事務局メンバーによる、OpenID関連のあれやこれや
@IT に掲載された Pat のインタビューが非常に良いです。(岡本さん、GJ です!)
企業やその他の組織が利用するアイデンティティ連携の標準プロトコルとしては、SAMLが利用されているが、ここにきてOpenID Connectが急浮上している。今後SAMLとOpenID Connectは、企業にどう使われていくのだろうか。2014年1月、Japan Identity and Cloud Summitのために来日したパット・パターソン氏に聞いた
SAMLとOpenID Connect:新たな「アイデンティティ戦争」とIdMaaSとしてのSalesforce - @IT
とくに「OpenID ConnectはSAMLを駆逐するのか」のくだり、まったく同意です:
ーーOpenID Connectが勝つべきだと思うか。
それは面白い質問だ。何が起こるべきか。新しいアプリケーションを構築する人たちにとってはOpenID Connectのほうがいい選択肢だろう。はるかに使いやすいからだ。あなたのパートナーがOpenID Connectをサポートするなら、この新しい技術を使うほうがおそらく理にかなっている。だが、もしあなたのパートナーの全てがSAMLをサポートし、OpenID Connectをサポートしているのが半数しかないなら、まずSAMLをやるのが理にかなっている。
SAMLとOpenID Connect:新たな「アイデンティティ戦争」とIdMaaSとしてのSalesforce - @IT
わたしもしばしば「コンシューマーサービスなら OpenID Connect だよね」とか「エンタープライズなら SAML だよね」的な会話を耳にすることがあったり、さらには意見を求められるのですが、多くの場合その議論からなぜか「そのコミュニティあるいは企業連合に参加するパートナーはどちらを望むだろうか」ということが抜け落ちています。
たとえば先の例でいうと、コンシューマーサービスであってもその業界の技術標準として SAML が推奨されていたり、RP (リライング・パーティ) になってほしい企業側の特性として SSO ソリューションの導入が進んでいたら、その前提を押し切って OpenID Connect IdP (アイデンティティ・プロバイダー) を構築しても、他社に RP になってもらうのは難しいかもしれません。
一方、エンタープライズ SaaS 事業者がユーザー企業向けに「独自プロファイルの SAML による ID 連携機能」を提供しても、その SaaS が中小企業あるいは部門向けだと、それらユーザー企業の側でゼロから SAML IdP の構築や設定をしてもらうよりは、Implicit Flow の OpenID Connect IdP を動かすための技術メモやサンプル実装を提供したほうが歓迎されるのではないでしょうか。
そのあたり、「ビジネスパートナー/取引相手獲得のための ID 連携戦略」みたいなところも、どこかでディスカッションできたらいいなあと思う今日このごろです。