Account Chooserとは

Account Chooserについて、OpenID Connect Tech Summitに参加したり、GDDに参加したり、idcon#10の頭からちゃんと聞いていた人はわかってると思いますが、私はどれも該当しませんので調べていきます。

An open standard and user interface guidelines for the next generation of web sign in.

Account Chooser

UIガイドラインということですね。

まずはログイン画面（へ誘導する画面）。
説明されている画像はこちら。→http://accountchooser.com/images/value1.png

IdPを選択 or Emailを入力するUIですね。OpenIDとかOなんとかをログイン機能にとして導入する際に、今までのPWでログインしてたユーザーも使いやすいUIにするにはどうすればいいの？と考えたことがある方もいらっしゃるでしょう。
世の中の実装は様々ですが、メールアドレスを(ログイン)キーにしてユーザーを識別しているところが多いこと、さらにメールアドレスからのDiscoveryの仕様もある程度揃っています(WebFingerとか、OpenID ConnectのDiscoveryも)ので、それらを組み合わせることで直観的に操作できるUIを目指している感じでしょうか。具体的な処理の説明はあとにします。

次に、マルチアカウントへの対応についてです。現在、ほとんどのログイン機能はシングルアカウント、つまり誰かがログインしているかそうでないかの管理しかしていないことがほとんどです。Account Chooserでは、ログイン成功したユーザーの識別子等を覚えておき、"切り替え"の機能を提供します。

説明されている画像はこちら。→http://accountchooser.com/images/value2.png
もちろん、切り替えの際にそれぞれのアカウントについての再ログインが必要となりますが、一回でも使ったことがあるアカウントを覚えておくことで「ん？このサイトID持ってたっけ？」と悩む機会が減るかもしれません。

これがAccount Chooserで考えられているUIです。他にも上記のページにはいろいろと書いてありますので少し残しておきます。

• Simple Upgrade : Email/PWログインから簡単にアップデートできる
• Eases switching between multiple accounts/ : 上述のように、ナビゲーションバーやボタンによりマルチアカウントの切り替えを簡単に
• Reduces signup pains on any website. : 過去のログインユーザーを記憶しておくことで、アカウント持ってたっけ？新規だっけ？という問題が解決するかも
• Security : パスワード再利用リスクを減らしたり、IdP側のユーザー保護施策が利用可能
• Consistency : いろんなサイトでUIが統一されていると便利
• Forgotten Accounts : IdP選択、Email入力によりアカウント忘れ→新規登録→メアド重複エラーを防ぐ
• Future Compatibility : EmailからのIdP特定を行うことでNascarボタンのIdPを固定にしなくてもよく、将来的に変更したりもできる
• Legacy Compatibility : "ログインボックスとIdPのボタンを並べない"ことにより、混乱を減らす
• Protocol Agnostic : IdPにつなぐとこのOpenIDとかSAMLとか関係ない。

以上はトップページの内容ですが、他にもいろいろ書いてあるので興味ある方は見てみてください。
そんなに良いUIなら体験してみたくなってきましたね。

GoogleのログインでAccount Chooserを体験！

Google now provides the option to opt-in to using an account chooser instead of Google’s traditional email/password based login box

http://accountchooser.com/webowners.html

「Googleは伝統的なemail/passwordログインボックスの代わりにAccount Chooserを利用するオプションを提供しているなう(ドヤッ！」ということですので、試すためにこちらのURLにアクセスします。

Google サイト
このページの中に、こんな文章とリンクがあります。

You can configure a specific browser to join or leave this experiment using the links below:

• Click here to opt-in (Yahoo/Hotmail/AOL users might want to also opt-in to federated login)
• Click here to opt-out

Google サイト

opt-inの方をクリックすると、あなたのGoogleログインがAccount Chooserスタイルになります。未ログイン状態でクリックしたところ、今までログインボックスがあった右側がいつもと変わりました。

クリックすると、Account Chooserのログイン画面が出てきました。せっかくなのでIdPとしてYahoo! Mailを選択！

Y!米のログイン画面が表示されました。Identity大好きな人なら、さらにここで右下のGoogleを選択したらループするの？とか考えちゃうところですが、説明が長くなるので自分で試してください。普通にログインします。

次に表示されるのがOpenIDの同意画面です。これで同意するとGoogleでログイン状態になります。

次回以降はログイン画面と同意画面省略されるのであっさりとログインできます。
ちなみに、GMailを選択すると、いつものログインフォームが出ます。GMailでログインした後、一旦ログアウトして、再びログイン画面を表示すると、候補にGMailでログインするときのアカウントが表示されています。これもAccount Chooserの特徴の一つですね。

Y!Mailとかでログイン→ログアウトしたあとにはこのような表示にならないのですが、そこは何かGoogleのポリシーを感じるところなのであります。これで、あなたもAccount ChooserのUIとUXを体験できますね。
※同じことを試してアカウントがどうこうなったとかの質問されても私はGoogleの中の人ではないので、試される方は自己責任でお願いします。

（普段ならここで一回切って次回のエントリに引き続くところですが今回は続けますよ！）

さて、ここまで見てきて、実際に自分のサイトでもこのAccount Chooserを導入したいと思われた方もいらっしゃるでしょう。Googleは上記のように自らのログインをAccount Chooserに対応させるだけではなく、とても便利なツールを用意しています。すごい力の入れ方ですね。

Google Identity Toolkitを用いた実装

There are multiple ways to deploy an account chooser. The quickest option is generally to use a SaaS vendor who provides an account chooser as well as integration with popular identity providers. Current SaaS vendors in this category include the Google Identity Toolkitand Janrain Login Helper.

http://accountchooser.com/webowners.html

Google Identity Toolkit(以降、GITと表記する)というのが気になりますね。ということで、最後に実際にGITを用いたサンプルサイトを通して処理内容を説明します。