OpenID を重要な取引に 「いま」 導入すべきか
(Translate to English)Friday Sep 14, 2007
おととい書いたエントリに関して, Shinichi Tomita さんがコメントしてくれてた. どうもありがとうございます (たしか, 2 年前の Liberty Alliance Dayでお会いしたことがありますよね).
書きかたがうまくなかったけど, ぼくが言いたかったことのひとつは 「少なくとも現状は」 というところ. 「relying party 側が高いリスクを負うトランザクション」 に OpenID を適用した事例, そしてそこから得た教訓や最善慣行, あるいはビジネス要件や法制度との関係についての考察は, SAML / Liberty ID-FF と比較するとまだそれほど出揃っていないから, もうちょっと様子をみたほうがいいんじゃないだろうか.
次に
IdPからRPへ向かっての事前制約がない、という点においては、 利点は失われてないと思うのだけど、この点はどうなのだろうか
については, そのあとで冨田さん自身も
[アイデンティティ情報を世間一般に解放することが] IdPにおいて受け入れられないことだという意見であるなら、 結局のところSAMLの「確立した信頼関係」 と等価なものを追い求めることになるのかもしれない
とおっしゃっているように,
IdP となる事業者が対象の RP を固定したいと考える場合もあるだろう.
その動機はたとえばサービスの囲い込みとか,
信頼関係にない RP
に損害を与えてしまって紛争にまきこまれたりしないためのリスク回避とか.
繰り返しになるけど,
IdP から RP へ向かっての事前制約がない
ことが IdP
のビジネスにどのような意味を持つのかを検討するには,
先行事例や研究が, 現状まだ十分とは言えないと思う.
(もしかしたら FUD (Fear, Uncertain, Doubt)
っぽく読み取れてしまうかもしれないので補足しておくと,
ぼく自身はこれに関しては OpenID のコンセプトのほうが柔軟性があると感じている)
ちなみに SSOCircle
というところが OpenSSO を使って SAML2 IdP 機能を提供してる
(実際には OpenID Extension
も導入されてて, OpenID プロバイダとしてもサービスしてる) んだけど,
ここのメタデータの交換方法 (連携のための設定) は
Get the SSOCircle Identity provider Metadata
して
importing your entity
するだけみたい.
はたしてうまくいくかどうかはさておき
(OpenSSO つながりの立場からいうとうまくいってほしいんだけど,
サービス提供者を引き込むにはキャラ立ちが弱いかな...),
こういう SAML の使いかたもあるということで.
最後に, 前にもちょっと書いたけど, 「ユーザ・セントリック」 とか 「デジタル・アイデンティティの民主化」 (苦笑) とか言われてるのに, それとは真逆にあるホワイトリストとか PKI を導入して信頼関係の問題を解決しようとするのは後ろ向きだと思う (や, 理性ではそれらの必要性を理解できる. だけど, ねえ...). ソーシャル・グラフとかユーザのコンテクストとか OpenID プロバイダの経営倫理, 過去の取引内容をソースとして, Rapleaf のようなところがユーザの 「そのトランザクションでの」 リピュテーション・スコアを計算し, それをもって RP がサービス提供の可否を決定する, そんな方向に進化していったらいいなあ.
P.S. そういえばこないだ Interop Tokyo 2007 の IdM ネタのパネルに参加したとき, 事前の打ち合わせで崎村さんと 「今日はリピュテーションに関して議論してみますか!」 と若干盛り上がったにもかかわらず, 結局本番では時間切れになっちゃったんだった. 一回このへんが好きな人同士で飲み会やりたいすねー.
|
|
|
|
Tags: libertyalliance openid opensso saml
Posted by tkudo's weblog on December 13, 2007 at 01:37 AM JST #