아메리카온라인 (AOL) 은 올해초부터 오픈아이디 프로바이더 (OP) 였습니다만 언제쯤 컨슈머 (RP) 가 될 지가 자주 이슈가 되곤 했습니다. Alexa 기준으로 전세계 랭킹이 50위권에 이르는 큰 사이트가 오픈아이디를 지원하게 된다면 그 영향력은 대단할 것이기 때문입니다.

그 AOL이 이제 정말 곧 RP가 된다고 합니다. 그런데 이번에 이슈가 된 것은 사실 오픈아이디의 취지와는 달리 자신들이 신뢰할 수 있는 OP에서 오는 오픈아이디만 허용하겠다고 하는 정책입니다. OP Whitelist라고 할 수 있죠. 물론 이 목록은 유동적입니다. 어떤 OP든지 신청만 하면 적절한 테스트 후에 받아주는 것으로 생각됩니다. 그럼에도 불구하고 이런 정책이 "오픈아이디의 취지에 맞는 것인가" vs. "trust가 존재하지 않는 상황에서 서비스 보호를 위해서는 어쩔 수 없다" 라는 입장이 대립되는 것으로 보입니다.

아이디테일은 며칠전에 등록신청을 하였고 이것이 받아들여져 목록에 올라와 있습니다.















저도 신청만 해놓고 잊고 있었는데 알려주신 김승현님께 감사드립니다.
승현님의 글읽기 : AOL의 OpenID WhiteList 정책. 그리고 idtail의 발빠른 행보

Posted by 공장장

User-Centric Identity 를 적용한 Mash up 서비스

18일 오전에 진행된 이 세션은 User Centric ID를 이용한 매쉬업 서비스에 대한 내용으로 AOL의 시스템설계자인 John Panzer 와 소프트웨어 엔지니어인 Praveen Alavilli이 진행하였습니다. (개발자들이 진행한 세션이라 진행은 너무 건조했지만, 우리가 하고 있는 IDtail 서비스와 관련지어 생각할 수 있어서 나름 재미있었습니다.)




User Centric ID란 온라인 상에 각 서비스 별로 흩어져 있는 아이디를 통합하여 사용자가 선택하여 이용할 수 있도록 하는 서비스를 포괄적으로 일컫는 용어로 해석될수 있을 것 같습니다.
현재 User Centric ID에 대한 오픈 프로토콜을 제공하는 단체로는 우리가 잘 알고 있는 OpenID, CardSpace, Liberty 등이 있고, 독립 provider로서는 야후의 BBAuth, 구글 Account API, AOL OpenAuth가 소개되었습니다.

세션은 오픈 아이디 프로토콜에 대해 간략하게 설명하고 현재의 이슈, 그리고 다음 step의 과제에 대해서 설명한 후, AOL의 OpenAuth의 매쉬업 적용 사례를 보여주는 순으로 진행되었습니다.
(개인적으로 매쉬업 서비스에 대해서 더 관심이 많았지만 OpenAuth에 대한 설명이 반이상을 차지하고 이를 적용한 매쉬업서비스에 대한 설명은 맛배기처럼 보여주어서 약간 아쉬움이 있었습니다.)

오픈 프로토콜의 이슈로는 역시나 User Experience 문제, Permission관리에 대한 문제, 보안이슈, 프라이버시 이슈 등이 언급되었고,
Next Step의 과제로는
* User Esperience 상의 일관성 유지
* Permission 허용 - 사용자에게 물어보는 방식
* Identity와 연관된 데이터를 사용자가 통제할 수 있도록 하는 부분.(public 및 private Identity 등 멀티 아이덴티* 티 지원, Identity Provider를 바꿀수 있도록 하는 문제)
* 모든 서비스를 지원할 수 있는 프포토콜의 채택 등이 언급되었습니다. http://dev.aol.com/openauth  

이어서 AOL의 OpenAuth에 대해 설명이 이어졌습니다.

AOL의 오픈 인증 API의 특징
* 가볍운 형태로 제공되고 AIM(AOL Instant Messenger)/ICQ/AOL 사용자에 대한 인증을 제공한다.
* 브라우저 리다이렉트, AJAX, 또는 다른 다이렉트 모델을 이용한 통합이 용이하다.
* 접속 허용(Permission)에 대한 관리 기능 제공
* Secure token의 교환을 통해 서비스에 대한 평가를 할 수 있다. - AOL 오픈 서비스 역시 OpenAuth를 기반으로 하고 있다.
* 그외 제공되는 기능은
- 오픈아이디 provider 역할.
- 오픈아이디 Token Exchange Extension 인증
- 오픈아이디 Consumer(Rely Party) : 3rd party 서비스를 오픈아이디로 로그인 할 수 있음.
* CardSpace를 위한 STS 제공 예정이라고 합니다.

AOL 인증 페이지를 보면

화면과 같이 AOL과 ICQ 그리고 오픈아이디로 모두 인증이 가능합니다. (닉네임과 비밀번호 입력)
비밀번호 요청을 하는 사이트에 대해 보장 할 수 없다는 안내 메시지가 있음.

접근 허용 페이지
이번만 허용/항상 허용/허용하지 않음으로 나누어져 있있습니다. (다른 오픈아이디 사이트들과 별반 차이는 없는것 같습니다.)


퍼미션 관리 페이지를 보면
접근한 사이트 리스트. 오픈아이디로 로그인했는지에 대해 표시도 해줍니다. (이 부분은 우리 IDtail 서비스가 더 정교한 듯한 느낌이... ^^)


OpenAuth를 적용한 매쉬업 서비스로 소개된 사이트는 AOL의 오픈아이디 Relying Party의 하나로 현재 베타 서비스 중인  Ficlets 사이트였습니다.
Ficlets는 하고 싶은 이야기들을 다른 사용자들과 릴레이 형식으로 작성할 수 있는 흥미로운 사이트입니다. (일종의 릴레이 소설이라 할 수 있겠습니다.)


글작성에 영감을 얻기위한 방법의 하나로 플리커의 사진들을 랜덤 또는 검색하여 볼 수 있는 기능과
검색한 이미지를 작성하는 이야기의 관련 이미지로 사용할 수 있는 재미있는 기능을 제공하고 있습니다.


AOL OpenAuth API 사이트를 방문하면 penAuth에 대한 샘플 코드와 도큐먼트를 볼 수 있는 페이지가 제공되고 있으며 OpenAuth 블로그와 포럼을 통해 더 많은 정보를 교환할 수 있습니다.


- 심술복어의 Web 2.0 Expo 세션 정리-

Posted by 공장장

슬라이드는 여기에서 구하실 수 있습니다.

웹 2.0 엑스포 컨퍼런스 3일째인 오늘 들은 강의 중의 하나는 JanRain의 Brian과 VeriSign의 David이 진행한 “OpenID implementation”였습니다. 페블로써는 OpenID provider (IDtail) 로써 매우 관심있게 들은 강의입니다.

강의는 특별한 내용이라기 보다는 기본 개념 설명 + 실제 개발자가 구현할 때 필요한 사항들 위주로 진행이 되었습니다. 따라서 오히려 강의보다는 강의가 끝나고 이 두분과 가진 즉석 인터뷰가 의미가 더 있을 것 같습니다. 별도로 포스팅하도록 하겠습니다.

현재 OpenID는 AOL에 힘입어 (AOL 회원들은 원하던 원하지 않던간에 자신의 OpenID가 생성되 있습니다) 전세계적으로 9,000만개 정도 존재하는 것으로 추산된다고 합니다. 그리고 relying party (기존에 consumer로 불리던 것을 이제는 RP (relying party)로만 부른다고 합니다) 는 약 2,500개 정도 있다고 하네요.

전통적으로 OpenID의 활용도가 높은 분야는 블로그, 그리고 open source project 였습니다. 좀 더 나아가 개인화 홈페이지를 제공하는 NetVives, PageFlakes (PageFlakes는 CEO인 Dan을 이번에 카네기멜론의 Eric으로부터 소개를 받아 만날뻔 했다가 저희 일정상 아쉽게도 만나지 못한 회사입니다), 블로깅툴의 대명사 Six Apart, 다양한 웹기반의 협업툴을 제공하는 37 Signals 등의 Web 2.0 기업들만 도입하는 것으로 생각되어 왔습니다. 하지만 최근에는 AOL, Microsoft, Firefox, VeriSign, Reabok, Symantec, Novell 등에서 모두 OpenID의 도입을 하고 있는 실정입니다.

왜 OpenID relying party가 되어야 하는 가에 대해서는 잠재적 사용자들에게 회원 가입의 부담을 줄여주는 것이 매우 중요한 사항임을 강조했습니다. 예를 들어 TechCrunch에서 수많은 startup들을 소개하고 있는데 이때 TechCrunch의 독자들은 이들 서비스를 이용해 보기 원하나 각각의 사이트에 가입을 부담스러워 한다는 것입니다. 만약 VC가 회원가입이 부담스러워 서비스를 이용해보지 않는 것과 OpenID를 지원하여 손쉽게 서비스를 이용하게 하는 것은 하늘과 땅 차이 아니냐는 것이죠. 두번째로는 Site-specific hack이 가능하다는 것입니다. 예를 들어 AOL OpenID 사용자의 경우에는 AIM을 이용한 뭔가를 자연스럽게 할 수 있게 된다는 것입니다.

발표 중간에 JanRain의 Brian이 MyOpenID를 보여주는데… 헉! 디자인이 완전히 바뀌었습니다. (나중에 인터뷰하러 Brian과 걸어가면서 물어봤더니 지난 월요일 (2007년 4월 16일)에 변경이 되었다고 하네요. 이전의 디자인은 그냥 개발자가 했던 허접한 것이었고 이번에는 정식으로 웹디자이너를 채용해서 한 거라고 합니다. ^^)

Delegation의 중요성은 Single Point of Failure를 방지할 수 있다는 데에 있습니다. 즉, 나의 대표 URL에 나의 여러개의 OpenID를 연동해 놓으면 provider 1이 죽더라도 provider 2를 통해 인증을 받게되어 서비스를 중단 없이 사용할 수 있게 됩니다. 이런 것이 분산된 서비스의 장점인 것 같습니다.

OpenID의 단점에 대해서는 phishing과 같은 보안에 취약하다는 점이 자주 지적되고 있다고 하면서 이번에 MyOpenID에 추가된 client side certificate, Microsoft Cardspace, Vidoop의 인증, OTP와 같은 token 등 전통적인 방식의 인증 등을 응용하는 방법을 소개하였습니다.

VeriSign의 David은 자신들의 OpenID 서비스를 소개하였습니다. 이는 PIP (Personal Identity Provider) 로서 브라우저를 이용해서 OpenID provider의 역할을 수행하는 방식이었습니다.

다음으로는 Brian과 David과의 단독 인터뷰 내용을 올리도록 하겠습니다.
지금까지 페블이었습니다.

Posted by 공장장