アプリケーション プロバイダ用 Windows Live ID Delegated Authentication SDK

Windows Live™ は、多様な Web サービスやサイトを提供しますが、すべてのユーザーが必要とする Web サービスをすべて提供することはできないと考えています。ご自身のサイトのようなサイトを私たちは "アプリケーション プロバイダ" と呼んでいますが、その多くのサイトでは、さらに多様な Web サービスやサイトを作成することによって Windows Live の拡張に役立てたいと考えています。また、これらのアプリケーション プロバイダは、Windows Live ID 認証を利用して、ユーザーとサイトの間に信頼関係が存在していることを Windows Live 対応のサービスに証明したいとも考えています。

Windows Live ID Delegated Authentication バージョン 1.0 を使用すると、Windows Live ID ユーザーの代わりに動作して、Windows Live ID 認証を使用する Web サービスやサイトにアクセスするアプリケーションを開発できます。Windows Live ID には数百万人の登録ユーザーが存在し、それらのユーザーに、他の Windows Live 対応のサービスやサイトのコンテンツに対して個人用に設定されたアクセスを提供するアプリケーションを作成できます。

このソフトウェア開発キット (SDK) には、ASP.NET、Java、Perl、PHP、Python、および Ruby のプログラミング言語で委任認証を実装するサンプル アプリケーションが付属しています。この SDK のサンプル アプリケーションは、Microsoft.com の Delegated Authentication download page で入手できます。

委任認証は、ユーザーを Windows Live ID 承認ページに送信することで動作します。承認ページでは、Windows Live 対応のサービス (委任認証においては "リソース プロバイダ" と呼ばれる) のデータまたはコンテンツにアクセスする許可をサイトに対して付与したり拒否したりできます。リソース プロバイダは Windows Live ID 対応のサービスに "オファー" および "アクション" を登録し、これらのオファーおよびアクションに対してユーザーは承認を付与します。Windows Live ID ユーザーがサイトに対して任意のオファーおよびアクションへの承認を付与したら、サイトはそのユーザーの代わりにリソース プロバイダと対話することができます。

サインインおよび承認管理の機能は Windows Live ID 対応のサービスで実行されるので、実装の詳細について心配する必要はありません。委任認証のもう一つの利点は、Windows Live ID のプロファイル データを自分の Web サイトと共有するのではないということです。その結果、アプリケーションの機能により重点を置くことができ、ユーザー データの管理にはあまり気を配らなくて済みます。

実装の概要

委任認証は自分のサイトで簡単に開始することができます。次の手順は、委任認証の実装に必要な一般的なタスクの概要です。

1. アプリケーションを登録します。 登録は、委任認証を実装するための重要なステップです。アプリケーションを登録することにより、サイトは一般的な Windows Live 対応のサービスと対話でき、ユーザーからの承認を受信して、ユーザーの代わりに情報にアクセスできるようになります。登録の詳細については、「委任認証用アプリケーション ID の取得」を参照してください。
2. 自分のプラットフォーム用のサンプル アプリケーションをインストール、実行します。 詳細については、「委任認証のサンプル」を参照してください。
3. リソース プロバイダの機能を実装します。 リソース プロバイダが提供するオファーおよびアクションは、リソース プロバイダによって異なるため、まず、使用したいリソース プロバイダからそのオファーおよびアクションの情報を入手しなければなりません。利用可能なリソース プロバイダの詳細については、Windows Live Dev Web サイトの Resource Provider Directory を参照してください。
4. Windows Live ID ユーザーからの承認を要求し、 Windows Live ID から承認トークンを受信します。詳細については、「承認の要求」を参照してください。
5. リソース プロバイダで使用するために承認トークンを保存します。 詳細については、「承認トークンの使用」を参照してください。
6. 承認トークンを解析し、委任トークンを取得します。 詳細については、「委任トークンの使用」を参照してください。
7. 委任トークンを使用して、許可されたオファーおよびアクションにアクセスします。 これを実行するには、リソース プロバイダからオファーおよびアクションを呼び出し、ユーザーの承認の証明として委任トークンを渡します。詳細については、「オファーおよびアクションの使用」を参照してください。
8. コンテンツまたは個人用に設定されたデータを表示または保存します。 これらは、自分のサイトのセキュリティ ポリシーに従って、ユーザーの代わりにリソース プロバイダから取得したものです。

ユーザー データについて一言

委任認証の中心となっているのは、ユーザーが自分自身のデータを所有するという考え方です。ユーザーのデータに対してアクセス許可を持つのはどのサイトか、さらに、それらのサイトがユーザーに代わってユーザーのデータに何ができるのかを決定できるのはユーザーです。この原則により、アプリケーション プロバイダにある程度の責任が生じます。サイトでは次のことを実施します。

• 自分のサイトのプライバシー ポリシーに従って、ユーザーのデータを処理します。リソース プロバイダによりデータがサイトに公開された後も、データはユーザーに属しています。
• 委任制御情報 (トークン、識別子、および Windows Live ID 対応のサービスから受信する他のシステム データ) は、その送信先であるサイトでのみ使用します。この情報は単一のアプリケーションに送信され、共有されることはありません。
• 特定のユーザーの委任制御情報を使用して、そのユーザーのデータに対してのみアクセス許可を取得します。この情報は、そのユーザーおよびそのユーザーのデータを保存するリソース プロバイダに固有のものです。

準備はできましたか。「委任認証入門」に進んでください。