第三回 Liberty Alliance 技術セミナーで=natさんの基調講演を公聴してきて、OpenID関連の動向を仕入れたのでメモ。
OPとRP間で属性情報を交換するための拡張として、SREGやAXがあるが、AXも今ひとつ普及するに至っていない。(myopenid.comとVeriSignだけ?)また、プライバシポリシーや利用規約の問題もあり、日本企業では、ユーザ属性をサードパーティに公開出来ない事も多い。
基本的に、AXとSREGの違いは、
- 交換可能な属性をコミュニティベースで提案&決定する
- 属性を識別するために、プリミティブな値でなく、ネームスペースURIを使う
- OPに要求する属性の個数が指定可能
- RPがOPに対して属性の保存をする事が可能。(ただし、使われているプロバイダは知らない。)
が挙げられるが、根本的な問題は、OpenIDのユーザ属性として、クレジットカード番号や電話番号などプライバシー性の高い情報を使う事など、気が狂っていると思われている事だ。AXへの本格的な以降が進まないのは、結局OpenIDで扱うユーザ属性は、ニックネームやメールアドレスのみで、SREGで十分に事が足りているからではないだろうか。
さて、単純なユーザ属性の交換と、OP側でのユーザの許可の仕組みしか提供していないAXに代わる仕様として、Trusted Data Exchangeが=natさん、=masakiさん (NRI)から提出されている。
TXのコンセプトには次のような物が含まれる。
- 契約ベースの属性提供
- XML Encryption/XML Signatureによる暗号化•書名
- 非同期な属性提供 (非否認性を持った契約ベース)
- RPの信憑性を判断するReputation Platform (現状のホワイトリストに代わる)
年内に取り込まれるだろうか?
もう一つの最新動向は、PAPEの仕様拡張。PAPEと言えば、OpenIDの認証強度を明示するためのOpenID拡張だが、採用するセキュリティモデルを明示的に指定するための仕様を提案しているとの事。現状のPAPEでは、NISTの定めるセキュリティモデルを指定できるだけであるが、日本のFISCの基準を採用する際には、次のように指定できるとの事だ。
openid.pape.auth_level.fisc:2
openid.pape.auth_level.ns.fisc: http://www.fisc.or.jp/ex/authlevel
See also: まちゅダイアリー - SAML と OpenID と CardSpace
