資料 3 次世代電子行政サービス基盤等検討プロジェクトチーム ( 第 7 回 ) デジタル アイデンティティ フレームワーク OpenID 概要 2009 年 3 月 31 日 株式会社野村総合研究所基盤ソリューション事業本部基盤ソリューション事業一部 工藤達雄 100-0005 東京都千代田区丸の内 1-6-5 丸の内北口ビル
OpenID とは ユーザが自由にアイデンティティ情報 (ID) を選択し サイトをまたがる Web サービスへのログインや認証 属性情報の流通を実現する仕様 OpenID Provider (OP): OpenID 提供サイト OpenID Relying Party (RP): OpenID 対応サイト OP( ポータルサイト ) 誰でも即時アカウント取得可能 ID / パスワードでログイン ポータルサイトの ID でログインし メールアドレスを通知 RP ( 無料日記サービス ) 誰でも気軽にコメ ントしてほしい OP ( 航空券予約サービス ) クレジットカード 番号等を管理 ID / 画像認証でログイン 航空券予約サービスの ID でログインし カード番号を提供 RP( ホテル予約サービス ) 確かな属性情報がほしい OP( 高度認証サービス ) 登録時に厳密な本人確認を行ない 多要素認証を実施 IC カードの証明書でログイン どの ID を使うか どの属性情報を提供するかを 利用者が自由に選択できる 高度認証サービスの ID でログインし 厳密な本人確認の結果を提供 RP ( 医療情報管理サービス ) 本人以外には決して公開しない 1
OpenID を利用したログインの流れ ( 例 ) 認証結果 属性情報の提供が ユーザの同意に基づいて 行なわれるのがポイント http://www.xxx.jp 利用側 利用サイトは OpenID 入力欄 ( もしくは ボタン ) を設けるのみ 発行側ログインしてください ID 発行サイト パスワードを入力ください User ID nomura Password 123234 許諾確認 ID メインID 発行サイト 発行側 サイト :http://www.xxx.jpが以下の情報を求めています 住所 氏名 クレジットカード電話番号 誕生日情報提供を許可しますか? 認証はいのみいいえ さんこんにちは 利用側 my_openid123 1. OpenID 対応サイト (RP) にアクセス 2. 発行側 (OP) のログイン画面へ遷移 3. 認証情報 属性情報の提供の承諾 4. OpenID 対応サイト (RP) にログイン RP OP OP RP RP は OpenID 発行サイトの ボタン ( もしくは OpenID 入力欄 ) を設置 ユーザは自身の利用する OP のボタンをクリックするか メイン ID (OpenID) を入力するだけ RP は押されたボタン もしくは入力された ID から OP の位置を取得し ユーザを OP に誘導 OP がユーザのログイン処理を実施 RP に情報を提供するなら はい 2
OpenID の普及状況 OpenID 発行サイト (OP) ほとんどのインターネット利用者は すでに OpenID を持っている 主な発行サイト ポータル / コミュニティ Yahoo! Google ミクシィ livedoor はてな MySpace AOL Microsoft etc. 通信事業者 /ISP ビッグローブ テレコムイタリア フランステレコム etc. 企業 ( 自社従業員向け ) Sun Microsystems etc. 公共セクター リトアニア エストニア etc. OpenID 対応サイト (RP) 38,000 以上のサイトが OpenID に対応 *1 カジュアルなサービスでの対応が引き続き増加 シリアスなサービスでの採用も徐々に進行中 ホテル予約サービスへの属性提供 みゅう /JAL ホテルズ 医療情報管理サービスへの高度認証によるログイン Microsoft HealthVault オフィス アプリケーション ASP へのログイン 37signals Basecamp 公共サービスへのログイン リトアニア *1 JanRain Blog: Relying Party Stats as of Mar. 1, 2009 http://blog.janrain.com/2009/03/relying-party-stats-as-of-mar-1-2009.html 3
OpenID が他のフレームワークよりも注目されている理由 すぐ試してみることができる 広く利用可能な OpenID 提供サイト と サービスをOpenID 対応にするための実装 の両方が多数存在 仕様が比較的シンプル Web アーキテクチャとの親和性が良い 一般的なブラウザで利用可能 サイト間での事前の取り決めが基本的に不要 ユーザの自由度が高い サービスに対して任意の ID を選択可能 同意に基づく属性連携 4
SAML / Liberty ID-FF Security Assertion Markup Language / Liberty Alliance Identity Federation Framework サービス同士が事前の信頼関係に基づき連携 アイデンティティ プロバイダ (IdP) ID 情報をどこに提供するかを事前に設定 リライング パーティ (RP) ID 情報をどこから入手するかを事前に設定 3 4 2 1 1. サービスにアクセス 3. ユーザ認証 2. 事前設定した IdP からの ID 情報の取得を要求 4. IdP から得た ID 情報を提示 5
OpenID サービス同士をどのように連携させるかを ユーザ が決定 XRDS サービス 2. XRDS 文書を取得し IdP を発見 アイデンティティ プロバイダ (IdP) リライング パーティ (RP) 3. RP が動的に信頼関係を確立 5 6 4 1 1. サービスに 利用する XRDS を明示してアクセス 5. ユーザ認証と ID 情報の提供 4. XRDS により決定された IdP からの ID 情報の取得を要求 6. IdP から得た ID 情報を提示 6
重要な ID 情報を流通させるための仕様の策定 サービス間での認証ポリシーの要求 提供 PAPE (Provider Authentication Policy Extension) OpenID 対応サイトが OpenID 提供サイトに対して ユーザを多要素認証によって本人確認して下さい とリクエストできるようになる 契約に基づく ID 情報の提供 CX (Contract Exchange) ID 情報の利用目的や利用期間を サービス同士が動的に 契約 として定めることができるようになる 7
契約に基づく属性交換決済メッセージを 契約書載せて流通 契約書 にサービス交換契約に基づくOpenID Contract Exchange Extension(CX) 適用分野の拡大のために必須の仕様 否認防止と改ざん防止 暗号化 柔軟に定義可能なメッセージ形式 モバイルブラウザ対応 非同期メッセージング 案OP OP OP Offer RP 署名 契約書 に従って ユーザの ID 属性を提供 Offer RP 署名 契約書 に従って 処理結果 (or 処理状況 ) を通知 決済依頼 Offer RP 署名 属性の利用目的 利用期間等を 契約書案 として記述 OP 署名 Contract Offer RP 署名 加盟店番号 会員番号 金額を 契約書案 として記述 Contract Offer RP 署名 OP 署名 OP 署名 Contract dosomething( contractid ) 処理内容 Offer RP 署名 RP RP RP 契約書に基づくサービスの起動 8
日本が世界をリード OpenID ファウンデーション ジャパン 会員企業 46 社 幅広い会員構成 仕様策定の主導と実サービスへの適用 Trusted Data Exchange (CX の前身 ) の考案 適用 (NRI) EVSSL の採用 ( ビッグローブ ) PAPE CX の策定 (NRI 他 ) メンバーシップ認証 の考案 適用 ( ミクシィ ) 利用者への普及 認知率 28.1% 利用率 15.2% (japan.internet.com 08/10)
OpenID と他仕様との組み合わせ OpenID と SAML との相互運用 SAML 認証コンテクストと PAPE とを相互変換 フレームワークをまたがったID 連携を実現 NRI と NTT が RSA Conference 2009 ( 米国 ) にてデモ予定 OpenID と OAuth とのハイブリッド化 互いに補完関係にあるプロトコル OpenID: ブラウザベースのID 連携 OAuth: ユーザのアクセス権限を考慮したサービス連携 ID 情報の提供 と アクセス権限の委譲 に関するユーザの同意確認を同時に実施
11