水無月ばけらのえび日記

Digital Identity

Subject / Entityに対応する、属性の集合

• 形質 traits …… 変わらないもの。生年月日、身長、体重、名前など
• 属性 attributes …… 住所 電話番号 {メールアドレス ユーザー名} …… 識別子)
• 関係性 relationships 交友関係、購買履歴、etc.

• 例: Wii でいうところの mii。mii に体重なども結びつけて記録することができる
• ただし、mii は Wii の中でしか生きられない
• 標準化・Open化すると Open mii → Open ID

認証プロセス

• Digital Identityの制御者として「正当性の確認」「属性引き渡し」を要求
• Digital Identityの制御者としての正当性の確認
• 正当性と属性確認書 (Assertion) の発行とお届け

OpenIDの基本モデル

• IDプロバイダとサービス提供者

認証基盤連携フォーラム

「通信プラットフォームのあり方について」で規定

• 分散&連携
• ユーザー中心
• 高可用
• 信頼&評判

目的は、ユーザセントリックIDの実現

属性連携はユーザ利便性を高める

属性情報を全て入れてもらう場合と、属性連携を使って一部の属性情報入力を省いた場合とでユーザテストを実施。

• 時間短縮削減、エラー発生率低下の効果
• 1分33秒 vs 19秒
• 19.6% vs 7.1%
• テスト後のアンケートでは、属性連携を「非常に利用したい」53%、「利用したい」41%、「利用したくない」3%、「全く利用したくない」0%、「わからない」3% となり、予想以上の評価
• ただし、情報提供先が信頼できるのかどうかを確認したいという声も見られた

OpenID for mobile (Artifact Binding)

• RPはリクエストファイル作成、そのURLをOPに送信
• OPはファィルを取得、Artifactを送信
• RPからArtifactをOPに送信、Assertion取得

• リクエストファィルはJSON
• AeerstionもJSON
• Artifactは302リダイレクト
• OP https Endpoint に対して GET で取得 (ログ残る)

実装サンプルが https://openid4.us (openid4.us) で見られる。

• ブラウザ経由のGETを小さくできる
• ほとんどサーバ間通信
• Assertion Disclosureの防止 (ブラウザを経由しないため)
• OPの完全ステートレス化も可能
• NISTのLoA4まで対応可能
• Signed Assertion Requestを使えば繰り返し属性の取得が可能 (ユーザの許可があれば)
• OAuth2.0のtoken受け渡しも可能 (OAuth2.0--)
• 実装が簡単
• OPがサポートすればSAMLやWSSも返せる

スケジュール……5末仕様凍結、12月最終仕様?