OpenID Tech Night vol.6に行ってきた

OpenID Tech Night Vol.6 (2010/05/28 Fri) - Togetter
OpenID TechNight

今回はOpenIDファウンデーションジャパンのWG活動に参加している同じ会社の2人が発表するってんで、おまけで参加させてもらった。
あ、ちなみにちゃんとATNDから申し込みましたけどね。

内容

今回の話のレベルはどうだったのだろうか?

  • OpenID/OAuthを両方の説明があった
  • DiscoveryとAX,popup,Hybridの説明もあった
  • 大規模なOPが登場し、自分たちのOpenID関連サービスの紹介があった
  • かなり考えて作り込まれているRP(smart.fm)の実装紹介もあった
  • @さんの話についていけるならidconに来るべき(まだ内容決まってないので聞きたい話があれば言ってください)

あとから見直すと、かなりボリュームがあったと思います。
ターゲットをどこに持っていったのかによっていろいろ言われるかもしれませんが、たまにはいろいろ詰め込むのも良いですよね。

そういえば、日本人向けのOAuthのGoogle Groupがあることを告知しておく!
Google グループ
何か気になることがあれば、ここに質問をしてもらえば、@さんや私とかが返信すると思われます。

PPIDについて

NTT IDはいわゆるPPIDなんて呼ばれているRP単位のIdentifier払い出しをしているようでしたね。Googleもそうですよね。

「PPIDって必要なんですか?」

米国の話だとこんなのもありますね。

本プロファイルの規定では、IdP がRP に提供するユーザ識別子としてPPID(Private Personal Identifier:IdP とRP の組ごとに異なる「仮名識別子」)の使用を必須とすることで、RP 間での識別子のコリレーション(名寄せ)を防止している。なお、このRP からIdP へのPPID の使用の指定は、OpenID 拡張仕様のひとつであるPAPE(Provider Authentication Policy Extension)の認証ポリシーによって定義される。

情報セキュリティ技術動向調査(2009 年下期):IPA 独立行政法人 情報処理推進機構

日本でも必要になるかもしれません。
今やっていないY!とかが対応しようとするとこんな感じでしょうか。

  • PAPEのExtensionパラメータ?などでPPIDが必要なことをRPが指定する
  • その指定があったらOPはClimed IdentifierあたりをPPIDに変更する
  • PPID自体はユーザー識別子とrealmをごにょごにょして作成できそう

この指定の方法さえわかればできそうですね。誰か知ってますか?
そういえば、Y!がOAuthの前に作ったBBAuthで返されるユーザー識別子(userhash)はAppIDごとに独自な値なんですよ。その辺の仕組みでいけますね。

smart.fmの実装すごい

smart.fmさんはOpenIDtwitterのOAuth、Facebookまで幅広く対応していますね。
しかも、AXやHybridの説明のところで各OPの実装の特徴を把握して対応していることがわかりました。

そもそも、これはOpenID使っててもOPが出す情報ばらばらなので細かく対応しないといけないって話ともとれます。
OAuthはあれですが、OpenIDはUser-Centricなしくみなんだから、AXでFetchできる情報とか、OP間である程度そろえてRP側の実装を楽にしてあげたいですね。
SNSで使いそうな属性セットとか、Eコマースサイトの登録に使う情報とかが簡単に指定できるといいかもですね。

次回も楽しみですね。