Microsoft PowerPoint - 【資料３】Open ID概要.ppt

デジタル・アイデンティティ・フレームワーク

「OpenID」 概要

次世代電子行政サービス基盤等検討プロジェクトチーム(第7回)

2009年3月31日

株式会社野村総合研究所

基盤ソリューション事業本部

基盤ソリューション事業一部

工藤達雄

〒100-0005

東京都千代田区丸の内1-6-5 丸の内北口ビル

資料３

Copyright © 2009 Nomura Research Institute, Ltd. All Rights Reserved.

„

ユーザが自由にアイデンティティ情報 (ID) を選択し、サイトをまたがる

Webサービスへのログインや認証・属性情報の流通を実現する仕様

z

OpenID Provider (OP): OpenID提供サイト

z

OpenID Relying Party (RP): OpenID対応サイト

OpenID とは

1

RP (医療情報

管理サービス)

「本人以外には決し

て公開しない」

RP (無料日記

サービス)

「誰でも気軽にコメ

ントしてほしい」

RP(ホテル予約

サービス)

「確かな属性情報が

ほしい」

OP(ポータル

サイト)

誰でも即時アカ

ウント取得可能

OP

(航空券予約

サービス)

クレジットカード

番号等を管理

OP(高度認証

サービス)

登録時に厳密な

本人確認を行ない、

多要素認証を実施

ID / パスワー

ドでログイン

ID / パスワー

ドでログイン

ポータルサイトの

IDでログインし、

メールアドレスを

通知

ポータルサイトの

IDでログインし、

メールアドレスを

通知

ID / 画像認証

でログイン

ID / 画像認証

でログイン

ICカードの証

明書でログイ

ン

ICカードの証

明書でログイ

ン

航空券予約サー

ビスのIDでログイ

ンし、カード番号を

提供

航空券予約サー

ビスのIDでログイ

ンし、カード番号を

提供

高度認証サービ

スのIDでログイ

ンし、厳密な本人

確認の結果を提

供

高度認証サービ

スのIDでログイ

ンし、厳密な本人

確認の結果を提

供

どのIDを使うか、どの属性

情報を提供するかを、利

用者が自由に選択できる

どのIDを使うか、どの属性

情報を提供するかを、利

用者が自由に選択できる

OpenIDを利用したログインの流れ(例)

„

認証結果・属性情報の提供が「ユーザの同意に基づいて」行なわれるの

がポイント

・RPは、OpenID発行サイトの「ボ

タン」 (もしくはOpenID入力欄)

を設置

・ユーザは自身の利用するOPの

ボタンをクリックするか、メイン

ID (OpenID)を入力するだけ

○○さん こんにちは

1. OpenID対応サイト

(RP)にアクセス

2．発行側(OP)の

ログイン画面へ遷移

3.認証情報・属性情報

の提供の承諾

4. OpenID対応サイト

(RP)にログイン

http://www.XXX.jp

my_openid123

RPは押されたボタン、もしくは

入力されたＩＤからOPの位置

を取得し、ユーザをOPに誘導。

ＯＰがユーザのログイン処理を

実施。

RPに情報を提供するなら

「はい」

ＲＰ

ＯＰ

ＯＰ

ＲＰ

利用側

ID

許諾確認

はい

いいえ

サイト：

http://www.XXX.jp

が

以下の情報を求めています

・ 住所、氏名、クレジットカード

電話番号、誕生日

情報提供を許可しますか？

認証

のみ

【メインID発行サイト】

発行側

利用側

利用サイトは

OpenID入力欄

(もしくは「ボタン」)を

設けるのみ

Password

ログインしてください

【ID発行サイト】

パスワードを入力ください

User ID

nomura

発行側

123234

Copyright © 2009 Nomura Research Institute, Ltd. All Rights Reserved.

OpenIDの普及状況

„

OpenID発行サイト (OP)

z

ほとんどのインターネット利用者

は「すでにOpenIDを持っている」

z

主な発行サイト

▪ ポータル/コミュニティ

▪ Yahoo!、Google、ミクシィ、

livedoor、はてな、MySpace、AOL

、Microsoft etc.

▪ 通信事業者 / ISP

▪ ビッグローブ、テレコムイタリア、フ

ランステレコム etc.

▪ 企業 (自社従業員向け)

▪ Sun Microsystems etc.

▪ 公共セクター

▪ リトアニア、エストニア etc.

„

OpenID対応サイト (RP)

z

38,000以上のサイトがOpenID

に対応

*1

z

カジュアルなサービスでの対応

が引き続き増加

z

シリアスなサービスでの

採用も徐々に進行中

▪ ホテル予約サービスへの属性提供

▪ みゅう / JAL ホテルズ

▪ 医療情報管理サービスへの高度

認証によるログイン

▪ Microsoft HealthVault

▪ オフィス・アプリケーションASPへ

のログイン

▪ 37signals Basecamp

▪ 公共サービスへのログイン

▪ リトアニア

3

OpenIDが他のフレームワークよりも注目されている理由

„

すぐ試してみることができる

z

「広く利用可能な OpenID 提供サイト」と、「サービスをOpenID対応にするための

実装」の両方が多数存在

z

仕様が比較的シンプル

„

Webアーキテクチャとの親和性が良い

z

一般的なブラウザで利用可能

z

サイト間での事前の取り決めが基本的に不要

„

ユーザの自由度が高い

z

サービスに対して任意のIDを選択可能

z

同意に基づく属性連携

Copyright © 2009 Nomura Research Institute, Ltd. All Rights Reserved.

„

サービス同士が

事前の信頼関係

に基づき連携

SAML / Liberty ID-FF

Security Assertion Markup Language / Liberty Alliance Identity Federation Framework

リライング・パーティ

(RP)

アイデンティティ・

プロバイダ (IdP)

ID情報をどこに提供

するかを事前に設定

ID情報をどこに提供

するかを事前に設定

ID情報をどこから入手

するかを事前に設定

ID情報をどこから入手

するかを事前に設定

1. サービスにアクセス

1. サービスにアクセス

1

1

3. ユーザ認証

3. ユーザ認証

3

3

2. 事前設定した IdP からの

ID 情報の取得を要求

2. 事前設定した IdP からの

ID 情報の取得を要求

2

2

4. IdP から得た

ID 情報を提示

4. IdP から得た

ID 情報を提示

4

4

5

OpenID

„

サービス同士をどのように連携させるかを「

ユーザ

」が決定

リライング・パーティ

(RP)

アイデンティティ・

プロバイダ (IdP)

1. サービスに「利用する

XRDS」 を明示してアクセス

1. サービスに「利用する

XRDS」 を明示してアクセス

1

1

5. ユーザ認証と

ID情報の提供

5. ユーザ認証と

ID情報の提供

5

5

4. XRDSにより決定されたIdP

からの ID 情報の取得を要求

4. XRDSにより決定されたIdP

からの ID 情報の取得を要求

4

4

3. RP が動的に

信頼関係を確立

3. RP が動的に

信頼関係を確立

6. IdP から得た

6. IdP から得た

6

6

XRDS

サービス

2. XRDS文書を取得し、

IdPを発見

2. XRDS文書を取得し、

IdPを発見

Copyright © 2009 Nomura Research Institute, Ltd. All Rights Reserved.

重要なID情報を流通させるための仕様の策定

„

サービス間での認証ポリシーの要求・提供

z

PAPE (Provider Authentication Policy Extension)

z

OpenID 対応サイトが、OpenID 提供サイトに対して、「ユーザを多要素認証によっ

て本人確認して下さい」 とリクエストできるようになる

„

契約に基づくID情報の提供

z

CX (Contract Exchange)

z

ID情報の利用目的や利用期間を、サービス同士が動的に「契約」として定めること

ができるようになる

7

OpenID Contract Exchange Extension(CX)

„

適用分野の拡大の

ために必須の仕様

„

否認防止と改ざん

防止

„

暗号化

„

柔軟に定義可能な

メッセージ形式

„

モバイルブラウザ

対応

„

非同期メッセージング

RP

OP

“Offer”

“Offer”

RP

署名

“Contract”

“Contract”

OP

署名

属性の利用目的、利用期間等を

「契約書案」として記述

属性の利用目的、利用期間等を

「契約書案」として記述

「契約書」に従って、ユーザ

のID属性を提供

「契約書」に従って、ユーザ

のID属性を提供

RP

OP

“Offer”

“Offer”

加盟店番号、会員番号、金額を

「契約書案」として記述

加盟店番号、会員番号、金額を

「契約書案」として記述

RP

OP

“Offer”

“Offer”

doSomething( contractID )

契約書に基づくサービスの起動

契約書に基づくサービスの起動

“Contract”

“Contract”

「契約書」に従って、処理結果 (or

処理状況) を通知

「契約書」に従って、処理結果 (or

処理状況) を通知

“Contract”

“Contract”

契約に

基

づ

く

属性交換

決済メ

ッ

セ

ー

ジを

「

契

約

書

案」

「

契

約書」

に

載せ

て

流

通

契約に

基

づ

く

サー

ビ

ス

交

換

RP

署名

OP

署名

RP

署名

OP

署名

Copyright © 2009 Nomura Research Institute, Ltd. All Rights Reserved.

日本が世界をリード

„

OpenID ファウンデーション・ジャパン

z

会員企業 46 社

z

幅広い会員構成

„

仕様策定の主導と実サービスへの適用

z

Trusted Data Exchange (CX の前身) の考案・適用 (NRI)

z

EVSSL の採用 (ビッグローブ)

z

PAPE、CX の策定 (NRI 他)

z

「メンバーシップ認証」 の考案・適用 (ミクシィ)

„

利用者への普及

OpenIDと他仕様との組み合わせ

„

OpenID と SAML との相互運用

z

SAML 認証コンテクストと PAPE とを相互変換

z

フレームワークをまたがったID連携を実現

z

NRI と NTT が RSA Conference 2009 (米国) にてデモ予定

„

OpenID と OAuth とのハイブリッド化

z

互いに補完関係にあるプロトコル

▪ OpenID: ブラウザベースのID連携

▪ OAuth: ユーザのアクセス権限を考慮したサービス連携

z

「ID 情報の提供」と「アクセス権限の委譲」に関するユーザの同意確認を同時に実

施