作島さんコメントありがとうございます。遅くなりま
した。
#
http://openid-japan.org/ のサーバについて残念なお知らせ
が出てました。
On 2008/08/28, at 3:56, Tatsuki Sakushima wrote:
> ㈰「メンバーシップ」という表現について
>
> ソーシャルサイトでの友人関係も扱えると思うの
> で、
> メンバーシップよりはより広い概念を包括している
> のかな?
> と思いました。そうなると、RelationshipとかSocialとい
> う
> 表現のほうが適切かなと思いました。(注:主観
> 入ってます。)
> 用語決定については英語圏の人を巻き込むと良いで
> すね。
そうですね。当初は「関係認証」等とも呼んでいたの
でRelationshipも候補に挙げていましたが、mixi OpenIDのモ
デルは実際には「関係の認証」ではなく「集合への所属」の認
証だったのでドラフトではMembershipを選びました。こ
のへんは崎村さんが
gen...@openid.net にpostして頂いたの
をきっかけに、ディスカッションが進めば...とか思っ
たのですが、悲しいことに反応無いですね。
ちなみにソーシャルグラフを扱うアプリケーションで
は関係というプリミティブな要素ももちろん扱います
が、大部分のケースでは「特定の集合に属しているか
否か」程度の大雑把なモデルの方が扱いやすいと私は
考えています。また企業内の情報システムで使うACL的
なものをMAMで実装する場合にも言えるのではないかと
思っています。
> ㈪「認証リクエスト」の部分
>
> MAMでは、RPオーナーが各種識別子を指定することに
> なると思いますが、
> OpenID畑から来た人が読むと、「どこでユーザーは
> OpenIDを入力するのか?」
> と思っています。この点ははっきり強調されたほう
> が良いと思いました。
なるほど。ここはMAMを使うOP/MP/RPが実現したいものに
よって変わってくることを想定して明言していません
でした。通常はRP上でMAMを適用したい情報の所有者or
管理者がグループ識別子をセットしますが、可能性と
してエンドユーザによるuser-suppliedなグループ識別子
を使う場合もあるのかなと思っています。
# RPとしてはとても使いにくいとは思いますが :-P
となるとこんな感じでしょうか。
訂正前: RPは認証したいグループ識別子からMP終点URLを
探索する。
訂正案A: RPは管理者が指定したグループ識別子からMP
終端URLを探索する。
訂正案B: RPはエンドユーザが入力、または管理者が指
定したグループ識別子からMP終端URLを探索する。
む、この場合、RPオーナーなどを指す「管理者」って
言葉が未定義でした。用語への追加が必要。
> ㈫「付録A.1」のユーザー識別子
>
> 上に関係しますが、「付録A.1」で「あるエンドユー
> ザーは自身の識別子として
> "
http://www.example.com/"を用いる」とありますが、MAMでは
> これは「MP識別子」に
> なるのではないでしょうか?MAMは普通のOpenID認証と
> 違うと思いますので。
> このURLはユーザーの持ち物ではありませんね?
> OpenID2.0の仕様を読むと、
> Claimed IDは「An Identifier that the end user claims to own」とあ
> ります。
なるほど。たしかにこれはユーザの識別子とMP識別子
が暗にぶつかっているので、例として不適切ですね。
おそらく下記のような感じにID例を書き換えると誤解
の余地が無くなりそうですね。
"
http://www.example.com/" -> "
http://www.example.com/foo"
"
http://www.example.com/friends" -> "
http://www.example.com/foo/friends"
"
http://www.example.com/friends/female" -> "
http://www.example.com/foo/friends/female
"
"
http://www.example.com/friends/male" -> "
http://www.example.com/foo/friends/male
"
"
http://www.example.com/Example.Inc" -> "
http://www.example.com/foo/Example.Inc
"
> ㈬その他気になった点
>
> 瑣末になりますが、2点あります:
>
> 1.RPから見てMPが複数ある場合の実装はどうなるの
> だろうか?と考えました。
> ユーザーがRPが誰か判断して、その人とつながりの
> あるMPを選択するという
> ユースケースもあるのかな?と。
> (あんまりユースケースを広げすぎると仕様が複雑
> になるという弊害があるのは
> 理解しているのですが、この仕様をUSのコミュニ
> ティに出したときにどういう
> 反応がありそうか?気になりました。こっちだ
> と、みんなLinkedIn、Plaxo、
> MySpe、など普通に併用していますので。)
このへんは未定義です。MAMのXRDSでの記述について書
き入れるのを忘れていたのですが、OPのXRDSのサービス
型にMAMを追加することで、RP側でMPを最低限レコメン
ドする余地が残ると思います。あと、異なるMPのグ
ループ識別子を包括して提供するMP Aggregation serviceも
この枠組みで実現できるとおもっているので、実現可
能なシステムを付録Bで提案してあとは作り手の想像
力に任せた方が面白いかなとも思いました。
もうちょっと適切な誘導(?)方法があったら是非教えて
ください。
> 2.MAMで使う識別子がそろった場合、人の設定を勝
> 手に使えてしまうのかな?
> と思ったのですが。RPが誰か特定するのは、とても
> 難しいのですが。。。
> 今の仕様のままでニックネーム以外のSregは返さない
> 方が良さそうです。
すみません、問題となるケースを詳しく教えて頂けま
すか?