Openid: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 33: | Zeile 33: | ||
*Sicherer da Cookies gesetzt , ein individuelles Bild zeigen, den HTTP-Referer mit der IP des Requesters vergleichen oder ein | *Sicherer da Cookies gesetzt , ein individuelles Bild zeigen, den HTTP-Referer mit der IP des Requesters vergleichen oder ein | ||
*Sicherer da ein clientseitiges TLS-Zertifikat zur Authentifizierung genutzt werden kann. | *Sicherer da ein clientseitiges TLS-Zertifikat zur Authentifizierung genutzt werden kann. | ||
| − | + | *Nutzer wird zum OpenID Anbieter weitergeleitet und muss angeforderte Rechte der app akzeptieren. Abfrage kann einmalig oder mehrmals auftreten. | |
| + | *Daten werden nur bei openID Provider gespeichert und gepflegt | ||
| + | *oID Provider kann oID-Attribute-Exchange-Protokoll zum erweiterten Datenaustausch implementieren. Nutzer behält volle Datenkontrolle | ||
Für das OpenID-Anmeldeverfahren wird der Benutzer auf die Anmeldeseite des OpenID-Anbieters geleitet, auf der die Anmeldung erfolgt. Aus Sicherheitsgründen erscheint eine weitere, auf die anfragende hinweisende Seite, die bestätigt werden muss. Wenn die für die Anmeldung erforderliche Seite vom Benutzer als vertrauenswürdig gekennzeichnet wurde, kann die Bestätigungsseite bei einigen OpenID-Anbietern deaktiviert werden, sodass sie bei weiteren OpenID-Anmeldungen nicht mehr angezeigt wird. Nach der Anmeldebestätigung beim OpenID-Anbieter wird der Benutzer im angemeldeten Zustand auf die eigentliche Webseite zurückgeleitet. Der Anmeldedatenaustausch kann dergestalt stattfinden, dass die Webseite bis zu neun Informationen des verbundenen OpenID-Kontos bei jeder Anmeldung erhält und somit immer auf dem neuesten Stand ist. Der Benutzer muss diese Grundinformationen somit nur noch beim OpenID-Anbieter pflegen. Der Benutzer kann auch dauerhaft seine Zustimmung zur Datenübertragung an die Webseite geben und muss diese dann nicht mehr bei jeder Anmeldung angeben. | Für das OpenID-Anmeldeverfahren wird der Benutzer auf die Anmeldeseite des OpenID-Anbieters geleitet, auf der die Anmeldung erfolgt. Aus Sicherheitsgründen erscheint eine weitere, auf die anfragende hinweisende Seite, die bestätigt werden muss. Wenn die für die Anmeldung erforderliche Seite vom Benutzer als vertrauenswürdig gekennzeichnet wurde, kann die Bestätigungsseite bei einigen OpenID-Anbietern deaktiviert werden, sodass sie bei weiteren OpenID-Anmeldungen nicht mehr angezeigt wird. Nach der Anmeldebestätigung beim OpenID-Anbieter wird der Benutzer im angemeldeten Zustand auf die eigentliche Webseite zurückgeleitet. Der Anmeldedatenaustausch kann dergestalt stattfinden, dass die Webseite bis zu neun Informationen des verbundenen OpenID-Kontos bei jeder Anmeldung erhält und somit immer auf dem neuesten Stand ist. Der Benutzer muss diese Grundinformationen somit nur noch beim OpenID-Anbieter pflegen. Der Benutzer kann auch dauerhaft seine Zustimmung zur Datenübertragung an die Webseite geben und muss diese dann nicht mehr bei jeder Anmeldung angeben. | ||
Teilweise haben OpenID-Anbieter und OpenID-fähige Webseitenbetreiber zusätzlich zur Simple Registration auch das neuere OpenID-Attribute-Exchange-Protokoll zum erweiterten Datenaustausch implementiert. Dann werden die Daten übertragen, die von jeweils beiden unterstützt werden. Auch hier gilt, dass der Benutzer die volle Kontrolle über seine Daten und deren Weitergabe hat. | Teilweise haben OpenID-Anbieter und OpenID-fähige Webseitenbetreiber zusätzlich zur Simple Registration auch das neuere OpenID-Attribute-Exchange-Protokoll zum erweiterten Datenaustausch implementiert. Dann werden die Daten übertragen, die von jeweils beiden unterstützt werden. Auch hier gilt, dass der Benutzer die volle Kontrolle über seine Daten und deren Weitergabe hat. | ||
Aktuelle Version vom 10. Juni 2021, 12:26 Uhr
Was ist OpenID
- englisch für offene Identifikation
- dezentrales Authentifizierungssystem für webbasierte Dienste
- Nutzer meldet sich beim OpenID-Provider einmal an.
- Bekommt eine URL, Identifier genannt
- Anmeldung bei unterstützenden Websites(Relying Parties)
- Single-Sign-on-Prinzip
- Dezentral angelegt
- Konzept der URL-basierten Identität um.
Grundprinzip
- OpenID-Identität wird benötigt.
- Bereitstellung durch den OpenID-Anbieter
- Es gibt verschiedene OpenID-Anbieter.
- Implementierungen in vielen Programmiersprachen
- Open-Source-Lizenzen
- Kann auf einem eigenen Server installiert werden.
- Viele Webseiten bieten zusätzlich OpenID-Identitäten an.
OpenID
- OpenID hat die Form einer URL.
- Benutzername eine Subdomain des OpenID-Anbieters: benutzername.example.com
- Anbieter verwenden auch den Benutzernamen als Pfad in der URL: example.com/benutzername.
- klassische Anmeldung wird alternativ angeboten.
- Wird auf die klassische Anmeldung verzichtet entfällt Sicherheitsaufwand
Details zur Nutzung
- Überlicherweise wird bei der Anmeldung schon OpenID mit angeboten.
- Webseitenbetreiber mit der OpenID Simple Registration neun grundlegende Informationen vom
- Wenn man OpenID nutzt, muss man keine eigenen Authentifizierungsmechanismus einrichten.
- Oft kann man klassische Elemente wie Benutzernamen häufig nicht verwendet.
- Man kann auch eine herkömmliches Konto später mit einer OpenID Konto verbunden.
Sicherheitsaspekte
- Sicherer da nur die Loginseite des Open-ID Anbieters geprüft werden muss
- Sicherer da Cookies gesetzt , ein individuelles Bild zeigen, den HTTP-Referer mit der IP des Requesters vergleichen oder ein
- Sicherer da ein clientseitiges TLS-Zertifikat zur Authentifizierung genutzt werden kann.
- Nutzer wird zum OpenID Anbieter weitergeleitet und muss angeforderte Rechte der app akzeptieren. Abfrage kann einmalig oder mehrmals auftreten.
- Daten werden nur bei openID Provider gespeichert und gepflegt
- oID Provider kann oID-Attribute-Exchange-Protokoll zum erweiterten Datenaustausch implementieren. Nutzer behält volle Datenkontrolle
Für das OpenID-Anmeldeverfahren wird der Benutzer auf die Anmeldeseite des OpenID-Anbieters geleitet, auf der die Anmeldung erfolgt. Aus Sicherheitsgründen erscheint eine weitere, auf die anfragende hinweisende Seite, die bestätigt werden muss. Wenn die für die Anmeldung erforderliche Seite vom Benutzer als vertrauenswürdig gekennzeichnet wurde, kann die Bestätigungsseite bei einigen OpenID-Anbietern deaktiviert werden, sodass sie bei weiteren OpenID-Anmeldungen nicht mehr angezeigt wird. Nach der Anmeldebestätigung beim OpenID-Anbieter wird der Benutzer im angemeldeten Zustand auf die eigentliche Webseite zurückgeleitet. Der Anmeldedatenaustausch kann dergestalt stattfinden, dass die Webseite bis zu neun Informationen des verbundenen OpenID-Kontos bei jeder Anmeldung erhält und somit immer auf dem neuesten Stand ist. Der Benutzer muss diese Grundinformationen somit nur noch beim OpenID-Anbieter pflegen. Der Benutzer kann auch dauerhaft seine Zustimmung zur Datenübertragung an die Webseite geben und muss diese dann nicht mehr bei jeder Anmeldung angeben.
Teilweise haben OpenID-Anbieter und OpenID-fähige Webseitenbetreiber zusätzlich zur Simple Registration auch das neuere OpenID-Attribute-Exchange-Protokoll zum erweiterten Datenaustausch implementiert. Dann werden die Daten übertragen, die von jeweils beiden unterstützt werden. Auch hier gilt, dass der Benutzer die volle Kontrolle über seine Daten und deren Weitergabe hat.