OpenID

• OIDF J 八木さん
  • 資料
• JICS
  • 来場予定者数 1200名 (2日間のべ)
    • 昨日は350名くらいだった?
  • digital identityという単一のテーマでこれだけの人が集まるのは世界にも例を見ないconference
  • OIDF Jを立ち上げたのは5年前
  • ID, 属性情報の連携が広まってきた。標準化、普及活動をしてきた
  • 民間ではOpenIDを使った連携はデファクトになっている
  • 自民党でもマイナンバー法案が閣議決定された。「マイナンバー」は「個人番号」になるかもしれない。「マイナンバー法案」も「番号法案」となり、国会でも熱い議論がされると期待される
    • 今日からは「個人番号」「番号法案」としてツイートしていただきたい
  • 官民でのID連携はますます高まる
• 今回、NII, OIDFが共同でJISを開催
  • ここ数年来ID連携が広まってきた: コンシューマWeb、ソーシャル、エンプラ、アカデミック、モバイル、国民IDなど
  • いままではバラバラに検討されてきた感がある
  • 今回はNIIとOIDFで共同でやってみようということで「サイロを越えて、つなぐ」 産官学をつなぐ、分野・業界・産業を越えてつなぐ、日本・海外をつなぐ、テクノロジー・ポリシーをつなぐ
• トラック紹介
  • キーノート、学認、Trust Framework Workshop、ID Tech Intro、Enterprise Sessions

Y! Japan ID Open Strategy 〜爆速 to the Future〜

• Y! 谷田さん
  • 爆速Tシャツw
  • Y!のオープン化について
• Y! Jの紹介ビデオ
  • 利用者数4279万人、PV539億/月、日本のインターネット利用者の84%が使用
• 2012年4月から新体制になって課題解決エンジンとして活動
• Y! Jオープン化にはじまり
  • トップページのほとんどのサービスでY! IDを使っていただいている
  • 顧客にとってY! IDはY!に閉ざされた空間でだけ使えることはうれしいのか?
    • 広告だけに使われる、というのも違う
  • 2007/4 広告 ADネットワークオープン化
  • 2007/8 Y! ウォレット
  • 2008/1 OpenID 2.0
  • 2009/7 OAuth 1.0対応
  • 5年経った今 Y! J ID 2800万ID、Y! ウォレット2.3万件のパートナーサイト
• 2012/12 OpenID Connect採用 → YConnect
  • OpenID Connectがもたらすもの
    • 開発効率があっとう的に上がった
    • 安全性があっとう的に高まった
• 開発効率アップ → パートナー様に爆速で導入
  • GREE × YConnect: 2週間で実装
  • CyberAgent × YConnect: 2週間
• 安全性が高まった
  • 属性情報の活用
    • Y!Jが預っている顧客情報をパートナーサイトに安全に持ち運ぶことが可能
    • 顧客ニーズに基づいてパートナーサイトで活用
• Y!Jのオープン化を5年にわたって考えてきた
  • IDのオープン化を進めていて思ったこと
  • これまで
    • 認証・認可のプロトコル自体が分離・分散されていた
    • パートナーサイト: IDをたくさん採用することによって多数の顧客を集めていた
  • これから
    • ソーシャルのパートナー: ソーシャルに強い顧客を集める
    • 決済・コマースのパートナー: 決済情報を備えた顧客のID
    • パートナーが使いたいと思っている顧客のIDを集めたい : 顧客サービスに合ったIDを使いたい
  • 「IdPはユーザドリブンで選択される」
    • ユーザーファーストで課題解決 → インターネットをますます活性化
• Q: フェデレーションすることをビジネス的に決断するに至ったキーポイントは?
  • A: 2つある
    • ひとつはスマートフォンの登場。顧客のコンタクトポイントがY!トップページからアプリになった。アプリにおいてYConnectを使いたい。
    • もうひとつは、技術者がアプリをどんどん開発できる環境が備った → Y!のID基盤を使ってサービスを作れるようになった。ID管理はコストがかかる。悪い人と戦うにもコストがかかる。パートナーには本業に徹していただきたい。そういう環境を提供したい

Mobage Open Platformの歴史とIdentity関連技術について

• DeNA 山口さん ZIGOROU
  • 資料
• Mobage Open Platformの歩み
  • 2009/11 フィーチャフォン用sandbox
  • 2010/1 ローンチ
  • 2010/7 Y! Mobage sandbox
  • 2010/10 Y! Mobage サービスローンチ
  • 2011/2 スマホ用sandbox ブラウザ向け→ サービスローンチ
  • 2011/4 スマホ用SDK(ngCore) → ローンチ
  • 2011/8 Nave SDK
  • 2011/11 Unity SDK
  • 2012/12 Android版 Shell App
• X-Border and X-Device
  • 国とデバイスにまたがった対応
• 利用しているID技術
  • OAuth 1.0の話
  • スマホのUA → プロキシサーバー → OAuth 1.0 auth_token, auth_token_secret → ゲームサーバー
    • 戻り: レスポンスをフィルタしてUAに返す
  • PCにおけるOAuth 1.0
    • Gadget(Social JS API) → Gadget Server → Game Server
  • SDKにおけるOAuth 1.0
    • SNS本体のコンテナからOAuth credentialsをSDKに渡す。それを使ってSocialAPIからゲームサーバーへ
• 開発中のID技術応用事例
  • Session Cookieへの応用
    • UA上のセッションにJWTを利用
    • クッキーの中にJWSをそのまま入れる
    • クッキーとはクライアント時刻に左右される → JWTなら失効日時をサーバー時刻でうめこめる
    • その他、JSONに様々なデータを入れられる。セッションID、Sticky Sessionのようなバックエンド系統の情報、UA文字列のハッシュ値(セッション奪取を防ぐため)
    • 注意: クッキーの許容サイズには限界がある
  • Internal APIへの応用
    • Authorization Proxy Serverを前段に作る
    • 様々な認証リクエストを解釈: OAuth 1.0のbackward compatibility
      • 一定のformatのJWTを作ってバックエンドに投げる
    • 必要な場合はJSON Patchでフィルタ(バックエンドがRESTful APIの場合)
    • バックエンドにディスパッチ
• 今後
  • OAuth 2.0, OpenID Connectの段階的導入
    • SDKで導入したい
  • Schema
    • JSON Schemaの全面的採用
    • Appにおけるvalidation
    • specification, documentationへの利用
• Q: いまAPI連携を続けていると思うが、どういうところに一番課題を感じているか?
  • A: アプリケーションは育ってきちゃう。そうするとメンテがだんだん難しくなる。アプリを切り出したくなる。そういうときにID連携がほしくなる

Google Identity Directions

• Tim Bray
  • 資料
• What does Google care about?
  • Googleはビジネスである。IDスペースで何に興味があるのか
  • Google wants everyone to be online all the time
  • Anything reduces productivity, pleasure, on the internet activity is a problem.
  • ID登録などがそういうもの
  • カンタンにしていきたい
• 検索はGoogle活動の中心であり収入の中心でもある
  • 検索アルゴリズムの開発が重要
  • 10年前は検索を改良するのは楽だったった。楽な勝利はすべて終わった。低い果実は全部取っちゃった
  • クエリを理解するのは難しくなっている
  • 自明な方法はユーザーを理解することだ
  • OAuthを検索すると、左側に人形アイコンが出る。それは「あなたが」見るべき情報だ
    • Search Needs to know who you are
    • 右上をクリックすればパーソナライズをon/offできる
• もうひとつはモバイルデバイス
  • すぐにmajorityになる
  • いくつかの場所では100%である
  • モバイルデバイスでパスワードを入力するのはとても難しい
    • 人々が短い低品質のパスワードを使いがちになってしまう
    • you & mobile deviceは常にいっしょにいる。トイレにもいっしょにいく
    • mobile devices need to know who you are。これを理解しないとモバイルデバイスは十分に活用できない
• ソーシャル
  • Internet is not about 本を買う、猫ビデオを見る
  • Internet is for communicating
  • 人々のポテンシャルにリーチするにはソーシャルが必要
  • Social Needs to know who you are
• ID technologies
  • いま感じているpainはどんどん悪くなる
  • 人々が使わないといけないIDの数は増え続ける
  • ID技術のリストもすでに長ーい。頭痛の種
    • 複雑すぎる。難しい。エキスパートでないと理解できない。disappointing。まだ成功とはいえない
  • 大きな問題はtoo hard to solve the whole problem
  • Internetの歴史を見るとlightweightな技術が勝ってきた。80%のbenefitは20%のeffortから得られる
• Google is betting very heavily on OAuth2 and OpenID Connect
  • Everything we do forward Search, Social, Mobile, will be based on OAuth2 and OpenID Connect
  • 他の大きたtechnology providersもそうである
• 3つのこと: introduce new identity technology
  • 1. Good User experience
  • 2. Effective security
  • 3. Good developer experience
    • これまでは無視されすぎていた。500ページのマニュアルや難しい数式が必要だった。developers don't have to understand identity. 使いやすいAPIがあればいい。そうでなければ使われない
• Googleがしていること
  • Google+ sign-in 2週間前ローンチ
  • Google+アカウントで他のサービスにログインできる
  • モバイルで効果的に使うことができる。web appの認証がワンクリックでできる
  • 自分がオンラインで何が好きで嫌いかもshareできる
    • 自分が上司・恋人・サッカークラブでshareしたいものは違う。そういう制御ができる
• Account Choooser
  • OpenID foundation thing (not Google's)
  • Webサイトに行くと自分が使っているアカウントがリストされる。ワンクリックでログインできる
  • 切りかえるにも2クリック
• mobile applications
  • モバイルデバイスで、誰かにパスワードをタイプさせるように頼むのはunreasonable
  • 君はどれ? と選ばせるのが理にかなっている
• ほとんどのmobile appはバックエンドサーバーを持っている。ゲームでもハイスコアを保存している
  • HTTPSを使ってセキュリティーを得ている
  • サーバーは誰と話しているのかわからないという問題がある
  • OpenID Connectとid_tokenをモバイルデバイス上のコードがサーバーに送れば、ユーザーが誰だかわかる。パスワード入力の必要なしに
• Google is committed to work with identity
  • ID communityにgood-byeを言うべきだ。IDエキスパート同士で話をするのではない。世界中と話をするべきだ
  • stop storing password, stop using password. Use identity
• Q&A

• natさんからコメント
  • ID federationを使ったAPI連携がどんどん主流になる
  • ちょっとprivacyの話が出てきた。policyトラックではそういう話もする