2007〜2009 年ごろ、「ひとつの ID であちこちのサイトにログインできる」仕組みとして OpenID 2.0 が大きな注目を集めました。当サイトもかつては「OpenID対応サイト一覧」として、対応サービスを紹介するリンク集でした(掲載サービスの多くは現存しません)。
OpenID 2.0 とは何だったのか
ユーザーが自分の「OpenID URL」を持ち、各サイトはその URL の発行元(IdP)にログイン確認を委ねる——という分散型の認証構想でした。理念は先進的で、現在の OIDC につながる発想そのものです。
なぜ普及しなかったのか
- UX が難しかった — 一般ユーザーに「自分の ID は URL です」という概念が浸透しなかった
- フィッシングに弱かった — 偽の IdP ログイン画面に誘導されやすい設計上の弱点
- XML/独自仕様の複雑さ — 実装側の負担が大きかった
- 「ソーシャルログイン」の台頭 — Facebook / Google が OAuth ベースの「◯◯でログイン」を提供し、そちらが圧勝した
終焉、そして後継へ
2014 年、OpenID Foundation は OAuth 2.0 を基盤とする後継仕様 OpenID Connect を策定。コンシューマ向け OpenID 2.0 は実質的に役目を終えました。
重要なのは、「OpenID」という発想が消えたわけではないということです。むしろ、その理念は OIDC として洗練され、いまや世界中の認証基盤を支えています。
いま学ぶべきこと
OpenID 2.0 の歴史は、「優れた理念でも UX とエコシステムが伴わなければ普及しない」という教訓でもあります。現代の認証を理解するなら、まず OpenID Connect と 企業SSO から始めましょう。