認証の委譲(delegating)

エンドユーザーのアイデンティティがあるホストにIdPが無い場合や、他のホストでIdPを運用したい場合は認証を(他のホストに)委譲する必要が出てくる。

例えばエンドユーザーがexampleuserと言ったidでLiveJournalのアカウントを持っている場合、LiveJournalはOpenIDのIdPでもあるから、
http://exampleuser.livejournal.com/に認証の委譲を行う事が可能である。

example.comをアイデンティティとしてつかう為にコンシューマーは実際にはhttp://exampleuser.livejournal.com/をIdPと共に確認する為に、
example.comのhead要素内に下記のようなlink要素を追加する必要がある。

<link rel="openid.server" href="http://www.livejournal.com/openid/server.bml" />
<link rel="openid.delelgate" href="http://exampleuser.livejournal.com/" />

delegatingをつかうメリットは自分のアイデンティティをexample.comとして長く使用出来るという事で、
途中で自分のIdPを変更したりする事も出来るという点がある。

重要な注意点

• openid.serverのURL宣言*2はQueryパラメーターを含むかもしれない。従って既にQueryパラメーターの開始記号であるクエスチョンが存在するならば、２個目のクエスチョンは「追加してはならない。
• openid.server, openid.delegateのURLは共に絶対URLで無ければならない。コンシューマーは相対URLの解決に注意を払う必要が無い。
• openid.server, openid.delegateのURLは&,<.>,"を除いた実体参照を含めてはならない。また妥当なhtml文書でない文字列、文書のエンコーディングで表現出来ない文字列はRFC2396正しくURLエンコーディングされていなければならない。