クロスドメインでのデジタルアイデンティティを守る

APIアクセス権を委譲するプロトコル、
OAuthを知る


作島 立樹
NRIパシフィック
2008/1/21



 プロバイダにとっても大きいOAuthのメリット

 ユーザーにとってOAuthを利用するメリットは、その特徴が表しているように、IDとパスワードをコンシューマに預けなくてもよいことと、コンシューマに与える権限を事前に確認できることである。また、あるサービスプロバイダへ複数のコンシューマが接続している場合、それらコンシューマのアクセス管理(ルールの変更、削除など)をサービスプロバイダ上で一元管理できるようにもなる。

 サービスプロバイダから見たメリットは、自前で認可プロトコルの実装を行う必要がなくなるということだ。OAuthの機能やセキュリティの強化はコミュニティで図られるので、サービスプロバイダはAPIのアクセス権をやりとりするプロトコルの実装を意識することなく、事業に直結するコアな機能の開発に集中できるようになる。

 また、OAuthが業界標準となれば、コンシューマに共通のAPIを提供することでコンシューマとしてOAuthをすでに利用しているサイトを自社のサービスに招きやすくなる。将来、コンシューマを相手にした情報ブローカーとなり、自社サービスの周辺に多数のコンシューマが集まって有機的に構成される「巨大なサービスのエコシステム」を構築したいプロバイダにとって、OAuthは魅力的な選択肢となるはずだ。

 コンシューマ側での最大のメリットは、自社のサービスでのセキュリティとプライバシーのリスクを軽減できる点であろう。メールボックスにアクセスできるIDとパスワードは立派な個人情報だ。OAuthを採用してユーザーから必要以上の情報を預かることを避けることができれば、法的責任が発生するリスクを抑えることができる。また、APIを通じてアクセスするユーザーリソースをどのように利用するのか説明するポリシーを提示し、ユーザーから適宜同意を取れば、ユーザーの情報の取り扱いについてのアカウンタビリティも向上する。

 OAuthのこれから

 2008年のOAuth絡みの取り組みとして注目されるのは、

  1. Discovery仕様の決定
  2. OpenIDとの相互運用

である。

 OAuth Discovery は1.0 Draft 1が2007年12月12日に発表され、IIW2007bでも議論が行われた(議事録)。Discoveryは、サービスプロバイダのAPI接続に必要な設定情報をコンシューマが機械的に読めるようにして、コンシューマ登録プロセスを自動化するというもの。発見プロトコルそのものは仕様で定義しておらず、OpenIDと同じ方法(YadisとXRDS文書)が使われることになる。コンシューマがサービスプロバイダへの接続に必要な情報を機械的に読み取れるようになると、これらの2者は事前のやりとりなしに動的に関係を結べるようになる。過去にWebサービスのUDDI(Universal Description, Discovery and Integration)で行おうとしていたことが、特定のレジストラに依存することなく、実現できるようになるということかもしれない。

 OpenIDとの相互運用であるが、IIW2007bで取り上げられたユースケースは、あるコンシューマ(例えばPlaxo)に初めて訪れたユーザーが、OpenIDプロバイダ兼OAuthサービスプロバイダ(例えばYahoo!)へのOpenIDを示し、OpenIDプロバイダへリダイレクトされた後、そこで認証を行い、さらにOpenIDプロバイダにあるコンタクト情報へアクセスするAPIの接続をコンシューマに許可するか確認した後で、トークンとともにコンシューマに戻ってくるシナリオである。ほかにも、「OpenIDプロバイダを経由してユーザーが利用しているすべてのサービスプロバイダを発見させてはどうか」「OpenIDプロバイダでトークンの管理もさせてみてはどうか」など、OAuthとOpenIDとの組み合わせの可能性は尽きない。

 OAuthに関する新たなアイデアや取り組みについての会話は、OAuth Extensions Group上で行われている。2008年5月に開催されるIIW2008aでも何らかの発表があるかもしれない。興味のある方は参加されてみてはいかがだろうか。

3/3

Index
APIアクセス権を委譲するプロトコル、OAuthを知る
  Page1
マッシュアップの犠牲になるユーザーのアイデンティティ
TwitterのAPIアクセス権を委譲できないか?
  Page2
OAuthプロトコルを知る
Page3
プロバイダにとっても大きいOAuthのメリット
OAuthのこれから

Profile
作島 立樹(さくしま たつき)
NRIパシフィック

シリコンバレー(サンマテオ市)にある野村総合研究所のR&D拠点 NRIパシフィック に勤務する特別研究員。 主にITセキュリティ技術に関する調査・研究とプロトタイプ開発を担当している。

関連記事
  OpenIDの仕様と技術 連載インデックス
  OpenIDが熱狂的に受け入れられる理由
  OpenIDを使ってみた
  「OpenIDはメアド同様に複数使い分けてもいい」、OpenID提唱者

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間