Basiswissen über Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Was ist B2B-Identitäts- und Zugriffsmanagement (B2B-IAM)?
Agententische KI
Wichtige IAM-Überlegungen zur Unterstützung von agentischer KI
KI-Agentenklassen und Anwendungsfälle
IAM-Best Practices für KI-Agenten
Referenzimplementierungen und Muster
Zentralisiertes Identitätsmanagement
Was ist zentralisiertes Identitätsmanagement?
Wie funktioniert das zentralisierte Identitätsmanagement?
Zentralisierte Identitätsstandards
Expand All | Collapse All

OpenID Connect (OIDC)


OpenID Connect (OIDC) ist ein offenes Authentifizierungsprotokoll, das auf dem OAuth 2.0-Framework aufbaut. Für Endverbraucher geschaffen, ermöglicht es Einzelpersonen, Single Sign-on (SSO) zu verwenden, um auf Websites von Relying Partys zuzugreifen, die zur Authentifizierung von Identitäten einen OpenID Provider (OP) verwenden, wie z. B. einen Email-Provider oder soziale Netzwerke. Es versorgt Anwendungen oder Dienste mit den nötigen Informationen über den Benutzer, dem Kontext seiner Authentifizierung und dem Zugriff auf seine Profildaten.


Mit OIDC soll ermöglicht werden, dass Benutzer nach der Angabe einer Reihe von Anmeldeinformationen auf mehrere Websites zugreifen können. Jedes Mal, wenn sich ein Benutzer mit OIDC bei einer Anwendung oder einem Dienst anmeldet, wird er zu seinem OP umgeleitet, wo er sich authentifiziert, um dann automatisch zu der Anwendung oder dem Dienst zurückzukehren.  


OIDC ist eines der modernsten Sicherheitsprotokolle und wurde zum Schutz von browserbasierten Anwendungen, APIs und mobilen systemeigenen Anwendungen entwickelt. Es delegiert die Benutzerauthentifizierung an den Serviceprovider, der das Benutzerkonto hostet und Anwendungen von Drittanbietern für den Zugriff darauf autorisiert. 


Ein Spotify-Konto kann man derzeit zum Beispiel über zwei Wege erstellen: Sie können sich entweder bei Spotify registrieren oder über Facebook anmelden. Facebook sendet Ihren Namen und Ihre E-Mail-Adresse an Spotify, wo Sie mit diesen Informationen authentifiziert werden.
 

Wie funktioniert OIDC?


OIDC ähnelt dem Protokoll OAuth, wo die Benutzer einer einzelnen Anwendung die Erlaubnis erteilen, auf Daten in einer anderen Anwendung zuzugreifen, ohne dass sie dort ihren Benutzernamen und ihr Passwort angeben müssen. Stattdessen werden die Authentifizierungs- und Autorisierungsprozesse mithilfe von Token abgewickelt:
 

  • Die Identitäts-Token, die vom Client gelesen werden können, belegen die Authentifizierung des Benutzers. Bei diesen Dateien handelt es sich um JSON Web-Token (JWT, gesprochen „JOT“). Sie enthalten Informationen über den Benutzer, wie z. B. seine Benutzernamen, wann er versucht hat, sich bei der Anwendung oder dem Dienst anzumelden, und wie lange er auf die Online-Ressourcen zugreifen darf.

  • Zugriffstoken ermöglichen den Zugriff auf geschützte Ressourcen und werden von der API gelesen und validiert. Diese Token können JWT sein, aber auch ein anderes Format haben. Ihr Zweck besteht darin, der API mitzuteilen, dass der Eigentümer dieses Tokens auf die API zugreifen und bestimmte Aktionen durchführen darf (wie durch den gewährten Geltungsbereich festgelegt).

  • ID-Token können nicht für den API-Zugang, und Zugriffstoken nicht für die Authentifizierung verwendet werden. Das folgende Diagramm zeigt, wie ein typischer OIDC-Authentifizierungsprozess funktioniert.

 

Die Unterschiede zwischen SAML, OAuth und OpenID Connect


Der Hauptunterschied zwischen diesen Standards besteht darin, dass OAuth ein Autorisierungs-Framework ist, das dem Schutz spezifischer Ressourcen wie Anwendungen oder Dateigruppen dient, während SAML und OIDC als Authentifizierungsstandards zur Absicherung von Anmeldeerfahrungen verwendet werden.
Weitere Unterschiede sind:
 

  • SAML ist bekanntermaßen flexibler, aber die meisten Entwickler ziehen OIDC vor, weil es weniger komplex und deswegen praktischer ist.

  • SAML wird für den Zugriff auf browserbasierte Anwendungen verwendet und unterstützt weder SSO für mobile Geräte noch den API-Zugriff. OAuth ermöglicht den API-Zugriff und OIDC den Zugriff auf APIs, mobile systemeigene Anwendungen und browserbasierte Anwendungen.

  • Bei OIDC geht es darum, WER zugreift. Bei OAuth 2.0 geht es darum, WAS erlaubt ist.

  • SAML-Token sind in XML geschrieben, während OIDC portable JWT verwendet, die eine Reihe von Signatur- und Verschlüsselungsalgorithmen unterstützen.

Verwandte Ressourcen:

Artikel
OAuth vs. OpenID Connect

  

Blog
Die sichere Verwendung des OIDC-Autorisierungscode-Flows bei öffentlichen Clients mit Einzelseitenanwendungen

  

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.