OpenID Connect サポート表明したGoogleの変更に伴う注意点??

皆様こんにちは。

既に皆様もご存知かもしれませんが、先日(日本時間 2/27)、OpenID Foundationより新たなアイデンティティ認証プロトコルとなる『OpenID Connect』のローンチが発表されました。
既にいくつかのアイデンティティ・プロバイダー(ソーシャルログイン等、外部アカウントでのログイン用のアカウントを管理しているプロバイダー)が、この新たなプロトコルのサポートを表明しており、海外ではGoogle、Microsoft、Salesforce、Ping Identity、日本ではYahoo!JAPAN、ミクシィ、楽天といった企業が、サービスに実装しています。

既に多くのサイトや記事で、このOpenID Connectについて説明されていますので本エントリーでは詳細を割愛致しますが、簡単に纏めると以下が特徴かと思います。

  • アクセス認可(パーミッション制御)のスタンダード:OAuth2.0をベースにした、Identity(ユーザ情報)の連携を管理するプロトコル。
  • 従来のOpenIDプロトコル、OAuthだけでは実現できなかったセキュリティや信頼性を担保。
  • ポータビリティ(多様なアイデンティティ・プロバイダー間で利用可能)

認証を必要としたオンラインサービスが溢れる中、こういった標準仕様が策定されたことは大きな意味があり、ソーシャルログインのようなサービスの利用も今後加速していくのではないかと思っております。

さて、本エントリーでは、OpenID Connectを既にサービスに組み込んだGoogle社の発表内容に注目し、注意点を簡単にご紹介したいと思います。

Google社の発表によると、

  • OppenID Connectを採用しGoogle+ Sign-In機能に組み込む。
  • 従来のSign-In機能も全てOpenID Connectをベースに統合する。

とあります。注意点としてはここからなのですが、これと同時に、

  • 旧バージョンのプロトコル(OpenID 2.0や前バージョンのOAuth2.0)をベースにしたSign-In機能のサポートを終了する。

とあります。つまり、上記をベースとしたGoogle、Google+でのソーシャルログイン機能は今後動作しなくなるということになりますのでご注意下さい。
タイムテーブルを見ると、OpenID 2.0ベースのSign-Inは今年の4/29までに、前バージョンのOAuth2.0ベースのSign-Inは今年の8/31までに移行した方がいいですね。

移行についてはこちらに解説が記載されていますが、基本的には、「最新バージョンのGoogle+ Sign-In機能に移行して下さい。」ということですね。

気になるのは、Googleアカウント(非Google+アカウント)でのソーシャルログイン機能を実装している場合ですね。

「これまで、Google+に移行していないアカウント(Gmailのみのアカウント等)を保持しているユーザにログインを提供していたのに、Google+ Sign-Inに移行したら、ユーザはGoogle+へのアップグレードを強制されるのでは?」と心配になるところですが、これに関しては大丈夫なようです。

Google+ Sign-Inでは以下の2つのスコープが用意されていています。

  • plus.login scope
  • profile scope

簡単な違いは、Social Graph(Google+上のCircle情報)を必要とする場合は前者のスコープ、必要としない場合は後者のスコープを利用します。
後者の”profile scope”を利用していれば、Google+ Sign-In機能であっても、ユーザはGoogle+へのアップグレードを強制されません。従来通りの機能を提供できる訳ですね。

以上、非常に簡単ではありますが、少しでもご参考になれば幸いです。

※尚、ソーシャル化プラットフォームのGIGYAでは、既にGoogle社と協議し、既存実装に影響を与えない(ご利用中のお客様で作業が発生しない)ようGIGYA側で移行作業を既に計画しておりますので、ご利用中のお客様はご安心ください。
ソーシャルログインに関する詳しい情報は、こちらよりお願いいたします。