ユーザーをウェブサイトやモバイル・アプリにサインインさせること自体は特に難しくない。しかしログイン情報を安全に保つテクノロジーはこれまでセキュリティー専門家が扱うものとされてきた。
今日(米国時間2/26)、OpenID財団がローンチしたOpenID Connectは分散IDシステムに基づくユーザー認証の新しい規格だ。これに対してMicrosoft、Google、Salesforce、Deutsche Telekom、AOL(TechCrunchの親会社)など有力テクノロジー企業と電話キャリヤ多数がサポートを表明している。
デベロッパーはこの規格を利用して簡単なコードを書くだけでサインインのプロセスをMicrosoftやGoogleなどのIDプロバイダににアウトソースすることができる。つまり.OpenIDdを利用すればデベロッパーは自らのサーバにパスワードを保管する必要がなくなる。
OpenID財団は、この新規格によってデベロッパーはユーザーのログイン情報の安全な保管という重荷から解放されるとしている。デベロッパーに代わって、大規模なインフラと高度な技術力を持ち、セキュリティーに対する侵害について常に最新の情報が得られるIDプロバイダがログイン情報を安全に保つ責任を負うことになる
OpenID財団の以前のログイン規格とは異なり、OpenID ConnectはSSL接続に加えてOAuthによるユーザー認証を採用している。以前の規格はXMLと独自のメッセージ・シグナチャーを利用していたため、デベロッパーが実装するためには相当の技術力を必要とした。新バージョンでは、OAuth 2.0が安全な接続とデータ交換を処理する。
それではなぜOAuthだけでなく、その上にさらに別のレイヤを必要とするのだろうか? OpenID財団の崎村夏彦理事長は「OAuthはアクセス許可のプロトコルだが、ユーザーの身元を確認するプロトコルではない」という(ビデオで崎村理事長が自ら説明している)。そのためOAuthにはなりすましを許しやすいなどの弱点がある。FacebookもOAuthを利用してサードパーティーのサインインを助けている。 Facebookのsigned requestsはFacebookの独自規格であるという点を除けばその機能はOpenID Connectと非常によく似ている
Googleのアイデンティティー・プロダクトのグループ・マネージャー、Eric Sachsは私のインタビューに対して「ほとんどのデベロッパーはOAuthの処理に慣れている。このプロトコルの主要部分は、多くのデベロッパーがAPIにアクセスするためにすでに利用したことがあるテクノロジーだ」とConnectを使う利点を強調した。Sachsによれば、GoogleはOpenID ConnectをGoogle+のサイイン・ライブラリに採用するのを始めとしてその普及に全力で取り組むという。
Googleはサードパティーに提供するサインイン機能をすべてOpenID Connect規格にアップデートし、現在のOpenIDは来年にもサポートを打ち切る予定だ。Sachsは「デベロッパーはできるだけ速やかにOpenID Connectに切り替えるべきだ」と言う。
しかしOpenID Connectにとって普及に向けての大きな勝利は、今週、今回の規格の正式発表に先立って、 バルセロナで開催されたモバイル・ワールド・コングレスの主催者であり800社以上のモバイル・ネットワークが参加する団体、GSMAが新しい安全なモバイル接続におけるユーザー認証の規格としてMobile Connectを制定したことだ。モバイル・ネットワーク各社はOpenID Connectの採用によって、ネットワーク間の安全な相互運用性が確保されることを期待している。
[原文へ]
(翻訳:滑川海彦 Facebook Google+)