Relying Party に対してユーザを匿名化する OpenID Provider
(Translate to English)Thursday Jan 24, 2008
あ, あと
そのために、SAMLでは各SP<=>IdPのペアごとに異なる中間の識別子を使っている。
SAMLについて自由勝手に紹介 - snippets from shinichitomita’s journal
で思い出したけど (なお 「使っている」
というよりは 「使うこともできる」 のほうが適切かと),
OpenID 2.0 を採用した一部の IdP でも,
このようなやりかたをしている / しようとしているみたい.
具体的には OpenID.ee と
Yahoo!.
それぞれとくに OpenID.ee では自身の管理しているアカウント名とは別の識別子を,
RP (Relying Party) ごとにランダムに生成し払い出すらしい.
3. openid.ee/4e1243bd22c66e76c2ba9eddc1f91394e57f9f83 which is a "pseudo-anonymous" or "opaque" per-site identifier. - used for 'partial anonymity', something that consumers very often would like to use.
[OpenID] OpenID 2.0, PAPE and directed identities
Also note that even when you use Yahoo ID to sign in to a site that accepts openid, there is no personal information being shared. By default only an encrypted identifier (e.g. https://me.yahoo.com/a/D.GGRt8BtuO56ICRqYtp287qNA) will be shared with the RP.
[OpenID] Opt out of Yahoo OpenID?
Yahoo! JAPAN がやろうとしている OpenID Provider の設定は知らないけど,
もし Yahoo! と同じだとすると,
Yahoo!IDは微妙にセンシティブだと思っていて、あまり公開したくない
ような人からも受け入れてもらえそう.
加えて Yahoo! の場合には,
- Flickr の photos URL (例: www.flickr.com/photos/naveen)
- Yahoo! の URL (例: me.yahoo.com/naveen)
RP ごとにランダムに自動生成される URL (例: 上記のような me.yahoo.com/a/D.GGRt8BtuO56ICRqYtp287qNA)
のいずれかからユーザが選べるようになるそうだ. Yahoo! みたいなところは 「抱えているアイデンティティの量が突き抜けている」 というだけで IdP としてものすごく有利だろうなあ (逆に, その一点だけでも他の IdP と差別化できる) と以前考えたけど, それだけに満足せずいろいろなひねりが入ってそうで, ちょっと楽しみ.
1/28/'08 追記: Yahoo! JAPAN も OpenID 2.0 オンリーの模様.
※お客様の安全を考慮して、Yahoo! JAPANのOpenIDでは、OpenID2.0の仕様に対応したサイトにしかログインできません。
OpenIDとは? - Yahoo! JAPAN
4/14/'08 追記:
ちょっと前に気づきつつ訂正しそびれてたけど,
Yahoo! の 「encrypted identifier」 は結局 OpenID.ee のとは違って,
「RP ごと」 に払い出されるものではなかったんだった.
つまり
there is no correlation inhibition
てこと.
がっかり.
|
|
|
|
Tags: identitymanagement openid saml
「Yahoo!IDは微妙に&#...