OpenIDの特徴は、IDそのものがIDをAuthenticateするServiceEndPointURLになっているか、それをあらわすXRDS文書のロケーションをあらわしている点にある。
つまりIDを見れば、どこの誰が認証を請け負ってくれるかがわかる。さらに、そのID(URL)を自身のブログサイトなどに張っておくと、AuthenticationのDelegationができたりする。

とまぁ、それはOpenID 1.0で対応できていたことで、2.0ではむしろXRI(eXtensible Resource Identifier)を採用したことにより、URL/IRIを一段抽象化した世界での識別子である、xri://=hogeとか、@company/dept/meという識別子に対する名前解決でXRDS文書を取得し、そのIDを認証する主体の場所を知ることができる点がウリ。yahooはこれに未対応。

ちなみに、OpenIDのFormにOpenIDを入れても良いが、OP Identifierも入れることができる。この場合は跳んでいった認証請負サイトでIDもパスワードも入力することになる。これはyahooでも対応してる。

OpenID 2.0の問題点は、
１．Associationを作ったとしてもMIM攻撃に弱い点
２．Associationを作ったRP-OPが確かな相手かどうかを確認できない点（Reputation問題）
３．SREG/AX等のPiggy Back方式で情報をOPから引っ張ってこれるが、SSLが使えないと全くセキュアじゃない点
４．インフラとして取得できる情報の型をそろえようとすると大変
５．そもそもAuthentication規格以外の規格に適当なものがある点
６．などなど

とはいえ、SAMLみたいな、密結合なSSOよりは世界に浸透していきそうな気はする。
超セキュアだけど広がりに欠けるSAML/WS-Securityに対して、セキュリティが甘いが疎結合の利点があるOpenIDの弱点が埋められて、結局疎結合の利点を持っているOpenIDのほうが世界には受け入れられるんでなかろうか。