OpenID

Logo OpenID

OpenID je otevřený standard popisující decentralizovaný způsob autentizace uživatelů, který odstraňuje potřebu na straně provozovatele služby poskytovat a vyvíjet vlastní systémy pro autentizaci a který rovněž samotným uživatelům služby umožňuje konsolidaci jejich digitálních identit.

OpenID má tvar unikátního URL, ke kterému je přiřazeno heslo. Služba, která uživatelům autentizaci pomocí OpenID nabízí, při přihlašování uživatele přesměruje požadavek na ověření identity na správce daného OpenID účtu (tzv. poskytovatel OpenID). Ten vrátí informaci o povolení či zamítnutí žádosti o autentizaci.

Autentizace pomocí OpenID je v současné době poskytována a používána řadou portálů jako AOL, BBC, Google, IBM, MySpace, Orange, PayPal, VeriSign, LiveJournal, Yandex, Ustream a Yahoo!. V České republice ji umožňoval do roku 2015 portál Seznam.cz. Významná tuzemská implementace OpenID je provozována pod názvem mojeID správcem národní domény, sdružením CZ.NIC.

Historie

OpenID je otevřená a decentralizovaná metoda pro ověřování uživatelů. Umožňuje používat jeden uživatelský účet pro více webových stránek od různých poskytovatelů.

OpenID vzniklo v roce 2005 jako vedlejší produkt při vývoji blogovacího systému LiveJournal od společnosti Six Apart[1]. Původní název byl Yadis (akronym zastupující "Yet another distributed identity system"). K přejmenování na OpenID došlo při získání domény openid.net[2]. Její vývoj je v současnosti zaštiťován společností JanRain.

Na jaře 2008 deklarovaly svou podporu standardu OpenID společnosti jako Google, IBM, Microsoft, VeriSign a Yahoo! V posledních měsících[kdy?] podporu OpenID implementoval Google a Microsoft vyhlásil, že Live ID bude podporovat OpenID. V České republice patří k největším provozovatelům služby OpenID například portál Seznam.cz.

Na konci roku 2009 existovalo více než 1 miliarda OpenID identifikátorů a přibližně 9 milionů stránek, které podporu OpenID implementovaly[3]. K rozšíření přispěly zejména sociální sítě. V březnu 2009 se poskytovatelem OpenID stalo MySpace a v květnu téhož roku se poté přidal také Facebook, který svým uživatelům umožnil přihlášení k účtu za pomocí jejich OpenID identifikátorů.

Na podzim roku 2010 vznikla v České republice služba mojeID, která je implementací standardu OpenID rozšířená o ověřování uživatelů a řadu nadstavbových funkcí (např. přihlašování certifikátem nebo jednorázovým heslem, možnost propojení s registrem domén, atd.). MojeID je provozováno sdružením CZ.NIC, správcem národní domény .cz, které službu aktivně šíří mezi tuzemskými poskytovateli internetových služeb.

V červenci 2015 oznámila firma Seznam.cz ukončení podpory OpenID ke dni 1. září 2015.[4]

Princip OpenID

OpenID identifikátor má tvar běžného URL (příp. XRI), které uživatel vyplňuje – typicky do formuláře na webové stránce – při žádosti o použití dané služby[5].

Tímto odesláním požadavku si uživatel nárokuje přístup k určité digitální identitě. Celý mechanismus OpenID slouží k ověření tohoto nároku. Standard OpenID nepředepisuje způsob, jakým je samotné ověření realizováno – pokud to bude ověření na základě spárování uživatelského jména a hesla, autentizace SMS kódem, elektronickým klíčem či biometrickými údaji, to záleží na poskytovateli OpenID.

OpenID se dále vyznačuje tím, že jednotlivé identity nejsou spravovány jedním jediným centrálním správcem, ale hned několika, což uživatelům nabízí velkou svobodu.

Slovník pojmů

Koncový uživatel (End-user)

  • Subjekt, který uplatňuje přístup k určité identitě.

Identifikátor (Identifier)

  • Má podobu URL (Uniform Resource Locator) anebo XRI (Extensible Resource Identifier), reprezentující identitu určitého koncového uživatele.

Klient (Relying Party, RP)

  • Nejčastěji jde o web, který implementoval možnost přístupu k vlastním službám přes OpenID.

Poskytovatel (OpenID provider, OP).

  • Server, který poskytuje RP potvrzení o tom, že konkrétnímu koncovému uživateli patří konkrétní identifikátor.

OP Endpoint (OpenID Provider Endpoint URL)

  • URL, na kterém poskytovatel přijímá požadavky od RP.

Uživatelský klient (User-agent)

  • Jde o webový klient (v praxi nejčastěji webový prohlížeč), který implementuje protokol HTTP/1.1.

OP identifikátor

  • Identifikátor poskytovatele.

Uživatelem poskytnutý identifikátor (User-Supplied Identifier USID)

  • Identifikátor, který uživatel zadal na webu RP nebo který si vybral na stránkách OP.

Přidělený identifikátor (Claimed identifier)

  • Identifikátor, o němž koncový uživatel prohlašuje, že mu patří.

Ověřování pomocí OpenID

Jednotlivé kroky znázorňuje schéma na pravé straně, popis k nim následuje níže: [5] [6]

  1. V prvním kroku uživatel sdělí prostřednictvím prohlížeče (user-agent) svůj identifikátor RP.
  2. Klient normalizuje dodaný identifikátor. Po jeho normalizaci se snaží získat adresu OP Endpointu zjišťovacím procesem nazývaným Discovery.
  3. (Volitelný krok) RP a poskytovatel si vytvoří tzv. přiřazení (Association) – vymění si klíč, kterým poskytovatel bude podepisovat odpovědi a RP ověřovat jejich pravost. Tento krok odstraňuje nutnost dalších dotazů na ověření podpisu při každém autentizačním požadavku či odpovědi.
  4. RP přesměruje uživatelův prohlížeč na stránky poskytovatele a v URL předá autentizační požadavek.
  5. Poskytovatel ověří, zda je uživatel oprávněn prokazovat se daným identifikátorem.
  6. Poskytovatel přesměruje uživatelův prohlížeč zpět na stránky RP a zároveň předá (v URL) informaci o tom, zda je autentizace potvrzena, nebo zda selhala.
  7. RP ověří informace předané Poskytovatelem: Zkontroluje návratové URL, informace o endpointu a ověří podpis, buď pomocí společného klíče, dohodnutého v kroku 3 (přiřazení RP-poskytovatel), nebo dodatečným dotazem na poskytovatele.

Nadace OpenID

Nadace OpenID je neziskovou organizací, která byla založena v USA. K založení nadace došlo za účelem usnadnění a sjednocení aktivit, které se dotýkají autorských práv, ochranných známek, marketingu a dalších činností spojených s adopcí OpenID.

Nadace OpenID má v současné době[kdy?] 15člennou správní radu[7], přičemž 8 členů pochází přímo z komunity OpenID a 7 členů z partnerských korporací:

  • Komunitní členové:
    • Brian Kissel (JanRain)
    • Chris Messina (Google)
    • David Recordon (Six Apart, Facebook)
    • Joseph Smarr (Plaxo, Google)
    • Nat Sakimura (Nomura Research Institute)
    • Scott Kveton
    • Snorri Giorgetti (OpenID Europe)
    • Allen Tom (Yahoo!)

Reference

  1. FITZPATRICK, Brad. Distributed Identity: Yadis [online]. 2005-05-16 [cit. 2011-01-31]. Dostupné online. (anglicky) 
  2. LEHN, David. Advogato blog for dlehn [online]. 2005-05-18 [cit. 2011-01-31]. Dostupné v archivu pořízeném dne 2010-12-21. (anglicky) 
  3. KISSEL, Brian. OpenID 2009 Year in Review [online]. 2009-12-16 [cit. 2011-01-31]. Dostupné v archivu pořízeném dne 2017-07-03. (anglicky) 
  4. http://seznam.seznamblog.cz/post/124562732576/seznam-cz-email-chysta-ukonceni-podpory-sluzby Seznam.cz ukončuje podporu OpenID
  5. a b MALÝ, Martin. OpenID [online]. 2008-12-30 [cit. 2011-01-31]. Dostupné online. 
  6. OPENID FOUNDATION. OpenID Specification [online]. [cit. 2011-01-31]. Dostupné online. (anglicky) 
  7. OPENID FOUNDATION. OpenID Board of Directors [online]. [cit. 2011-01-31]. Dostupné online. (anglicky) 

Externí odkazy

Média použitá na této stránce

Openid.svg
Toto je ikona pro sociální síť. Je součástí Open Icon Library balíku webových ikon.