Note on delegation of Google profile openids
[ikiwiki.git] / doc / forum / google_openid_broken__63__.mdwn
1 Now that google supports using thier profiles as OpenIDs, that can be used
2 directly to sign into ikiwiki. Just use, for example, 
3 <http://www.google.com/profiles/joeyhess> . Tested and it works. --[[Joey]] 
4
5 > This seems to work fine if you use the profile directly as an OpenID.  It doesn't seem to work with delegation.  From that I can see, this is a deliberate decision by Google for security reasons.  See the response [here](http://groups.google.com/group/google-federated-login-api/browse_thread/thread/825067789537568c/23451a68c8b8b057?show_docid=23451a68c8b8b057). -- [[Will]]
6
7 ## historical discussion
8
9 when I login via to this wiki (or ours) via Google's OpenID, I get this error:
10
11 Error: OpenID failure: no_identity_server: The provided URL doesn't declare its OpenID identity server. 
12
13 Any idea how to fix this??
14
15 > Google is [doing things with openid that are not in the spec](http://googledataapis.blogspot.com/2008/10/federated-login-for-google-account.html)
16 > and it's not clear to me that they intend regular openid to work at all.
17 > What is your google openid URL so I can take a look at the data they are
18 > providing? --[[Joey]] 
19
20
21 http://openid-provider.appspot.com/larrylud
22
23 > I've debugged this some and filed
24 > <https://rt.cpan.org/Ticket/Display.html?id=48728> on the Openid perl
25 > module. It's a pretty easy fix, so I hope upstream will fix it quickly.
26 > --[[Joey]] 
27
28 >> A little more information here:  I'm using that same openid provider at the moment.  Note that
29 >> that provider isn't google - it is someone using the google API to authenticate.  I normally have it
30 >> set up as a redirect from my home page (which means I can change providers easily).
31
32     <link rel="openid.server" href="http://openid-provider.appspot.com/will.uther">
33     <link rel="openid.delegate" href="http://openid-provider.appspot.com/will.uther">
34
35 >> In that mode it works (I used it to log in to make this edit).  However, when I try the openid
36 >> URL directly, it doesn't work.  I think there is something weird with re-direction.  I hope this
37 >> isn't a more general security hole.
38 >> -- [[Will]]
39
40 ----
41
42 So, while the above bug will probably get fixed sooner or later,
43 the best approach for those of you needing a google openid now is
44 to use gmail.
45
46
47 Just a note that someone has apparently figured out how to use a google
48 openid, and not a third-party provider either, to edit this site. 
49 The openid is
50 <https://www.google.com/accounts/o8/id?id=AItOawltlTwUCL_Fr1siQn94GV65-XwQH5XSku4>
51 (what a mouthfull!), and I don't know who that is or how to use it since it
52 points to a fairly useless xml document, rather than a web page. --[[Joey]]