「ID管理と OpenID について - まちゅダイアリー(2008-01-11)」のスライドを見ていて、あれ、と思った。23ページの：

• 利用しているIdPがサービス終了
  • 他のIdPにdelegateすればIDを変えなくてよい

に引っかかったのだ。何が引っかかったかといえば、岡田耕一さんの記事と同じようなこと。

Consumerのアカウント情報にVerified Identifierのみが紐づけられていた場合、IdPがサービスを終了してしまうと、他のIdPにdelegateしてもConsumerのアカウントは使えないのではないか。

既存のConsumerはどうかと思い、たまたまアカウントを持っていた（けど全然使っていない）アバウトミーについて調べてみた。delegate先をlivedoor AuthからmyOpenIDに変えたところ、やはりログインできなくなった。つまり、アバウトミーのアカウント情報にはVerified Identifierしか（たぶん）紐づけられていない。

というわけで、Consumerのアカウント情報には、Verified Identifierは当然として*1、Claimed Identifierも紐づけておくのが無難じゃないかと思った。Claimed Identifierの引き回し方法は、リプレイ攻撃を防ぐためのnonceと同じ感じで。