【3/21追記】 なんかちょっと新しくなっててリンク切れしてます。プロダクトの説明などはこちらからよしなに調べてください。https://trulioo.com/en/
こんばんは、ritouです。
@phr_eidentityさんがJICS 2013のときにブログエントリに書いていたTruliooのプロダクトについて考えたことを少し。
◆まとめ
IdM実験室: [JICS]なかなか面白いサービス「Trulioo」
こんな感じです。
・ソーシャルIDでサービスを利用してもらう、というのはハウスリスト拡充の意味でも、サービス内でのアクティビティ向上の意味でも有意義である
・しかし、Fake Accountが多発するといった課題も抱えているのが実情である
・そこでアカウントの真贋レベルを確認するTruliooのようなサービスを使うのも一手である
・しかし、真贋を確認するために必要な情報の取得が発生するため、利用者に分かりやすい形での同意の取得を検討すべきである
TruliooのProfilePlusとは
TruliooのProfilePlusというサービス(API)にFacebookユーザーのいくつかのパーミッションのついたAccess Tokenを渡すとFakeアカウントかどうかのレベルを返してくれるんですね。
Electronic Identity Verification
TechCrunchでは少し前にこんな記事も出ていました。
With Google’s Former Identity Director As CTO And $2M In New Funding, Trulioo Launches Fake Facebook Profile Detector – TechCrunch
(話題の人が訳した日本語記事もありましたが原文の記事へのリンクを載せておきます)
APIの結果をまるめて教えてくれるデモ用のページもありますね。
https://trulioo.com/demo/profileplus/
現状のデータの流れに対して思ったこと
現状は、Facebbookアカウントを用いてサービスを提供しているところが取得したAccess TokenをTruliooに投げて判定してもらう形のようです。
図にするとこんな感じでしょうか。
こういうデータの流れを見るとうずうずしてきますね。
- 利用するサービスが取得したAcccess TokenをProfilePlusに渡す必要がある←まずこれがちょっと嫌
- 利用するサービスがProfilePlusを使うことをユーザーに提示する必要がある←うまく説明する自信ない。ユーザーはどうやって確認/信用できる?
- ProfilePlusの利用に必要なScopeがついたAccess Tokenを取得する必要がある←これもけっこうなハードルなのでは?
例えばプロフィール情報+emailアドレス程度しか利用しないサービスがいろいろscopeつけてTruliooのアカウント確認に使いますよってユーザーに提示するのはしんどそうです。
サービスで利用するFacebookのClientとは別にProfilePlusを利用するためだけのClientを実装してAccess Tokenを取得する手もありますが、ユーザーに2回アクセス許可をもらうのも酷な話です。
外部サービスとして連携の形になれば良いのでは
英語で書かないと伝わらない気はしますが、次のようにしてはどうだろうか。
- TruliooがOpenID ConnectのOPを実装する
- サービスは"Verify account with ProfilePlus"みたいなボタンを置く
- ボタンをクリックしたユーザーはTruliooドメイン上でデモページみたいに確認を行う
- ProfilePlusのスコアなどをID Tokenに含んでサービスに渡す(ユーザー識別子+結果)
そこそこのデータを扱い、かつ信用が大事なサービスだと思うので、前に出てユーザーとやりとりするのが良いのではと思いました。
導入負荷は増えるかもしれません。でもサービス側でFacebookからアクセス権限もらうところはいじらなくて良くなるでしょう。
ユーザーも誰がどのデータにアクセスするのかが明確になるでしょうし、複数のサービスにProfilePlusを使ってもらおうとしたときにユーザーが必要なのはTruliooに対するアクセス許可のみとなります。
みなさんはどう思われますでしょうか?
JICSの前に調べておいて直接声かけられたらよかったな。。。
時間があればこの提案のデモでも作ってみようと思います。
ではまた!