OpenIDの使いどころ
id:teahutさん*1が早速反応してくれたので、さらに被せちゃいます。
の返信です。
OpenIDの使いどころについての分類
Sreg*2やAX*3の存在も含めると、OpenIDの持つ主要な機能は二つで、
- IDの認証
- IDに関連するメタデータの取得・設定
だと思います。
で前のエントリや、たけまるさんのエントリでは認証と言う機能が適用されるシーンについての話だったかと思います。
認証について
たけまるさんはざっくり言えば、ヘビーな用途*4とライトな用途*5に分けてるのかなと思いました。これは分かりやすい分類ですね。
現時点の OpenID は,2. を対象としているのでしょう.サービスの都合でユーザのトラッキングを行いたい. でも,わざわざ新規登録するのは敷居が高くて,多くの人に使ってもらえない. じゃあ,OpenID でユーザ認証すれば,多くの人に使ってもらえるのではないか,という感じです.
この分析は恐らく正しいでしょうね。ただ後ほど少しだけ付け加えます。
ただ「1. ユーザと現実の人間との照合」にはまったく使えないかと言えばそうでは無いと思います。
OP(IdP)をどの組織がやるかによって様相はガラリと変わるんじゃないかなと思います。*6
どんな組織がやったら可能性があるかと言えば、
辺りが現実的なところなのかなと思います。
この種の認証では,認証する側に何らかのリスクが発生します. 支払い能力のない人物にお金を貸すことは,そのまま金融機関の損失になります. リスクをコントロールするためには,リスク対象 (ユーザ) を把握しなければなりません.
と言う辺りは、ある程度は上記のような組織がOP(IdP)をやれば信頼性があるのかなと思います。
携帯キャリアの会社の人とか、ISPの人でこの辺りの話に興味がある人が居たら一度お話してみたい位です。
で、RP(Consumer)はOP(IdP)がAttribute Exchangeなどによって、どの程度そのEnd Userに信頼がおけるか様々な観点での評価値を受け取るようにすれば良いのかなと思います。*7
後はたけまるさんの指摘どおり、認証周りでのトラブルがあって、本来OPの過失であってもRPの責任になるであろうと言う現時点の法的な問題はありそうです。
新規登録やプロフィールなどの話
僕はどちらかといえばAX, Sreg辺りの方が現段階で最も普及対象となる機能だと思っています。
前のエントリで書いた通り、たけまるさんが言うような、
無料ブログサービスにしても,誰がブログを書いていようが,一人でいくつものブログを書いていようが,かまわないわけです (計算機リソースを守るために,CAPTCHA やメール確認は行いますが).
といったサービスでもやはりいきなりOpenIDを使ってサービス利用開始出来て、認証自体をOpenIDに丸投げは場合によりけりだと思います。
妥協点として限りなく新規登録が簡単になれば良いと個人的には考えていて、新規登録時にOpenIDのSregやAXを使って必要な項目を満たして事実上OpenIDのURLを入れるだけで登録が完了するのがいいなと思っています。
SNS的なサービスで仮にプロフィールの再利用を行う場合は、OPにあるプロフィールとのシンク機能がRPであるSNS的なサービスで提供されてもいいかもしれませんね。