「OpenID とはなにか」 の, あまりにも的を射た定義 (橋の押し売り電話編)
(Translate to English)Wednesday Sep 12, 2007
Burton Group の人による 「OpenID ってこういうものだよ」
の第二弾 (ちなみに前回は自動車のキー解除だった) は,
名づけて
OpenID-Inspired Bridge Buying.
あいかわらずうまいこというなあ.
The caller responds “I’m the bridge owner; I’m going to pass you to someone who will verify that I own the bridge.”
Burton Group Identity Blog: Freakonomics of OpenID
結局のところどうやって OpenID を使うかは, トランザクションに関与する主体のうち, だれが相対的に高いリスクを負うのかで決まる. たとえば 「橋の押し売り」 のケースであれば, おカネを払うことで本当に橋の所有権が得られるのか怪しいから, 買い手 (relying party) はいろいろな方法で “ACME bridge verification” の評判 (リピュテーション) を確認したり, あらかじめ信頼できる 「橋確認業者」 を勝手に自分の電話帳に書いておく (ホワイトリスト) ことになる.
一方でブログへのコメントやまとめサイトの編集に OpenID を適用する場合,
サービス提供者側が OpenID に対応することのリスクはあまりないので,
無条件にエンドユーザの OpenID を受け入れても
(promiscuous trust system
)
全然オッケー.
ただしそこに参加するユーザにとっては,
自身のアイデンティティがおびやかされる
(なりすまされたりする) ことがリスクになるから,
信頼のおけるアイデンティティ・プロバイダを選択したり,
自分自身がアイデンティティ・プロバイダになったりすることになる.
はてさて, OpenID は今後, 前者のような
「relying party 側が高いリスクを負うトランザクション」
の基盤に組み込めるようになるんだろうか!?
まあやってできなくはないだろうけど
(Sure, we can invent one
のくだりは皮肉がきいてておもしろい),
少なくとも現状は, SAML のような
「確立された信頼関係に基づく運用が大前提」
のしくみを使ったほうがいいと思う.
|
|
|
|
Tags: burtongroup libertyalliance openid saml
こんにちは。&#...