March 08, 2008

OpenIDの話、続き。

前のエントリを書いたときには忘れていましたが、僕も昔、XML WebServicesがわさわさ出てきたときに、企画提案レベルで複数サービスの連携なんてのを考えてみたことがある。

例えば自分がアメリカに行くときに、飛行機を予約して、現地のレンタカーを予約して、その先に止まるホテルをオンラインで予約することを考える。

もし緊急事態で、飛行機の予約を一日ずれさなければならなくなったときに、飛行機の予約を変更したら、自動的もしくはとても簡単な連携で、レンタカーの予約も変更されて、ホテルの予約も変更してくれるようなサービス間連携ができるようなことができたら、それと同じような利便性で、いろんなことが便利になっていると思う。

これをどういう感じで実現するのか？と考えると、どう考えても複数サービスで串刺しのユーザー認証ができないとメリットとしては見えてこない。

逆に言えば、串刺しでユーザー識別さえできれば、時間の変更管理をしてくれるマッシュアップサービスを作るのは難しくない。

ちょうどこんなことを実現するための認証規格が存在するようで、SAMLというものがそれらしい。もう結構昔に作られたもので、はてブコメントでもレスをつけていただいたものでもある。最近はGmailのASP利用界隈で地味に使われているとのことらしい。

SAMLとOpenIDの立ち位置は似てるけど違うもの。SOAPとRESTやらjsonみたいな関係なんですかねー。

2000年頃のXMLのムーブメントがあまりにもまっとうすぎて広まらなかったものを、別の誰かがうまくシンプルに落とし込んで実現性とオープン性を追加したおかげで広まっているというのがここ数年繰り返されているように見えて、Ajaxが出てきた2004年以降は進歩してるようで、2000年〜2002年頃の種が形を変えて普及するフェーズであるという感じなのですが、OpenIDも、その中の一つと言ったところでしょうか。

いずれにせよ、いろんなサービスがさくっと導入してみようかって思ってもらえるぐらいシンプルでわかりやすいのは大事ですね。認証の場合は、さらに安全も大事ですが、安全を確保するコストが高すぎると誰も実現できない。

さて、前回の書き込みに対してZIGOROuさんにレスをいただいたので、さらにレスをば。

Re:OpenIDが面白いのはWebサービス間の連携

---

f-shinさんが言っている「お試し利用」と「本気の利用」ってのは恐らく、メールアドレス等の個人情報を自前で持つか持たないかの話だと思うんですが合ってますかね？

Simple Registration Extension(sreg)やAttribute Exchangeのような枠組みを使えばプロフィール交換が出来る訳で、これを用いればユーザーの個人情報をユーザーの同意が得られれば、OpenID Providerから拝借出来る訳なんだけど、そこまでやるサービスなのか、そうじゃないかって事かなと思いました。

---

そうですね。「本気の利用」というのは、それこそ有料会員の関係になるようなサービスですね。もしくは商品購入履歴などのプライバシーに関わるような情報を保持する場合。

有料会員ということはそこにビジネスが発生していますから、ユーザーサポートで連絡がつかないってのはアウトだし、障害があったらメールを送ったりもするわけで、そういうところで使う場合は、OpenIDで認証したとしても、通常のユーザー登録はつけざるを得ないですよね。今のところ。

その際の登録簡略化という意味では、プロフィール交換機能は登録の手間の削減にはなります。実は事業者に取って必要な情報はそんなに多くない、ということになれば、どうってことない話なのかもしれませんね。

---

そもそも、ちょっとしたサービスとは言え何らかのIdentityとパスワードを登録しなければならないサービスは、必ず「会員登録」と言う手続きを踏まねばなりません。またいちいちメールアドレスの死活確認としての会員登録確認メール的な物が送られて来て、アクティベーションを行うってのは中々面倒な作業。

---

確かにそれはそうなんですが、あとは、「mixi IDでログインする！」とか「Yahoo! IDでログインする！」というボタンがあちこちに出てきて認知度が向上することは大事ですね。

「なにそれ、意味わかんない」というのを乗り越えるのに高いコストがかかりますからね。OpenID 2.0であれば難しくは全然ないんですが、こういうのはたった一言のレベルで済むことを知ってるか知らないかのレベルで壁になったりします。

現時点だとどうしても、その部分を理解してもらえるかなぁ？！といい懸念は大きいです。だからと言って、やらなければ広まりませんから、そこはそういうものですということでしかないのですが。

あと、まだまだサービス事業者側が、OpenIDでの情報の流れを理解していないという感覚は強いです。

ちなみに、OpenIDを語る場合に、OpとがPbとか（あれ違う？）短い言葉で略すのはわかりにくいですね。それ頭で理解してないとついていけないのにって思います。ZIGOROuさんの文章はそこを省略されないので、非常にわかりやすいです。

---

まぁついでに言っておくとOpenIDってのはURLがIDになる訳です。今まではメールアドレスと言うレガシーなIDで、そこにメールを送ればコンタクトが取れそうだと言うのがIDたる所以だったんですが、それをURLとしてさらにそのURLの所有者に対してのコンタクト方法がきちんと定まれば、メールアドレスに取って変わる存在になりうる物だと思っています。

---

僕はそこにはとても興味があります。

以下はOpen IDそのものとは無関係な話ですが、こういうものの先の話として、

もし、URLの所有者に対する直接的な連絡手段が抽象化されていて、ある人はmixiメッセージ、ある人はGmail、ある人はtwitterのDM、場合によっては携帯電話のCメールやSMSに直接送られてくるとか、社内blogにpublishされるとか、サイボウズの予定表に登録されるとか、情報の最終到達地点がエンドユーザーの意思で自由に変えられるようになったらいいなぁと。

というのも、そもそもサービス事業者が必要だと思っていること（そう思い込んでいることも含め）と、Open IDの理念は、Identityという言葉の部分で相反するところがあるんじゃないかと勝手に思っているのですが、もし、そこの折り合いを取るとしたら、「そうすることで売り上げが上がる」と言った改善の見通しが見えることだと思うんですね。

例えば楽天市場はエンドユーザーのメールアドレスをショップオーナーさんが知ることができないそうで、楽天に対する不満点になっています。しかし、楽天に出店して売り上げマージンを支払ってもキャッシュフロー上プラスになることが大前提であれば、それは儲かるってことなので、ここはトレードオフとして受け入れているわけです。まぁ楽天に来る人は、あくまでも楽天のお客さんですから、なんでもかんでも情報が得られるわけじゃないってのは、ちょっと考えると当たり前なんですけど。しかも、どうもワンタイムメールアドレスを使って転送してくれるとかで、抽象化された連絡先に送るという部分では同じようですね。

OpenIDとしては、会員登録の手間が下がることでスループットがあがれば、当然、売り上げもあがるハズで、そこを訴求していくものだと思います。

さらにユーザーへの連絡手段をスポイルしないために、例えば全然見ないような捨てメールアドレスばかり使われるとかSPAMと区別がつかないから全然見られない、と連絡を取るアクションが非効率になってしまうより、事業者は最低限の個人情報しか持たなくても、エンドユーザーの手元に確実に情報が届くようになっている、などの絵が描けると、さらに受け入れられてやすいのかなと。

まぁゆくゆくの話ではありますが、メッセージ伝達手段として一番有用なところをOpen IDのプロバイダにするという選択肢も良いのかなと思います。