OpenIDは異なるシステム間で認証情報を連携するための規格の一つだ。ここ数年、OpenIDと呼ばれる技術は、正確には「OpenID Connect」と呼ばれるものである。OpenIDの「ID」とはURLを意味しており、URLをもとに認証を行うプロトコルとして知られる。

スマートフォン（以下、スマホ）やタブレット端末が普及した結果、一般ユーザーもWebサービスやアプリを多数利用するようになっている。複数のサービスを利用するたびに煩雑なログイン作業を強いることは、サービス離脱の要因ともなり得る。また、サービス間でのデータ連携も増えてきており、ユーザーの認証情報をシームレスかつセキュアに管理するためにOpenIDの利用は広がっている。

OpenID Connectが策定された背景と経緯

Webサービスの黎明期である2000年代は、OpenIDやOAuthといった現在に続く技術のベースが開発された時期であった。これらの技術がAPI連携やクラウドシフトの流れなどを受けて洗練され、Webサービスを連携させるプロトコルとして規格化されていくに至った。OpenID AuthenticationからOpenID Connectまでの変遷はインターネットの進化と重なる。

Open ID Authentication

OpenIDのベースとなったOpenID Authenticationは2006年に策定されたものだ。OpenID Authentication策定当時は、インターネット上の複数のWebサービスが連携することを想定していなかったため、策定された仕様は、「認証」のみを連携することを前提としていた。

認可を目的としたOAuth

「認証」を前提としたOpenID Authenticationに対し、OAuthはWebサービスの連携における「認可」を目的として策定されている。最初のOAuth1.0は2007年に仕様が確定したが、脆弱性などを修正して2012年にはOAuth2.0をリリース。なお、OAuth1.0とOAuth2.0の間には後方互換性がなく、実質的に別の規格のプロトコルとして考えたほうがよいだろう。

OpenIDとOAuthが統合した「OpenID Connect」

OpenID ConnectはOAuth2.0を拡張したプロトコルで、認証のためのOpenIDと認可のためのOAuthが機能拡張で統合されたものとみなせる。また、OpenID Connectではユーザーの名前やメールアドレス等の属性情報を取得できる点も大きな特徴と言える。

OpenID Connectでは、OpenID 2.0におけるセキュリティ要件を大きく見直す動きがあった。
また、アクセス権限提供のためのOAuthの使い勝手を改善する狙いもある。OpenID ConnectはOAuth2.0の仕様に準拠したことで、導入時の負担軽減などを実現している。

セキュアな認証連携（フェデレーション）技術

OpenIDに代表される、標準化された認証技術が普及したことで、Webサイト間の連携が加速するようになった。ユーザーの立場から見ると、一つのID情報で複数のサービスを利用できることは利便性が高い。ユーザーの継続的な利用が見込めることで、事業者側にとってもメリットとなる。

この仕組みはシングルサインオン（Single Sign on）と呼ばれ、一組の認証情報で複数のシステムにログインできる手法として以前からビジネスでは利用されてきている。この手法を実現する手段として、インターネット上で高い安全性を保てる認証連携（フェデレーション）技術が開発された。パスワードのやり取りなどが最小限にできる点、設定が容易である点から導入するWebサービスが増加している。

例えば、ユーザーがあるWebサービスにログインする際には、そのサービスにID情報を渡すのではなく、認証サービスを介して認証・認可を受けることになる。事業者側は、認証サービスが発行する認証・認可の結果のみを受け取り、利用の可否を判断できる仕組みだ。異なるシステム間で認証・認可の仕組みを扱うため、OpenIDのような標準化された規格に従って実装がされている。