理がGoogleやセールスフォースなどクラウドに移行していくのではないか－ Publickey:

アイデンティティ管理でもコンシューマが先行

OAuthやOpenIDは、GoogleやFacebookやYahoo!、そしてTwitterなどでよく使われている技術で、例えば GoogleのIDでほかのアプリケーションにログインしたり、TwitterのIDで別のアプリケーションにログインするといったことを実現してくれています。

企業がこれからクラウドのアプリケーションを業務の中に取り入れ、それらを相互に連係させたりシングルサインオンを実現しようとするときには、その OAuthやOpenIDの技術（あるいはその発展系）を利用する方向に向かっています。アイデンティティの世界でもコンシューマが技術で先行し、エンタープライズはその後を追うというコンシューマライゼーションの流れは変わらないようです。

Event Report　【OpenID Tech Night Vol.7】

Thu, 18 Aug 2011 15:52:44 +0900

Event Report　【OpenID Tech Night Vol.7】 :

OpenIDファウンデーション・ジャパン（OIDF-J）主催の技術セミナー第7弾「OpenID Tech Night Vol.7」が、2011年8月5日、秋葉原UDXカンファレンスにて開催されました。

最初にファシリテーターのOpenIDファウンデーション・ジャパン山中より開始の挨拶。
IT/Web業界における最近の問題意識の共有から！という流れで「ソーシャル」「モバイル」「クラウド」がキーワードとして挙げられました。

氏はエンタープライズとコンシューマーWeb間のギャップを例に取り、採用のスピードの違い(コンシューマWebが先でエンタープライズは後追い)、コンシューマーWebではAPIを公開して流行させプラットフォーム化している等の現状があることを説明。

…

@nov氏からはOAuth2.0 の最新仕様についてのプレゼンテーションです。

…

現在、各有名サイトではOAuth2.0のDraft10を利用しており、Draft20は8月12日までレビュー中となっています。

続いて、OAuth(Draft20)のオーソライズの仕組みについても丁寧な解説がありました。
Core Spec、TokenType Spec、Tokenのタイプ、セキュリティの考慮など、twitterのようなサービスを例に取ってわかりやすいものとなっていました。
コード詳細はプレゼンテーションに含まれています。

…

@_nat氏からは待望の(?)OpenID connect についてのプレゼンテーションです。

…

まずOpenID の設計方針についてですが、これは以下のような説明がありました。
・簡単なことは簡単にしよう
OAuth2.0ベース
JSONを活用
・複雑なことも可能にしよう
各セキュリテイレベル対応 - LoA（Level of Assurance)1～4の設定
クレーム集約
分散クレーム

…

最後に、「OpenID Summit APAC」の開催が告知されました。日程は12月1日、会場は同じ秋葉原UDXです。

…

@tkudos氏からはCIS2011(Cloud Identiy Summit 2011)参加の報告です。

…

こちらでのメイントピックは、クラウド関係とアイデンティティガバナンスだったそうです。

…

今回も100人近い参加者を迎えての開催となり、OpenID技術への関心の高さをうかがい知ることができるセミナーとなりました。

「信頼フレームワーク最新動向」が開催されました。

Mon, 01 Aug 2011 12:58:00 +0900

7/28に、「信頼フレームワーク最新動向」～Open Government, Open Economy, Open Identity～が実施されました。

■ プレゼンテーション：
「トラストフレームワークの国際動向」
山中進吾（OpenIDファウンデーション・ジャパン）

「US政府のID戦略に関するワークショップ参加報告」
折田明子氏（慶應義塾大学）

■ パネル・ディスカッション：
杉浦宣彦氏（中央大学ビジネススクール教授）
折田明子氏（慶應義塾大学SFC 特任講師）
下道高志氏（カンターラ・イニシアチブジャパンセクレタリー）
高橋伸和氏（日本ベリサインフェロー）
山中進吾（OpenIDファウンデーション・ジャパン）

米国のID戦略を中心に、トラストフレームワークの利用者にとってのメリットや新しいガバナンスモデル、過去に存在した仕組みとの比較、ソーシャルネットワークのIDとの関係性など、幅広い内容をカバーしました。

当日の模様はこちら。

「トラストフレームワーク最新動向」山中進吾
110728 Trust Framework - Shingo Yamanaka

「US政府のID戦略に関するワークショップ NSTIC Privacy Workshop 参加報告」折田明子氏
110728 Trust Framework - Akiko Orita

「Trust に対する取り組みの歴史」下道高志氏
110728 Trust Framework - Takashi Shitamichi

「信頼フレームワーク最新動向」高橋伸和氏
110728 Trust Framework - Hawk Takahashi

技術者向け無料セミナー "OpenID TechNight #7" を開催いたします。

Fri, 15 Jul 2011 19:25:42 +0900

技術者向け無料セミナー "OpenID TechNight #7" を開催いたします。:

仕様が策定中の OpenID Connect や OAuth 2.0 の最新状況や、海外のクラウド・アイデンティティの動向などについて、分かりやすく解説します。

参加をご希望の場合は、以下のセミナー申込フォームより必要事項をご記入の上、お申し込みください。たくさんの皆さんのご参加、お待ちしております！

■日時：2011年8月5日（金） 19:00 ～ 20:30（開場18:45 ～）

■場所：秋葉原UDXカンファレンス6Fフロア地図はこちら

■プレゼンテーション：
(1) 「OpenID Connect latest spec」 by @_nat

(2) 「OAuth latest spec」 by @nov

(3) 「“Cloud Identity Summit 2011” Report」 by @tkudos

and more…（現在調整中！）

■インターネット中継当日の模様は Ustream の以下の URL にて中継する予定です。
http://www.ustream.tv/channel/openid-tech-night

■Twitterハッシュタグ #openid #technight

Identity Conference #9 に参加してきました。

Thu, 14 Jul 2011 14:16:00 +0900

7/8 に開催された Identity Conference #9 @ mixi本社にて、@ritou さんより OpenID Connect の最新仕様の紹介がされました。

The Latest Specs of OpenID Connect at #idcon 9

View more presentations from ritou

Ustream の録画はこちら。（OpenID Connect の話は、01:03:40くらいから始まります。）

発表者のプレゼンテーション資料（一部）はこちら。

(1)「OAuth support on mixi Platform」@asyoulike007

(2)「OpenTransactって何？」@nov

(3)「Identity over the Browser (仮)」@bkihara

(4)「OpenID Connect最新仕様（仮）」@ritou （上の資料と同じ）

(5)「SalesforceのID関連について」@mitsuhiro

(6)「番号制度と情報連携基盤について」@gjmtj

加えて、@mad_p さんによるレポート（発表内容の要約）はこちら。

idcon9レポート - mad-pの日記

ID連携がもたらす決済分野でのビジネスの可能性は？ « ペイメントナビ

Tue, 12 Jul 2011 17:59:39 +0900

ID連携がもたらす決済分野でのビジネスの可能性は？ « ペイメントナビ:

2011年7月12日7:40

海外におけるID連携の最新動向は？
米国政府では、「NSTIC」という国家プロジェクトを実施

一般社団法人OpenIDファウンデーション・ジャパンは、国内におけるOpenID技術の普及・啓蒙活動を行っており、2011年7月現在、48 社の会員が参加している。今回は事務局長の山中進吾氏に、海外の状況も踏まえ、ID連携がもたらす決済分野でのビジネスの可能性について説明してもらった。

Event Report　「US Patient ID Service」パイロット報告会

Fri, 08 Jul 2011 15:04:00 +0900

Event Report　「US Patient ID Service」パイロット報告会:

OpenIDファウンデーション・ジャパンが参画いたしました「US Patient ID Service」パイロット（フェーズ１）の報告会を2011年7月6日、富士通株式会社より会場のご提供をいただき開催されました。

当日は、米国連邦政府が推進する「医療分野のネットワーク化」に関する政策検討の中で、米 Kantara Initiative と eCitizen Foundation 主導で行っているパイロットプロジェクトフェーズ１の中間報告を崎村様よりスライドを交えご報告いただきました。本パイロットでは、保証レベルの異なる ID を使って、患者本人のコントロールの下、病院／ヘルスケアプロバイダー／PHRサイトなど複数機関の間で医療データを安全に流通させることを実証していきます。

OpenID Connect の 2011 年の予定

Thu, 07 Jul 2011 19:41:00 +0900

OpenID Connect の仕様策定に向けたタイムラインがアナウンスされています。

7 月

OpenID Connect 仕様の実装者向けドラフトを、openid.net/specs および svn.openid.net にて公開。
OpenID Connect の相互運用に向けた作業の第一回を Cloud Identity Summit にて開催。

8 月

予備的な相互運用性テストを行なうためのプロトタイプ実装を公開。これらの実装から得た知見を、Allen Tom 氏と OpenID Connect ワーキング・グループにフィードバック。

9 月

ライブラリ実装の暫定版を公開
9/19 (仮): OpenID Summit と、フェースツーフェースの理事会を開催 (ベイエリアのどこかを予定)
9/20, 21: 米国 NSTIC (National Strategy for Trusted Identity in Cyberspace) のアイデンティティ技術標準ワークショップ (ベイエリアのどこかを予定)

10 月:

10/17 (仮): OpenID Summit と、フェースツーフェースの理事会を開催 (ベイエリアのどこかを予定)
10/18-20: IIW (カリフォルニア州マウンテンビュー)

(仮) OpenID Summit (英国のどこかを予定)

11 月:

(仮) OpenID Summit (東京のどこかを予定)

米 OpenIDファウンデーションのメンバーに Intel が加わりました！

Thu, 07 Jul 2011 19:08:00 +0900

（このエントリは、US OpenID Foundation の2011/5/5付エントリを翻訳したものです。）

OpenID テクノロジーの開発と広範な適用の促進に注力しているオープン・スタンダード・コミュニティである OpenID ファウンデーション (以下、OIDF) は本日 Intel 社のアプリケーション・セキュリティ／アイデンティティ製品グループがファンデーションに参加したことを発表します。OIDF への参加によって、 Intel はインターネット・デジタル・アイデンティティのための解決策の一つとして OpenID をサポートすることを意思表明をしました。

Intel は Google や Facebook、Yahoo、Microsoft、PayPal、Symantec、Ping Identityなど多様な業界リーダー企業群に加わり、OIDF のデジタルアイデンティティに対するオープン標準の成長をサポートすることになります。

これらの企業の活発な関与のおかげで OpenID は広い範囲で影響やインパクトを持つことができ、市場のさまざまなニーズやユースケースに対して OpenID のような ID ソリューションが重要だということを示してきました。

OIDF のメンバーは、デジタル・アイデンティティを安全に管理するためのオープンな選択肢を促進することに注力してきました。また、重要な企業サイトやコンシューマー向けコミュニケーションサイトの多くを横断するインターネット・シングル・サインオンの機能を拡張するのに貢献してきました。

「マーケットリーダーとして Intel はデジタル・アイデンティティに関するオープンスタンダードの重要性を理解しています。Intel の持つユニークな専門性やキーとなる市場に関する洞察を共有できる機会に恵まれて興奮しています。」と、OpenID ファウンデーションのエグゼクティブ・ディレクターの Don Thibeau は述べています。

また、Intel のアプリケーション・セキュリティ／アイデンティティ製品グループのディレクターである Girish Juneja はこう述べています。「企業、パートナー、クラウドサービスプロバイダーの間でシームレスな相互運用性を確保することで、安心、安全な連携アイデンティティの交換が始まります。OpenID はシンプルなアクセス・プロトコルを提供することでアイデンティティの相互運用に関わる課題を解決することに専念しています。Intel はこの標準のさらなる発展に積極的に関与し、Intel® Expressway Cloud Access 360 Single Sign-on 製品の OpenID 実装を拡張・運用する上での助けになればと考えています。」

OpenID Connect の地図

Thu, 07 Jul 2011 18:45:00 +0900

（このエントリは、US OpenID Foundation の2011/4/29付エントリを翻訳したものです。）

IIW がもうすぐ開催されます。

その場を利用して、次のバージョンの OpenID に関してフェース・トゥ・フェースの議論を予定しています。

このエントリでは、IIWに参加する人たちや他の皆さんのために、今の OpenID の仕様策定のいくつかのポイントについて解説したいと思います。

OpenID 2.0 からの変更の一つは、新しい仕様はモジュール化されているということです。

下の図は OpenID ABC の各コンポーネントを示していて、それぞれの仕様にリンクが張られています。

（詳しい仕様を見たい方は、英文エントリの図をクリックしてみてください。）

全ては OAuth 2.0 と OAuth の Bearer Token Profile の上に作られていています。

また、異なるデバイスのために複数の OAuth フローをサポートしています。

抽象的なプロトコルを記述するコア仕様が、OpenID Connect の心臓部になります。
また、いくつかの OAuth フローのためのバインディングを作ってきました。

アーティファクト: URLの長さ制限のある携帯デバイスのためにフローを最適化
Web アプリケーション/コード認可: Web サーバーのための、分かりやすくシンプルなバインディング
スマートクライアント: スマート・ユーザー・エージェントのためのバインディング（開発中）

JSON Web Token は仕様にのコアに使われていて、以下の４つのパートから成っています。

JSON Webトークン: コアとなるトークン仕様
JSON Web Signature: 署名の仕様
JSON Web Encryption: 暗号化の仕様
JSON Web Key: 公開鍵を表現する簡易な方式

eメールアドレスや URI のようなユーザの識別子のディスカバリーは Simple Web Discovery のプロファイルによって実行されます。

セッション管理の仕様は今のところ分かれていますが、コア仕様に統合される予定です。

顕著な問題

我々は、以下の顕著な問題を解決するために、IIW 開催周辺でフェース・トゥ・フェースの時間を使いたいと思っています。

Claimed ID タイプ: 単体の URL のためのものと、user_ID と IdP/OP の識別子が分かれているような二つの識別子のためのもの
PAPE/認証コンテクスト: これは政府向けだったりよりセキュアなアプリケーション向けに必要なものです。
ユーザー情報エンドポイントとベースとなる属性のスキーマを定義するためのフォーマル仕様
他の拡張仕様を追加するための方法の定義
信頼されたソースからのクレームをリクエストするための構文定義

それから、皆さんが分割された仕様を苦労して解読しなくても済むように、クライアントをより簡単に開発するための実装ガイドを作成中です。

5月の IIW 後のアップデートを楽しみにお待ちください！

John B.

OpenIDファウンデーションのブログとFacebookページを開設しました！

Fri, 01 Jul 2011 14:43:00 +0900

本ブログでは、Web Identity に関するお得な情報をお届けします。

また、公式 facebook ページも開設しました。

OpenIDファウンデーション・ジャパン

OpenID Connect, ふたつのトークンの物語

NETWORKWORLD の NSTIC に関する記事

Follow The (OpenID) Money

技術者向け無料セミナー "OpenID TechNight Vol.8 in 大阪 " を開催いたします。

Connect | OpenID

中小企業では、社員のアカウント管理がGoogleやセールスフォースなどクラウドに移行していくのではないか － Publickey

アイデンティティ管理でもコンシューマが先行

Event Report 【OpenID Tech Night Vol.7】

「信頼フレームワーク最新動向」が開催されました。

7/28に、「信頼フレームワーク最新動向」 ～Open Government, Open Economy, Open Identity～ が実施されました。

技術者向け無料セミナー "OpenID TechNight #7" を開催いたします。

Identity Conference #9 に参加してきました。

ID連携がもたらす決済分野でのビジネスの可能性は？ « ペイメントナビ

Event Report 「US Patient ID Service」パイロット報告会

OpenID Connect の 2011 年の予定

米 OpenIDファウンデーションのメンバーに Intel が加わりました！

OpenID Connect の地図

OpenIDファウンデーションのブログとFacebookページを開設しました！

中小企業では、社員のアカウント管理がGoogleやセールスフォースなどクラウドに移行していくのではないか－ Publickey

Event Report　【OpenID Tech Night Vol.7】

7/28に、「信頼フレームワーク最新動向」～Open Government, Open Economy, Open Identity～が実施されました。

Event Report　「US Patient ID Service」パイロット報告会