モジュールでOpenIDを簡単に実現!
OpenIDの仕組み
ユーザー識別にURLを使用するなど、ユーザーIDとパスワードを使った方式との違いに違和感を覚える方も少なくないでしょう。ApacheにOpenIDを実装する前に、簡単にOpenIDの仕組みを解説します。
OpenIDで使用する主なシステムと手続きは図2の通りです。認証サーバー(IdP:Identity Provider)とサービスを提供するサーバー(Consumer)、さらにサービスを受けるユーザーの三者間で、次のように認証情報が交換されます。
(1)ユーザーは、事前に認証サーバーでユーザー登録を行い、認証で使用するOpenID URLを受けとります。
(2)サービスを提供するサーバー(以降、サービスサーバー)にアクセスする際、認証画面で(1)で払い出されたOpenID URLを入力します。
(3)サービスサーバーは、入力されたOpenID URLから認証サーバーを特定し、認証を依頼します。
(4)認証を依頼された認証サーバーは、ユーザーに対し、ユーザーIDとパスワードによる認証を行います。また「○○サービスサーバーから認証要求が行われている」ことを通知し、対応を確認します。
(5)認証サーバーは認証結果を、サービスサーバーに返信します。
(6)認証にパスした場合、サービスサーバーはユーザーにサービスを提供します。
通常のWeb認証と比べた場合、サービスサーバーにログインするかわりに、認証サーバーにログインしているだけのようにも見えますが、サービスサーバーにアクセスする前に、認証サーバーにログインし、ログイン状態を継続しておけば、シングルサインオンでユーザーIDやパスワードを入力する必要が無くなります。
また認証サーバーにはユーザー自身が信頼するサーバーを指定することができます。さらにサービスサーバーには、認証サーバーで使用しているユーザーIDとパスワードを知られることはありません。メールアドレスやユーザーのフルネームなどのプロファイルを、認証サーバーとサービスサーバーで交換することもできますが、その際はOpenID Simple Registration Extensionプロトコルを使用します。
以上のようにOpenIDでは、ユーザー認証は認証サーバーが行い、サービスへのアクセス承認はサービスサーバーが行います。
ApacheでOpenID認証を可能にする「mod_auth_openid」
WebコンテンツでOpenIDによる認証を可能にする方法の1つに、フレームワークやアプリケーションを使った方法があります。例えばPHPではZend FrameworkやCakePHPといったフレームワークでOpenID認証を利用することができます。Java、Perl、Rubyといった開発言語でも、それぞれに用意されたフレームワークやライブラリで、OpenIDを実装することができます。これらのOpenIDのためのライブラリは、OpenIDコミュニティの運営するWiki(http://wiki.openid.net/Libraries)にまとめられています。
既にサービスサーバーがPHPやJavaなどを使ったWebアプリケーションでサービスを提供しているなら、こうしたOpenIDのライブラリをインストールして、WebサイトをOpenID対応することができます。しかし一切Webアプリケーションを使用していないサーバーで、わざわざOpenIDのためだけにWebアプリケーションを作成するのは、大変非効率的です。
そうしたケースでは、Apacheモジュール「mod_auth_openid」を利用します。Basic認証を導入するような手軽さでOpenIDを導入することができます。
mod_auth_openidはApacheに対し、以下の機能や特徴を追加します。
・OpenIDに対応したサービスサーバー(Consumer)を構築できる
・OpenID Authentication 2.0に準拠している
・既定のOpenID認証画面が用意されている、また独自にOpenID認証画面を作成し利用することもできる
・信頼するOpenID URL、信頼しないOpenID URLを設定できる
・信頼する/しないの条件付けで、正規表現を使用できる
mod_auth_openidは、OSS in Butterfat Tracのmod_auth_openidのページ(http://trac.butterfat.net/public/mod_auth_openid)よりダウンロードできます。
次のページではCentOS 5.2を例に、Apacheにmod_auth_openidを組み込む作業を解説します。
