仕様/OpenID Authentication 1.1 - OpenID

OpenID Authentication 1.1

概要

OpenID Authentication provides a way to prove that an End User owns an Identity URL.
It does this without passing around their password, email address, or anything they 
don't want it to.

OpenID AuthenticationはEnd Userが所有するIdentity URLを証明する手段を提供します。その手段はEnd Userのパスワードやメールアドレスあるいは望まぬすべての情報を（Consumerに）渡すことなく行われます。

OpenID is completely decentralized meaning that anyone can choose to be a Consumer or 
Identity Provider without having to register or be approved by any central authority. 
End User's can pick which Identity Provider they wish to use and preserve their 
Identity as they move between Providers. 

OpenIDは、誰もが（どこか特定のサービスに）登録しなければならなかったり、あるいはいかなる中央集権型の認証局によって許可されたりすることなしに、ConsumerやIdentify Providerになることができるという意味で完全な分散型のモデルです。

語彙

End User

実際にConsumerに対して自分のIdentityを認証しようとするユーザー。

Identifier

IdentifierはURLのこと。OpenID authentication protocolのすべてのフローはEnd Userが所有するURLを認証することに関するもの。

Claimed Identifier

End Userが自分で所有していると主張するIdentifierのこと。Consumerによってまだ確認されていないIdentifier。

Verified Identifier

Consumerに対して、End Userが所有していると認められたIdentifierのこと。

Consumer

End Userが所有するClaimed Identifierの認証を、IdPに対して要求するWebサービスのこと。

Identity Provider

IdP（Identify Provider）やServerとも呼ばれる。 ConsumerがEnd Userが所有するClaimed Identifierの暗号化された証明に対して、コンタクトを取る相手が、Identify Provider（以下、IdP）。どのようにしてEnd Userが自分を認証するIdPに対して自分のIdentityを証明するかは、OpenID Authenticationの範囲外。【注】

User-Agent

End Userが所有するWebブラウザのことです。特別なプラグインやJavaScriptの実行環境は必要ありません。

• 【注】

OpenIDの仕様上、誰でもConsumerやIdPになれるという点から、特にConsumerはどのIdPを
信用したらよいかという問題が残ります。
これに関しては現行仕様の中では触れていませんし、現時点で有効な解決策も見つかって
いません。

• 詳しくは、openid-jaグループの、 How to authorize the identity providers in OpenID のスレッド参照

シナリオ

• Consumerが提供するWebサービスはOpenID Authenticationに対応している。
• いまこのWebサービスを利用したいと考える End Userがいて、その End User は、OpenID Authentication protocol をサポートしたIdPによって認証されるIdentifierを所有している。
• End UserはConsumerに確認されていないClaimed IdentifierをConsumerに提示することにより、ConsumerはIdPと連携し、End UserのUser-Agent経由で認証を行い、Verified Identifierとする。

まとめ

• OpenIDにおけるIDとはURLのこと。
• End Userは自分の Claimed IdentifierをConsumerに対して認証してくれるIdPに加入していなければならない。
• End UserはどのIdPに加入していても良く、 ConsumerはいずれのIdPであっても協調してEnd UserのClaimed Identifierの認証手続きを行わなければならない。
• IdPがConsumerに対して認証するのはEnd UserのClaimed Identifier、即ちURLが、End Userが確かに所有しているかどうかということである。
• OpenIDは個人のアイデンティティをURLとして表現し、分散型の認証方式を提供するオープンな認証システム