Bevor Sie bei der Sicherung Ihrer Daten und Identitäten zwischen Multi-Faktor-Authentifizierung, Single-Sign-On und lokalen Firewalls wählen, stellt sich die Frage nach dem Standard. Sowohl OAuth 2.0 als auch OpenID Connect (OIDC) scheinen gleichermaßen geeignet. Die Entscheidung wird jedoch sehr vereinfacht, wenn man weiß, worin sich die Standards unterscheiden und ob sie in einigen Situationen sogar koexistieren oder sich ergänzen können.
Bei OAuth 2.0 handelt es sich um ein Autorisierungs-Framework zur Steuerung des geschützten Zugriffs auf Anwendungen oder Dateien. So wird die Benutzerauthentifizierung an den Dienstanbieter bzw. Hoster des Nutzungskontos delegiert. Er ist es auch, der Anwendungen von Drittanbietern für den Zugriff auf das Nutzerkonto autorisiert. OAuth 2.0 stellt Autorisierungsabläufe für Web- und Desktop-Anwendungen sowie für mobile Geräte bereit. Eine Autorisierungsschicht trennt die Rollen der Anwendungen von den Endnutzern. Um der Anwendung Zugriff auf bestimmte Ressourcen zu gewähren, benötigt sie einen Zugriffs-Token, da sie sich nicht einfach mit den Anmeldedaten des Nutzers einloggen kann. Diesen Token stellt der Autorisierungsserver nur mit der Zustimmung des Nutzers aus. OAuth 2.0 kommt zur Unterstützung verschiedener Anwendungstypen, die auf REST-APIs zugreifen, zum Einsatz. Hierzu zählen beispielsweise Anwendungen, die auf unternehmenseigenen Webservern laufen und mit der Cloud verbunden sind oder auf den mobilen Endgeräten der Endnutzer laufen.
Bei OpenID Connect handelt es sich um ein offenes Authentifizierungsprotokoll, über welches Anwendungen die Identität eines Nutzers durch einen OpenID-Provider bestätigen können.
OpenID Connect basiert auf dem Protokoll OAuth 2.0 und verwendet ein ID-Token zur Standardisierung optionaler Elemente wie etwa der Endgeräte-Erkennung.
OpenID Connect erweitert OAuth 2.0 um eine zusätzliche Identitätsebene. Das Einbinden von OpenID Connect und OAuth 2.0 schafft ein Framework, das die Sicherung von APIs, mobilen nativen Anwendungen sowie Browser-Anwendungen in einer kohärenten Architektur ermöglicht.
Bei OpenID Connect handelt es sich um ein Authentifizierungsprotokoll, bei OAuth um ein Autorisierungsframework. Obwohl beides offene Standards sind, die sich ergänzen, ermöglicht OpenID Connect die Nutzerauthentifizierung durch Relying Parties – also durch OAuth-2.0-Client-Anwendungen, die die Authentifizierung eines Nutzers durch Anfrage eines OpenID-Providers verlangen. OAuth erlaubt das Ausstellen von Zugriffs-Token für Drittanbieter-Anwendungen über einen Autorisierungsserver. Anwendungen verwenden OAuth 2.0, um im Namen des Nutzers Zugriff für eine API anzufordern, wobei keinerlei nutzerbezogene Informationen an die Anwendung zurückgespielt werden. OpenID Connect hingegen gewährt der Anwendung Zugang zu zusätzlichen Informationen über einen Nutzer, wie etwa den Namen, die E-Mail-Adresse und andere Profildaten. Die Entkopplung der Anforderung nach Identitätsdaten von der Durchführung der Authentifizierung ist eine wesentliche Stärke von OpenID Connect. Denn dadurch kann der OpenID-Provider starke und wechselnde Authentifizierungsmethoden einsetzen, ohne dass die betroffenen Anwendungen darauf Rücksicht nehmen müssten.
Während bei OAuth 2.0 die Nutzerdaten aus externen Systemen extrahiert werden oder Aktionen im Namen des Benutzers durchgeführt werden, verwendet man OpenID Connect, um den Nutzer anzumelden und somit dessen Konto samt Profildaten im externen System für die Anwendung zugänglich zu machen – selbstverständlich auf Basis des Umfangs und der Zustimmung des Nutzers.
Nutzer sollten genau darauf achten, welchen Webanwendungen welcher Zugang zu Daten gewährt wird, und nicht vergessen, den Umfang und die Zustimmung, die die Anwendung verlangt, vorab zu überprüfen. Schließlich benötigen nicht alle Anwendungen vollen Zugang zum Benutzerprofil.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
