
第1回 仕様から学ぶOpenIDのキホン
山口 徹
サイボウズ・ラボ株式会社
2007/7/6
にわかに注目を集めている、URLをIDとして利用する認証プロトコル、OpenID。本連載ではこのプロトコルの仕組みを技術的に解説するとともに、OpenIDが今後どのように活用されていくのかを紹介する(編集部)
OpenIDってなんだろう?
現在、国内外でにわかに注目されつつあるOpenIDという仕組みを聞いたことがあるでしょうか? これはユーザー中心の分散ID認証システムですが、まだ日本での普及は進んでいない状況です。
これにはいくつか原因が挙げられるでしょうが、筆者はOpenIDが正しく理解されていないことが原因だと考えます。
本連載ではOpenIDの現行仕様、およびその拡張仕様とともに、実装を例に取りつつOpenIDとは何かということを明らかにしていきます。最終的にはOpenIDが切り開く未来を見るため、現在策定中の次期仕様についても触れていきたいと思います。
広がりつつあるブラウザベースの認証API
Web上での認証APIサービスにはすでにいくつかのサービスが存在します。代表的なものとしては、
- Flickr Authentication API
- Google Account Authentication
- Yahoo Browser-Based Authentication
- TypeKey API
- livedoor Auth
- はてな認証API
- JugemKey 認証API
などが挙げられます。
これらのサービスを利用してシステムを作ると、シングル・サインオン(SSO)に近い仕組みを導入することができます【注1】。
| 【注1】 正しくいえば同一のアカウントを利用することは可能ですが、認証済みのIDに対 して、認可を安易に行うかどうかは別問題です。 |
![]() |
| 図1 シングル・サインオンの仕組み |
これらのサービスにほぼ共通していえることがいくつかあります。その中でも特筆すべき事柄は2つで、1つは特定のサービスプロバイダのアカウントに依存していること、もう1つがWebブラウザをベースとした認証システムであるということです。
「認証(Authentication)」と「認可(Authorize)」って何が違う?
ID管理の中で良く聞く「認証(Authentication)」と「認可(Authorize)」は明らかに異なります。
OpenIDが認証の仕組みと、その認証されたIDを受け入れるサービス側がどのようなポリシーで認可を行うかという問題に対して、OpenIDが持つ潜在的な問題点を明らかにして行くために、ここで言葉を定義しておきましょう。
- 認証(Authentication)
そのユーザーが自分の物であると主張するIDに対して、そのIDが確かにそのユーザーの物であるということを保証すること
- 認可(Authorize)
認証されたIDを受け入れ、サービスに対して適切な権限を与えること
一般的なWebベースの認証サービスは、特定の認証プロバイダがユーザーのIDの認証を担当します。サービス側から見れば、特定の認証プロバイダが信頼に足るならば、その認証プロバイダが認証したユーザーのIDを認可する上でそれほどの問題はありませんが、OpenIDは分散認証システムであり、この認証プロバイダが複数存在します。
この認証プロバイダは限定されたベンダが行っているとは限らないので、通常の認証局と同等に考えるのは妥当ではありません。
![]() |
| 図2 認証と認可の違い |
この細かいニュアンスの違いはOpenIDにとっては大きな意味を持ってきます。
1/3 |
| Index | |
| 仕様から学ぶOpenIDのキホン | |
| Page1 OpenIDってなんだろう? 広がりつつあるブラウザベースの認証API 「認証(Authentication)」と「認可(Authorize)」って何が違う? |
|
| Page2 特定のベンダに依存するメリット・デメリット OpenIDの現行仕様 OpenIDの概観を学ぼう |
|
| Page3 保存版・OpenID1.1の用語集 |
|
OpenIDの仕様と技術 バックナンバー
| ●修正履歴 【2007/7/9】 初出時に「Authentication(認証)」と「Authorize(認可)」について、訳語・用法が不適切な部分がございました。本用語について全体的に見直しを行い、修正・加筆いたしました。 |
| OpenIDの仕様と技術 連載インデックス |
ホワイトペーパー(TechTargetジャパン)
- この脆弱性対策エンジンは“永遠に完成しない” (2010/3/9)
パターンファイルに頼らず防御する「要の技術」は、いまも完成にはいたっていない。その理由とは―― - Gumblarがあぶり出す 「空虚なセキュリティ対策」 (2010/3/1)
ガンブラーの脅威は、組織の構造や外部委託問題をあぶり出します。そのセキュリティ対策、建前論になっていませんか? - 決済アプリのセキュリティ基準、PA-DSSとは (2010/2/24)
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します - 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 (2010/2/22)
ダークナイトからの挑戦状、いかがだっただろうか。WiresharkにNetworkMiner、WinRARを駆使し、“J”に隠された秘密を解き明かせ!
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
| 「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
| 「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
| 仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
| 仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
| おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
| 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報

**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |

| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |

| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |

| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |

| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |

| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |








