O protokolu OpenID Connect jsme na blogu již psali. Jedná se o nejnovější protokol pro jednotnou autentizaci z dílny organizace OpenID Foundation a tento protokol je možné použít pro implementaci přihlášení přes naší službu mojeID v libovolných internetových službách. Jednou z novinek spojenou se vznikem nového protokolu je i program certifikace implementací tohoto protokolu. Cílem certifikace je ještě více podpořit interoperabilitu služeb na Internetu, které se rozhodnou tento protokol používat. Jako první nastartovala organizace OpenID Foundation program certifikace autentizačních serverů. Do tohoto programu jsme se zapojili i my se službou mojeID a jsem rád, že můžu oznámit, že mojeID certifikaci získalo.
Pro vlastní proces certifikace vytvořili autoři tohoto programu automatizovaný systém, který se chová jako internetová služba využívající pro přihlašování certifikovaný autentizační server. Certifikační systém je tedy třeba nejprve nakonfigurovat, aby použil službu mojeID a pak je již možné pustit sadu kontrol, které simulují různé varianty přihlašování a to jak validní tak nevalidní. Kromě základního profilu nabízí proces certifikace ještě možnost certifikovat čtyři další rozšířené profily, pro každý z těchto profilů systém provádí kolem stovky testovacích kontrol. Vše je nutné provést manuálně, přičemž systém ukládá logy veškeré komunikace s autentizačním serverem. V průběhu manuálního spuštění kontrol je několik míst, které bohužel není možné otestovat automaticky a zde je nutné udělat lokální screenshoty obrazovky, které ukazují jak kontrola proběhla. Výsledek kontroly je ihned vidět v podobě zeleného, žlutého nebo červeného kolečka na přehledové obrazovce. Aby bylo možné vůbec o certifikaci požádat, nesmí žádná z kontrol skončit s chybou, tedy červeně.
Po úspěšném manuálním testu, který může udělat v zásadě kdokoliv, je nutné formálně požádat a kontrolu operátory certifikačního programu. Součástí formální žádosti jsou i screenshoty posbírané z manuálního testování. Operátoři poté projdou všechny logy ze systému, zkontrolují zaslané screenshoty a na základě výsledku se rozhodnou o udělení certifikace. Také vzhledem k této činnosti není certifikace bezplatná. Výsledky všech kontrol včetně logů jsou po úspěšné certifikaci zveřejněny na webu, což umožňuje, aby kdokoliv mohl ověřit, že certifikace nebyla udělena neoprávněně. Z výsledků mojeID je také vidět, že jeden z rozšířených profilů, které certifikace nabízí, zatím není implementován. Jeho splnění je podmíněno některými změnami v knihovně, kterou pro OpenID Connect používáme a zatím jsme se neshodli s autorem knihovny na ideálním řešení problému, který certifikace odhalila. Jak je také vidět z certifikačního webu, v seznamu certifikovaných jsou kromě softwarových balíků i velké firmy, které již nový protokol podporují jako Google, Microsoft, PayPal nebo Deutche Telekom. Tento seznam se navíc každý měsíc o něco zvětšuje, což dokazuje, že o nový protokol je zájem.
U certifikace autentizačních serverů ale práce OpenID Foundation nekončí. Rádi by již v brzké době spustili certifikaci druhé strany spektra, tedy internetových služeb, které OpenID Connect používají pro připojení k nějakému autentizačnímu serveru. Na toto bychom samozřejmě rádi v budoucnu navázali. Dovedu si představit například to, že služby, které používají mojeID a projdou takovou certifikací budou ještě více uživatelům prezentovány jako důvěryhodné. Práci OpenID Foundation na jejich certifikačním programu budeme tedy i nadále bedlivě sledovat.