ついに「OpenID Connect」仕様が標準化：仕様群の日本語訳も順次公開

米OpenID Foundationは2014年2月26日、さまざまなWebサイトやモバイルアプリケーションの間でデジタルアイデンティティ情報を流通させるための技術である「OpenID Connect」の仕様を最終承認した。

[高橋睦美，＠IT]

　米OpenID Foundationは2014年2月26日、さまざまなWebサイトやモバイルアプリケーションの間で、適切な相手にデジタルアイデンティティ情報を流通させるための技術である「OpenID Connect」の仕様を最終承認した。これに合わせてOpenIDファウンデーション・ジャパンは、OpenID Connect仕様群の日本語訳を公開している。

　Webサービスやモバイルアプリケーションの普及に伴い、多様で便利なサービスを利用できるようになった半面、管理すべきIDとパスワードも増加した。その結果、エンドユーザーがさまざまな煩雑さを強いられたり、パスワードの使い回しによるセキュリティリスクが増大するといった課題も浮上している。

　OpenID Connectは、こうした課題の解決を目指し、OAuth 2.0をベースにして策定されたAPI仕様だ。ユーザーとサイトが常に1対1で認証を行う代わりに、「OpenID Provider」と呼ばれる一種の“認証局”がユーザーのアイデンティティ情報を管理する。ログインなどの処理を行う際には、OpenID ProviderからWebサイト側に認証結果と属性情報（＝デジタルアイデンティティ情報）が返され、それを元にリソースへのアクセス制御が行われる仕組みだ。

　この結果、ユーザーは1つのIDとパスワードだけを覚えておくだけで複数のサイトにログインし、必要なサービスを利用できるようになるし、サービス提供側は認証や顧客情報を保管する仕組みを個別に実装する必要がなくなる。

　既に、Google、Microsoft、Salesforce、Ping Identityといった企業がOpenID Connectをサービスに実装し、OpenID Providerとしての機能を提供している。日本でも、ヤフー、ミクシィ、楽天などが同仕様をサポート済みだ。

　さらに、携帯キャリアの業界団体であるGSM Association（GSMA）は、OpenID Connectプロトコルを利用し、携帯電話番号や利用者名をデジタルアイデンティティとして利用できるサービス「Mobile Connect」を発表している。