OpenIDとペルソナ

OpenIDにおけるペルソナとはどのようなものかを思い出します。
よくみると、定義が人によって発散していきそうな用語ですね。

OpenIDファウンデーションジャパンのところにあるAXの日本語訳にこんな風に訳されています。

ペルソナ
ユーザーか持つアイデンティティ情報のサブセット。ユーザーは自身のアイデンティティの一部として、複数のペルソナを持つことができる。例えば、ビジネス用のペルソナとプライベート用のペルソナを持つことができる。

http://openid-foundation-japan.github.com/openid-attribute-exchange.html

なので、"OpenIDにおいて認証結果とともに渡される属性情報のかたまり"ぐらいにしておきましょう。
あんまりかっこつけるといろいろたたかれ・・・(ry

では、実装レベルではどんな感じなのでしょうか。日本のOPはおいておいて、海外の対応OPの実装を見てみます。

myOpenIDと1id.comのPersona実装

この２つが似たような実装をしています。

• https://www.myopenid.com/ : JanRainが提供しているOP
• http://1id.com/ : これは私がi-name関連で使っているOPですね。

一言でいうと

• OpenIDの属性提供時に、あらかじめペルソナとしてユーザーに定義させていた情報の塊から提供する内容を選択させる

次の図は、myOpenIDをOPとして利用したときのスクリーンショットです。

次の図は、1id.comをOPとして利用したときのスクリーンショットです。
なんだかごちゃごちゃしていますが、選択と同時に編集できるっぽい。

で、属性情報が塊となって扱われていることが見てとれたでしょうか。
ちなみに、両方とも、User Identifierは共通の値が渡されきます。

そこで、

ペルソナが使われない理由 :

• 共通なUser Identifier
• 今一番必要とされているのは、ソーシャルの名のもとに広まった"ほぼPublic"なIdentity
• ユーザーにとっての難しさ

あるユーザーがメアドをキーにいろんなサイトの情報と紐づいてしまうことが問題になったことがありました。
OpenIDにおけるUser Identifierも同じリスクを持っているのではないですか？

ただし、これがtwitterやfacebookのプロフィール情報ならば、RPからリンクが張られ、名寄せ効果によって大きな誘導トラヒックとなるでしょう。
このような"ほぼPublic"なIdentityを要求してくるサービスが多い現状で、そもそもAXの定義にあったようなビジネス用途でOpenIDを使う機会ってあまりない気がします。

Idpというかサービスプロバイダ側はどうでしょうか。Googleでも同一アカウントで様々な属性を華麗にコントロールできているとはいえないのではと思います。
ただし、Googleのマルチアカウントの利便性が向上すると、それが自然なペルソナになる気もしないでもないです。

ペルソナとPPIDとの相性

PPIDといって思い浮かぶのは、RP単位で異なるユーザー識別子を返すことです。
"ほぼPublicなIdentity"を求めるソーシャル系のサイトと、本人確認のための様々な情報をやりとりする課金/金融/行政サービスとかでは名寄せに関する要件が異なると思います。
そこで、ペルソナ＋PPIDでユーザーの情報を"整理"することができるのであれば、今後のユースケースも見えてくるのではないでしょうか。

今後

今年はOpenID Connect、つまりOAuthにOpenIDが乗っかる時代が来ます。
ペルソナを考慮するためには、単純な属性情報のセットの制御ではなく、APIによって提供される情報にまで"人格"を考慮した制御が必要になるのかもしれません。

そんなことの前に、OAuthのScopeとか1人格の中でのアクセスコントロールが重要です。
名寄せしてもいい情報とされたくない情報、それを絶対に一緒に渡さないしくみ。
そこをしっかり制御したうえで、ユーザーは本当に複数人格を必要とするのだろうか。
考えると鼻血が出そうですね。