國網中心莊子民 2011/3/8

國網中心莊子民 tmchuang@nchc.org.tw 2011/3/8

Outline 什麼是 OpenID? 為什麼我們要用 OpenID? OpenID 怎麼運作的? OpenID 的三個角色 OpenID 帳號提供者 Delegating Authentication 說明與介紹 個人資料交換 你要想要 OpenID 為你做什麼 OpenID 技術探討

什麼是 OpenID 你還在用 excel 表格來管理自己的帳號密碼嗎? OpenID 是實現了 Single Sign-On( 單一簽入 ) 技術的其中一種作法 2006 年由數個網路服務公司, 整合既有的想法與技術, 共同提出的規範 一套 開放標準 的規範, 目前 OpenID 規範由 OpenID.net 開發中 目前規範 OpenID 2.0

為什麼我們要用 OpenID? OpenID 是一個以使用者為中心所推出的網路身份認證服務 以網站為基礎的認證協定, 適用於網路的服務, 結合了認證 識別 信賴 授權等服務 圖片截取自 http://myid.tw

OpenID 特性 方便性 只要向 OpenID 帳號發行者註冊, 就可以登入 認證流程由 OpenID 帳號發行者負責 身份資料交換機制 突破性 OpenID 是 Identity 2.0 的實踐 Identity 2.0 源自 Web 2.0 理論, 也被稱為 digital identity, 網際網路身份認證 使用以使用者為中心的技術, 強調的是一個簡單並且開放的身份辨識方法 2008 年 Google, Microsoft, Yahoo! 與 MySpace 等宣布支援 2009 年 5 月 Facebook 宣布加入

OpenID 特性 ( 續 ) 獨特性 使用者為中心 (User-Centric) 的身份認證機制 就擁有專屬於自己的個人認證識別 (OpenID URI) 此 URI 可轉為 URL 做為該 OpenID 擁有者的個人資料頁面 提供代理認證 (Delegating Authentication ) 的機制 整合性 利用代理認證的機制, 整合網路上的身份, 方便其他使用者辨認又可清楚代表自己 提供管理已認證的網站 是提供已登入過的網站歷史紀錄及追蹤不正常的登入情形 etc

OpenID 長相 利用 URI (Uniform Resource Identifier) 作為專屬識別 URI 是在網路上呈現一串如網址般的文字及符號的字串, 用來識別名字資源 格式就如同網址一般, 網址所含的內容完全沒有限制 Ex: http://tmchuang.myopenid.com http://openid2.colife.org.tw/user.aspx?tmchuang

OpenID 怎麼運作的 這個符號就是代表 OpenID, 提示使用者輸入 OpenID URI 的意思 https://sourceforge.net/account/login.php

OpenID 的三個角色 OpenID Provider ( OP ) OpenID 帳號提供者提供註冊 OpenID, 如 Yahoo Google Microsoft Live Message MyOpenID myid.tw 由不同 Provider 提供的 OpenID 就會被視為不同的 ID Relying Party ( RP ) 受信任的網站支援 OpenID 驗證的網站如 facebook 等 使用者

OpenID Login http://bingo.handlino.com/login 填入已註冊的 OpenID http://tmchuang.myopenid.com/

OpenID Login (con t)

OpenID Login (con t) 已認證登入, 但沒有使用者記錄, 填寫之

Yahoo OpenID

Yahoo OpenID (con t)

Yahoo OpenID (con t) 用不同的方式登入, 視為不同一個人

OpenID Providers

OpenID Providers (con t) 中央研究院資訊科技創新研究中心 http://myid.tw 國網中心 Co-Life 團隊 http://oepnid2.colife.org.tw http://openid.org.cn http://87id.com/zh_cn

OpenID Providers (con t)

OpenID 代理認證機制 MyOpenID URI http://tmchuang.myopenid.com Google OpenID URI https://www.google.com/accounts/o8/id?id=aito awlwm3dfpddnj0twllz0h9j7-imdmh_mpsi Yahoo Openid URI https://me.yahoo.com/a/zsxnzpulmcdmij6omn 422pIP6GXxOrDXQw--#bf1b4 用你的熟悉的 URL 來取代上述的 OpenID URI

OpenID 代理認證機制 (con t) 在自己擁有的網站首頁 ( http://new.colife.org.tw ) 的 HTML 內加入第一行是 OpenID 認證伺服器的位址, 第二行即為委任 OpenID URI 地址 <html> <head> <title>tmchuang openid.delegate test</title> <link rel="openid.server" href="http://openid2.colife.org.tw"> <link rel="openid.delegate" href="http://openid2.colife.org.tw/user.aspx?tmchuang"> <link rel="openid2.provider" href="http://openid2.colife.org.tw"> <link rel="openid2.local_id" href=http://openid2.colife.org.tw/user.aspx?tmchuang > <meta http-equiv= X-XRDS-Location Content= http://openid2.colife.org.tw/op_xrds.aspx /> </head> <body> this is a testing... </body> </html>

OpenID 代理認證機制 (con t)

OpenID 的個人資料交換 在 OpenID Simple Registration Extension 1.0 規格書中有定義九個交換屬性 : 全名 (FullName) 暱稱 (Nickname) E-mail(Email) 生日 (BirthDate) 性別 (Gender) 國家 (Country) 郵遞區號 (PostalCode) 語言 (Language) 時區 (TimeZone)

OpenID 的個人資料交換 (con t) OpenID Attribute Exchange 1.0 Final 5. Fetch Message 5.1. Fetch Request Format 5.2. Fetch Response Format openid.ax.mode openid.ax.type.<alias> openid.ax.required openid.ax.if_available openid.ax.count.<alias> openid.ax.update_url

回顧 OpenID 的功能 OpenID 的三個角色 OpenID Provider (OP) Relying Party (RP) User 單一簽入 (SSO) ( OP) 及登入認證 (RP) 代理認證機制 個人資料交換機制

你要想要 OpenID 為你做什麼 (OP) 整合帳號,Single Sign-On( 單一簽入 ) 協助入口網 網教中心及加盟單位進行統一會員登入 OpenID 會員 1000 人 Relying Party OpenID 會員 1000 人 Relying Party OpenID 會員 1000 人 Relying Party 總註冊人數 OpenID Provider 5000 人 OpenID 會員 1000 人 Relying Party OpenID 會員 1000 人 Relying Party

你要想要 OpenID 為你做什麼 (RP) 提升網站登入人數及人次 OpenID 註冊人數 Provider 1000 人 OpenID 註冊人數 Provider 1000 人 OpenID 註冊人數 Provider 1000 人 註冊人數 OpenID 1000 Provider 人註冊人數 OpenID 1000 Provider 人 OpenID 總會員 9000 人 Relying Party OpenID 註冊人數 Provider 1000 人 OpenID 註冊人數 Provider 1000 人 註冊人數 OpenID Provider 1000 人 註冊人數 OpenID Provider 1000 人

OpenID 技術探討 技術資料來源 http://openid.net/ 目前規範 OpenID 2.0 Support Language http://openid.net/developers/libraries/ Asp.Net(C#) PHP Coldfusion Java Perl Python Ruby Squeak/Smalltalk Apache 2

導入規劃 OP or RP 規範 OpenID 1.0 或 2.0? To be an OpenID Provier or Relying Party? RP 登入流程設計 相容原本的使用者系統 結合多個 OpenID 帳號 需要什麼個人資料,OpenID Provider 是否有提供? 帳號記錄的變更 OP OP & RP What is your OpenID URI format? ex: http://tmchuang.myopenid.com http://openid2.colife.org.tw/user.aspx?tmchuang 註冊欄位資料 (Simple Registration & Fetch Message ) 隱私權政策 使用何種開發語言

OpenID 登入流程 1. 進行登入程序 2. 選擇登入 OpenID 3. 檢查 OpenID URI 是否有效 4. 回應 XRDS 文件 6. 導向登入頁面 5. 要求登入認證及個人資料回傳 7. 填寫登入資料 8. 回傳使用者資料 登入狀況及 9. 登入成功, 開放權限 驗證 RP 登入頁面的合法性

To be a RP 登入流程設計 重點 : 填帳號密碼的地方, 是在 OpenID Provider http://www.myopenid.com http://vcenter.iis.sinica.edu.tw /lab/login/index.php

To be a RP 登入流程設計 獨立頁面處理 變更直接輸入帳號 / 密碼 已進入 Co-Life OpenID 認證程序

To be a RP 登入流程設計 不建議使用的版型 已進入 OpenID 認證程式

To be a RP 登入流程設計 較好的做法一

To be a RP 登入流程設計 較好的做法二

To be a RP 個人資料交換處理 OpenID Simple Registration Extension 1.0 全名 (FullName) 暱稱(Nickname) E-mail(Email) 生日 (BirthDate) 性別(Gender) 國家(Country) 郵遞區號 (PostalCode) 語言(Language) 時區(TimeZone) Require ( 需要, 可選擇 ) Request ( 必需, 一定要 ) OpenID Attribute Exchange 1.0 Final 5. Fetch Message 5.1. Fetch Request Format 5.2. Fetch Response Format

OpenID Attribute Exchange http://www.axschema.org/types/

http://www.axschema.org/types http://www.axschema.org/types/

不存在的 Attribute http://openid2.colife.org.tw/type/interface/cht http://openid2.colife.org.tw/type/interface/eng

To be a RP 記錄帳號的欄位變更 MyOpenID URI http://tmchuang.myopenid.com Google OpenID URI https://www.google.com/accounts/o8/id?id=aito awlwm3dfpddnj0twllz0h9j7-imdmh_mpsi Yahoo Openid URI https://me.yahoo.com/a/zsxnzpulmcdmij6omn 422pIP6GXxOrDXQw--#bf1b4

To be a RP 結合多個 OpenID 帳號

OpenID RP 驗證設定 by OP 登入頁 http://rp.colife.org.tw/login.aspx http://rp.colife.org.tw 首頁內容 <html> <head> <title>openid Login</title> <meta http-equiv="content-type" content="text/html; charset=utf-8" /> <meta http-equiv="x-xrds-location" content="http://rp.colife.org.tw/xrds.aspx"/> </head> <body> xrds.aspx <?xml version="1.0" encoding="utf-8"?> <xrds:xrds xmlns:xrds="xri://$xrds xmlns:openid=http://openid.net/xmlns/1.0 xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service> <Type>http://specs.openid.net/auth/2.0/return_to</Type> <URI priority="1">http://rp.colife.org.tw/loginprogrammatic.aspx</uri> <URI priority="2">http://rp.colife.org.tw/login.aspx</uri> </Service> </XRD> </xrds:xrds>

To be an OP 需要一個 RP for 測試 What is your OpenID URI format? ex: http://tmchuang.myopenid.com Need DNS http://openid2.colife.org.tw/user.aspx?tmchuang 決定所需的註冊欄位資料 Simple Registration FullName Nickname Email BirthDate Gender Country PostalCode Language TimeZone Require ( 需要, 可選擇 ) Request ( 必需, 一定要 ) Fetch Message 5.1. Fetch Request Format 5.2. Fetch Response Format User Define

To be an OP 隱私權政策 個資法的通過 什麼資料可以給 什麼資料不能給

OpenID 開發語言 http://openid.net/developers/libraries/

OpenID 開發語言 (con t)

OpenID 開發語言 (con t)

OpenID 開發語言 (con t)

OpenID 開發語言 (con t)

參考資料 10 分鐘學會 OpenID OpenID 服務串接一路通 http://myid.tw OpenID.Net http://openid.net/ OpenID WikiPedia http://en.wikipedia.org/wiki/openid OpenID Developer http://openid.net/developers/ OpenID Libraries http://openid.net/developers/libraries/ Google OpenID http://code.google.com/intl/zh-tw/apis/accounts/docs/openid.html Yahoo OpenID http://openid.yahoo.com/ MyOpenID http://www.myopenid.com Twitter Feed http://twitterfeed.com/ DotNetOpenAuth http://www.dotnetopenauth.net/