OpenID Foundation Japan の Evangelist としての初仕事で、Mashup Award #7 の Mashup Caravan & Meetup in Kyoto というイベントで話してきました。 Mashup Award に参加する方々に向けて、20分で OAuth 2.0 と OpenID Connect の概要を話すということで、OAuth 2.0 は draft 10 に絞って、OpenID Connect は技術的な話を一切割愛してます。 このスライドの最後のページにあるリンク集は、翻訳版の仕様とか僕のいままでのスライド一覧とかサンプルコードとかいろいろあるので、Mashup Award で OAuth 使う人は OAuth 1.0 / 2.0 関わらず参考にしていただければうれしいです。 OAuth 2.0 & OpenID Connect #MA
OpenIDの最新仕様「OpenID Connect」とは 前回はOpenIDについて振り返りました。続く第4回では、OpenIDの最新仕様として策定が進められている「OpenID Connect」(注1)について、 設計思想 仕様一覧 フロー紹介 実装状況と今後 という軸に沿って紹介します。 OpenID Connectの3つの設計思想 OpenID Connectの設計思想として、次の3点があります。 簡単なことは簡単に 難しいことも可能に モジュラーデザイン 以下、その設計思想が仕様にどのように反映されているかを簡単に説明します。 簡単なことは簡単に OpenIDにおける最低限の要件とは、「OP(OpenID Provider)-RP(Relying Party)間で認証結果と属性情報(クレーム)の受け渡しができること」です。OpenID ConnectはOAuth 2.0をベースと
中小企業では、社員のアカウント管理がGoogleやセールスフォースなどクラウドに移行していくのではないか 「社員のアカウントを社内システムで管理するのは大企業だけになって、中小企業ではセールスフォース・ドットコムやGoogle Appsなどクラウドに移行していくのではないか」。8月5日に開催されたイベント「OpenID TechNight #7」で、企業のアカウント管理に関する予想を語ったのは工藤達雄氏。7月に米国で行われた「Cloud Identity Summit 2011」の報告の中でのことでした。 一般に多くの企業は社員のアカウントを社内で管理しています。社内のディレクトリサーバで社員情報を管理し、それを元にシングルサインオンの仕組みを用いて業務アプリケーションやメール、グループウェア、ファイル共有などへログインできるシステムを構築している企業もあるでしょう。 しかしこうした規模の
こんばんは、ritouです。 この記事を読まれた方はいるでしょうか。 http://journal.mycom.co.jp/news/2011/05/19/098/index.html 不正ログインが急増したといわれ、漏えいしている疑惑まで出てきたヤフーからの公式コメントを解説する説明のようです。 ここでいう公式コメントとは、これのことですかね。 Yahoo! JAPAN - プレスリリース マイコミジャーナルの記事を見ていきます。 Yahoo! JAPAN IDは、同一IDを外部のWebサービスでも利用できる「OpenID」に準拠している。Yahoo! JAPANではログインの履歴を確認できる「ログイン履歴」ページが用意されているが、この画面には、外部のサーバを経由してYahoo! JAPANの認証機能へアクセスを行ったものの履歴も表示される。 http://journal.mycom.
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
◆ WASForum2010 参加してきましたので、自分なりのまとめや感想など書いてみます。 オープニングセッション これまでのセキュリティ問題に関する議論はサーバ・デベロッパ重視 ユーザーに目を向けよう ブラウザの「派手さ」とユーザーの「上手さ」:専門家は地味なブラウザ(w3mとか)を好み、下手なユーザは派手なブラウザを好む 3つの危険 あそびとしごと、まぜると危険:あそびにはFirefox、しごとにはChromeとか使い分けよう パスワードの使いまわし危険:2要素認証とかクライアント証明書とか… もう一つはメモし忘れた 危険をどうやって伝えるのか?^Jということで以降のセッションに続く ユーザの「上手い」「下手」は、セキュリティ意識の高さといった意味合いで使っているようでした。で、「上手い」ユーザーが地味なブラウザを使うというのは良いとして、「専門家」はもう一歩踏み込んであえて「派手な
月刊 App Engine SDK の6月号は1.3.4。Google I/Oではfor business とか、VMware との協業とか、mapper APIとかchannel APIとかもっと面白い話しがあったようだけど、SDK 1.3.4の最大の売りは、OAuth対応とOpenID対応の二つのユーザ認証機構。ここではOpenIDでの認証のしかたを書いてみる。 リクエストを送るには3rd partyのライブラリかなんかが必要なんだろうと思って、いろいろ調べたり試したりして、数時間を無駄にしたのだけど結局わからず、twitterでつぶやいたら @shin1ogawa さんに1分後に教えていただいた。 ありがとうございました@shin1ogawaさん!そして、おそるべしtwitter。。。 OpenID の動作 OpenID はFederated Identity と呼ばれるものの一つで
2010/03/26 認証基盤連携フォーラム 実証実験ワーキンググループは3月26日、OpenIDを用い、携帯電話とPCをまたいだシームレスな認証や属性連携に関する実験、「認証基盤連携による認基盤間の相互運用性確保の実証」の結果を明らかにした。Artifact Bindingと呼ばれる手法を用いることで、携帯電話からも問題なくOpenIDに基づく認証を行えることが実証されたという。 OpenIDは、1つのIDで複数のインターネットサービスを利用できるようにするための仕様だ。いったん認証を済ませるだけで、ほかのサービスへのシングルサインオンが可能になるほか、ユーザーの承認に応じて氏名や住所、クレジットカード番号といった属性情報を受け渡し、利便性の高いサービスを受けられるようにする。ユーザーから見れば、サービスごとに個別に認証を行う手間を省けるうえ、自分の情報をどんな事業者に開示するかをコント
■ NTTレゾナントからdocomo IDについて回答「ドコレキでは、iモードIDの取得はしていないし、今後も取得する予定はない」 今週火曜日、突如「docomo ID」なるサービスが「他社サイトでも使えるようになりました」とアナウンスされ、API仕様書が公開された。 docomo IDについて, NTTドコモ docomo ID認証I/F仕様書, NTTドコモ OpenIDを使うのはよいのだが、しかし、独自機能によって、ログインした利用者(PCで通常のインターネット経由でログインした)について、その人の携帯電話のiモードID(契約者固有ID)を取得できる(個別の本人同意確認なしに)ようになっているのだという。 どうしてこんなことに……。(これが何を意味するのか、今後どうなって行くのか、本来はどうするべきなのか、これについては後日書きたい。) その日、真っ先に docomo ID に対応し
◆ [Firefox]Firefoxのセッション管理とSingle Sign-On [11/15] 他のブラウザの挙動について追記 OpenIDやSAMLなどのSSOシステムは対応するサービスも出揃い、一般化しているというほどではありませんが、あちこちで見かけるようになってきました。しかしこれらのSSOサービスをFirefoxで利用する場合には注意する必要があります。というのは、Firefoxには3年以上前にバグとして指摘されているにもかかわらず、放置され続けているセッションに関する仕様があるためです。 Session Restore remembers logins from session cookies この仕様、当初はクラッシュ時のセッションリカバリの話ということで、べつにそれでいいんじゃない?という方向でいったん落ち着いたようです。 ところがその後、セッションリカバリ機能はこの仕
第1回 「アイデンティティ管理」の周辺事情を整理しよう 日本電信電話株式会社 NTT情報流通プラットフォーム研究所 伊藤 宏樹 2009/11/5 OpenIDにSAML、Liberty AllianceにInformation Card ……。ここでもう一度、アイデンティティ管理をイチから学んでみませんか。ID管理の周辺情報をまとめ、新しい教科書として使える連載をスタートします(編集部) ID管理って何だったっけ? 昨今のOpenIDの台頭や、マイクロソフトによる Windows CardSpaceの本格展開を契機として、「シングルサインオン(Single Sign-On)」や「連携アイデンティティ管理(連携ID管理)」といった単語がようやく日の目を見るようになってきました。また、いまあるID管理技術をどう使い分けるか、あるいは異なるID管理技術同士の相互運用は可能なのかといった議論がま
GMOペイメントゲートウェイ(GMO-PG)は10月7日、IDやパスワードに加えて、クレジットカード情報も共通利用できるOpenIDを活用した決済サービスを年内に開始すると発表した。このサービスにより、異なるECサイトであっても、ログインから商品の決済までの一連の手続きをひとつのIDだけで完了できるという。 利用者がOpenID取得時にクレジットカード情報などを入力した場合、GMO-PGのOpenID決済サービスに対応しているECサイトであればどこでも、購入時にこれらの情報を入力せずに買い物ができる。EC事業者にとっては、利用者のクレジットカード情報などの入力の煩わしさによる機会損失を減らせるほか、クレジットカード情報を保持せずに済むため、外部からの不正アクセスに対する防御や内部の漏えい対策に関する負荷を減らせる利点があるとのことだ。 またGMO-PGの連結子会社であるイプシロンは、GMO
Google, Yahoo!, and MySpace have launched support for the OpenID OAuth Hybrid Protocol, which combines OpenID authentication (sign in) with OAuth authorization (access control) into a single interface. Websites that accept OpenID can now let the hundreds of millions of users who already have either a MySpace, Google, or Yahoo! account sign in and enable two-way data sharing of their profile, conta
2009/08/06 野村総合研究所(NRI)と日本ベリサインは8月6日、共同で、OpenID技術をベースとした認証サービスの提供に向けた検討を開始した。NRIの「DI(デジタルアイデンティティ)基盤クラウドサービス(仮称)」における1サービスとして、2009年12月の提供開始を目指すという。 新認証サービスの基盤となるのは、複数のWebサービスにまたがったシングルサインオン認証を可能にする業界標準「OpenID」だ。OpenIDはすでに、mixiやYahoo! JAPAN、はてななど多くのサービスで採用されているが、両社はこのOpenIDにより高度な認証機能を加え、クラウドサービスとして提供していく計画だ。 具体的には、NRI側はID管理/認証システム「Uni-ID」や携帯電話を利用したワンタイムパスワード(OTP)認証システム「SecuSURF」を、日本ベリサインは、リスクベースの認証
「Kantara Initiative」(以下カンターラ・イニシアティブ)とは,三つのID管理技術の相互運用を目指す業界団体のことである。2009年6月17日に米国で設置された。三つのID管理技術とは,(1)「OpenID」,(2)「SAML」(security assertion markup language),(3)「Information Card」――を指す。日本でも,カンターラ・イニシアティブの設置を受けて,国内事情を考慮するための組織である「ジャパン・ワークグループ」と「ジャパン・ディスカッショングループ」が発足した(図1)。 各ID管理技術の相互運用については,既に2007年に発足した「Concordia Project」(以下コンコーディア・プロジェクト)などが取り組んできた。コンコーディア・プロジェクトは,相互運用の利用形態(Use Case)に応じてどのように運用面で
我らがはてなの OpenID ですが、残念ながら 1.1 のみの対応となっています 認証を開始する前に、はてなIDを入力しなければならない ワンクリックで認証できるのは 2.0 から だからコンシューマのログイン画面も、はてなだけちょっと扱いが違う たとえば wonderfl build flash online | 面白法人カヤック 目立って逆にかっこいい… しかし、不便ですよね そこで本日ご紹介するのが、はてな OpenID 用 OP Identifier です http://ido.nu/ayaya/hatena_openid こいつは、はてなの OpenID を、擬似的に 2.0 っぽく動かすためのリダイレクタです 前述の例でいうと wonderfl build flash online | 面白法人カヤック に「はてなでログイン」というボタンを置くことができます 詳細は読み飛ばし
第5回 OpenIDを実装したソースコードを読もう 倉貫 義人 松村 章弘 TIS株式会社 SonicGarden 2009/6/3 優れたプログラマはコードを書くのと同じくらい、コードを読みこなせなくてはならない。優れたコードを読むことで、自身のスキルも上達するのだ(編集部) 前回までは、Ruby on Railsの基本部分についてコードリーディングを行ってきました。 今回からは、より魅力的なWebアプリケーションを実現するために必要なさまざまな技術をRailsで活用したソースコードを読むという、さらに実践的な内容に入っていきます。 今回取り上げる技術要素はOpenIDです。GoogleやYahoo!、mixiなどの大手サービスがOpenIDに対応したことで話題になったので、聞いたことがある方は多いのではないでしょうか。 OpenIDとは、とある1つのIDを持っていれば、複数のWebアプ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
