March 01, 2008
RSSを近視眼的に「ただのブログの更新情報取得ツール」として捕らえると世界が狭くなる。
「ほぼ統一されたデータのやりとりフォーマット」が確立され、機械対機械の間でコンテンツのデータが流通する仕組みだと思えば夢は広がる。
同様にOpenIDを、「新しいサービスができたときに簡単にログインできる仕組み」程度の捕らえ方をすると、あまりしっくりいかない。
「複数サービス間の信頼関係を簡単に結ぶ仕組み」と考えると夢が広がる。
現状としては、OpenIDのプロバイダがOKを出したユーザーはOKだと言うことを無条件で受け入れるようになると言っても、その認証をどこまで信頼できるか?は別問題なので、OpenIDがあるからと言って、何から何まで使えるようにさせるわけにはいかない。
結局、それなりに責任が伴うサービスとしては二段構えの対応にならざるを得なく、「お試し利用としてのOpenID対応」というフェーズと、「本気で使うならうちに個人情報を登録してね」という状態は分かれるだろう。
ユーザーサポートが絡むサービスであればあるほど、この部分は意識せざるを得ないし、マーケティングという大人の事情も絡めば絶対に無視できない。ネットのサービスはHTTPだけで完結するものではない。
OpenIDのセキュリティに関しては、以下参照:第4回 OpenIDをとりまくセキュリティ上の脅威とその対策
Yahoo!、mixiには必須、かつ利便性が向上した、OpenID2.0についても見ておく必要があるので引き続きこちらも。第5回 OpenID Authentication 2.0時代の幕開け
せいぜいmixi日記に書かれたネタ的サービスに登録する程度のユーザーにとっては、今まで、メールアドレスと使い慣れたパスワードで登録可能だったサービスは、十分簡単なログイン方法であり、そんなに利便性があがるのか?というと結構疑問である。
そういうユーザーにとっては、例え「mixi.jp」だけでログインできるようになったとしても、OpenIDのログイン方法を覚えるコストは今とそんなに変わらないんじゃないか?と
それよりも、「mixiのログインアカウントをそのまま使えます」ということに対して、フィッシングサイトにログイン情報を入れさせるのと同じように見えてしまうことを回避させる努力が必要に思える。
mixi、Yahoo!がOpenIDに対応したら普及するだろう、と僕は思っていたのだが、段々、この感覚は、IE7にRSSが搭載されれば、難しいRSSもみんなが使うようになるよ、という他人事のような楽観論に近いような気がしてきた。
どっちの巨大サービスでも、「OpenIDを利用する」という設定ボタンを押させるには工夫が必要だと思う。
特に、mixiの1600万人というユーザーの母数は、そもそも携帯電話で全ての操作をこなしているユーザーが相当数含まれているわけで、フィッシングについての抵抗感も少ないと思うが、他サービスの認証に対して何も気にせず同じID、同じパスワードでログインしているケースは多いと思う。
違う意味でオープンIDとなっていたりするので、場合によってはOpenIDに登録する方が利便性が下がることも考えられる。(もちろんセキュリティレベルが向上することを意味する)
何より問題は、この両巨大サービスにとって、積極的にOpenIDを広めるメリットがあるのか?というのが大事だ。
例えば、プロモーションコストをかけて「OpenIDいいですよー」と、「OpenIDを利用する」ボタンの利用促進を図るか?というイメージが全然わかない。
単純に認証サービスとして見たときには、OpenIDのプロバイダにしかならないサービスにとって、OpenIDに対応する意義というのは、
「いろんなサービスでOpenIDが当たり前になった時に、自分のところが認証に使われること」
というユーザー囲い込みの防御的対策であって、
「OpenIDを積極的に使ってもらって利益を上げる」
という積極的なものではないように思える。
yahoo!IDはうまく自分のIDが取れなかったので、いつも使ってるログインIDとは違うため毎回登録情報を問い合わせている状態なので、Yahoo!にこそOpenIDのコンシューマー対応して欲しいのだが。認証相手のセキュリティレベルには落とせないというのはあるんだろう。
OpenID対応をただの認証サービスではなく、「複数サービス間の信頼関係を簡単に結ぶ仕組み」と考えれば、十分に対応するメリットが見えてくる。
ミクシィが内部的にOpenIDなどのモダンなAPIを使い始めている
今のところmixi stationから呼ぶための「あしあとAPI」や、mixiニュースなどから呼んでる「OpenID」が確認されている。
現状は、mixiサービス内で閉じている認証も、mixiの下にぶら下がる外部サービスという流れができれば、OpenID認証はユーザーが認識することなく使われる仕組みになるだろう。
オープンソーシャルなる流れと絡むのか否かは知らないが、サービス間の信頼関係が元々取れているなら、ユーザーが「OpenIDを利用する」ボタンを押す必要もなく、例えばWidgetのような形で、利用前に確認画面を出せば良い。具体的なベネフィットが伴うこの流れなら自然にsubmitボタンを押してもらえる。
つい先日、JugemKeyがOpenID1.1ではあるがプロバイダ対応を完了しているので、自分のサイトにもOpenIDの設定をしてみた。
それどういうこと?かというと、本ドメインのホームページには以下のタグが埋め込んであるのだが、
<link rel="openid.delegate" href="http://profile.jugemkey.jp/f-shin" />
<link rel="openid.server" href="https://secure.jugemkey.jp/openid/server.php" />
この二つが書いてあれば、OpenID対応サービスで、このドメインの「milkstand.net」と入力すれば、JugemKeyの認証を使ってサービスにログインできるようになるという次第。
つまりmixiやYahoo!などを使うことなく「自分のホームページ」で、OpenID認証ができるようになります、と。
正直、コンシューマサービスのログインフォームがややこしくなるとか、権限面がややこしくなる可能性があるとか使い勝手の面で気になるところは沢山あるのですが、今年しばらくは、この辺の対応でいろんなサービスを注目する日々が続きそうです。
#現状の認識の元で書いたエントリーです。
#OpenIDの認識について間違っているところがあったら指摘していただけるとありがたいです。
#ところで、OpenIDの認証プロトコルを全然知らないのですが、最終的にお互いがわかるのはOK/NGだけ?例えば一時的なトークンを使えば、今ログイン中ユーザーのYahoo!メールやmixiメッセージに対して宛先匿名のメールが送れる、みたいなのはできないの?
----------------------------
追記:
ちゃんとレスする時間を取ってレスしたいと思っていますが、とりあえずこのエントリーを読んだ人は、こちらも読みましょう!
レスしていただいたのは、上の方で@ITの引用記事を書かれたZIGOROuさんです。