OpenID

OpenID（オープンアイディー（））は分権的な認証プロトコルのオープンスタンダードで、非営利団体のOpenID財団が標準を策定している。名称は同団体の登録商標である。

2016年現在の最新版のOpenIDは2014年2月に発行され同年11月にアップデートされたOpenID Connect (OIDC) 1.0である。

OpenID財団では、誰でも参加可能な手順「OpenID Process」を経て、デジタルアイデンティティ関連の標準化を行なっている。現在有効、ないしは策定中の仕様には以下のようなものがある。

2009年にOAuth 2.0の標準化がIETFで始まったことを受けて策定が始まった、次世代の認証・連合アイデンティティシステムの標準。

HTTP上で使う場合にはOAuth 2.0をベースにしながら、HTTP以外のプロトコル（XMPP他）にも拡張可能になっており、スマートフォン上でのアプリの台頭を意識した作りになっている。

セキュリティ的にも、OpenID Authentication 2.0がNIST SP800-63ベースでレベル2程度までしかサポートできないのに対して、最高レベルであるレベル4まで対応できるように設計されている。

これに当たって、別規格としてJSON Web Token（JWT）、JSON Web Signature（JWS）、JSON Web Encryption（JWE）、JSON Web Key（JWK）が、IETFに於いて、同じ著者達によって標準化されている。

OpenID Connect は幾つかの部分規格にわかれている。

1. OpenID Connect Core
2. OpenID Connect Discovery
3. OpenID Connect Dynamic Registration
4. OAuth 2.0 Multiple Response Type Encoding Practices

これらは、2014年2月26日に、OpenID Foundation 標準として採択された。 その後以下が標準として採択されている。

1. OpenID 2.0 to Connect Migration
2. OpenID Form POST binding

また、引き続き以下の仕様が策定中である。

1. OpenID Connect Session Management
2. OpenID Connect Front Channel Logout
3. OpenID Connect Back Channel Logout
4. OpenID Connect Federation

2018年8月22日現在、上記1～3は実装者仕様案である。

OIDCがOAuth2.0を認証で利用するにあたって追加した最大の要素がID Tokenである。ID Tokenは以下の属性を持つJSON Web Tokenである。

interface ID_Token {
    iss: url;           // Issuer Identifier
    sub: string;        // Subject Identifier
    aud: string[];      // Audience
    exp: number;        // Expiration date [UNIXtime]
    iat: number;        // Issued at [UNIXtime]
    auth_time?: number; // End-User authentication time [UNIXtime]
    nonce?: string;
    acr?: string;       // Authentication Context Class Reference
    amr?: string[];     // Authentication Methods References
    azp?: string;       // authorized party
    at_hash?: string;
    c_hash?: string;
    sub_jwk?: object;
    anything_you_want?: any;
}

すなわちID TokenはそのID Token自身が、どの発行者/issから、どの対象者/subの情報を、どの利用者/audに対して、いつまでの有効期限/expで、いつ発行された/iatか、という情報を必ず含んでいる。例えば以下のclaimをもつID Tokenがあったとする。

interface ID_Token {
    iss: "https://JapanGav.go.jp";
    sub: "山田太郎_1234567";
    aud: ["マイナポータル"];
    exp: 1577890800;
    iat: 1577804400;
}

これはこのID Tokenが、iss/日本政府から、sub/山田太郎の情報を、aud/マイナポータル（アプリ）に対して、exp/2020-01-02の有効期限で、iat/2020-01-01に発行されたということを意味し、これを保証している。

ID Tokenの発行者（issuer）はOpenID Provider（OP）と呼ばれる。

ID Tokenの発行を担うIssuerとして様々なサービスが存在している。

OpenID Authentication 2.0、OpenID Connect のみではなく、SAMLなどでも問題になるユーザーインターフェースの問題（NASCAR問題、WAIF問題）を解決すべく検討されている仕様。

携帯電話会社がOpenID ConnectのIdPになるために必要になる追加仕様を規定している。

健康情報交換のための仕様。

注：OpenID Authentication 2.0 は、OpenID Connectによって置換えられた。

2007年12月に制定された、ウェブサイトによらず使用できる認証・連合アイデンティティシステムの規格の一つ。ユーザを識別するには、URIベースの主張識別子を用いる。これは、ユーザが入力したものではなく、認証サーバが割り当てた再利用されないURIである。その為、ユーザ識別子の使い回しによる、旧ユーザのアカウントを新ユーザがのっとってしまう ユーザー・インパーソネイション と呼ばれる問題が解決されるなどの特徴を持っている。

また、OpenID Simple Registration Extension、OpenID Attribute Exchange などの拡張仕様を利用することによって、ユーザの属性情報を連携することができる他、どのような本人確認や認証手段（パスワード、OTP、ICカードなど）を使ったかなどの認証コンテキストも同時に連携可能である。

拡張仕様には、

• OpenID Simple Registration
• OpenID Attribute Exchange
• OpenID Provider Authentication Property Extension

がある。

プロバイダには、ヤフー、AOL、フランステレコム、ドイチェ・テレコム、NTT、KDDI、ソフトバンクなど多数が対応している。

OpenID Process Documentによって規定される標準化プロセス。概ね以下の経緯をとって仕様として標準化される。

1. ワーキンググループ設置提案（設立趣意書提出）
2. 仕様カウンシルによるレビュー
3. 理事会によるレビュー
4. ワーキンググループ設置
5. ワーキンググループメンバーによるIPRアグリーメント提出
6. ワーキング・ドラフト作成
7. 実装者仕様案レビュー（45日間）
8. 実装者仕様案投票（7日間）
9. 実装事例およびフィードバック収集
10. （大幅な変更が会った場合は、実証者仕様案レビューに戻る）
11. 最終仕様案レビュー（60日間）
12. 最終仕様投票（7日間）
13. 最終仕様公開

米国オレゴン州で設立された、501(c)(6) 非営利団体である。著作権管理、商標管理、仕様をライセンス費用無しに使うことができるようにする（制限付き特許権非行使ライセンス）ための標準化プロセスの管理、OpenID財団の標準化プロセスで標準化された各種規格についての普及啓蒙を行うことを使命としている。

特許権管理は、「制限付き特許権非行使ライセンス」と呼ばれるモデルで、OpenID財団標準仕様の実装に対して、不可逆的特許権非行使宣言を行った主体に対しては特許権を互いに行使しないというものになっている。OpenID財団標準を実装したある企業が、他の企業に対して特許権の主張を行った場合、他の特許権保持者は当該企業に対しては特許権の行使ができるようになる。このため、特許権の行使には抑制的に働き、結果的に通常のロイヤリティ・フリーモデルよりも安全に利用できるようになることを狙っている。

役員は以下の通り。

法人理事は、各スポンサー企業（年50,000ドル）によって指定された個人であり、所属が変わると他の人に引き継がれる。

コミュニティ理事 は、選挙によって選ばれる。なお、コミュニティ理事は、企業を離れた個人として選ばれており、所属が変わっても継続するので、所属はあくまで参考である。

コーポレート理事は、一般のメンバー企業により選出される。

2008年2月28日OpenIDファウンデーション・ジャパンの設立が発表され、2008年10月1日OpenIDファウンデーション・ジャパンが有限責任中間法人として設立された、OpenID財団の日本支部。発起人企業は、シックス・アパート、日本ベリサイン、野村総合研究所の3社。参加企業は、ウェブ系だけでなく、銀行、保険、運輸など幅広く、2012年7月現在で42社に及ぶ。

• 楠正憲（代表理事）
• 崎村夏彦（理事）
• 米谷修（理事）
• 林達也 (理事)
• 富士榮 尚寛 (理事)
• 真武信和（事務局長）

• OpenID Authentication 2.0時代の幕開け (@（アットマーク）IT)
• 米国で盛り上がる“OpenID”（ASCII.（dot）jp）
• OpenIDが熱狂的に受け入れられる理由（@（アットマーク）IT）
• INTERNET WatchでのOpenID紹介記事

• デジタルアイデンティティ
• シングルサインオン
• Security Assertion Markup Language
• i-name
• OAuth
• 連合アイデンティティ

• OpenID Foundation website （英語）
• OpenID ファウンデーション・ジャパン （日本語）
• OpenID Foundation JP (@openidjp) - X（旧Twitter）
• OpenID Foundation Japan (openid.jp) - Facebook