OpenID Connect (kurz OIDC) ist ein offenes Authentifizierungsprotokoll, das die Autorisierungs- und Authentifizierungsmechanismen von OAuth 2.0 nutzt.
Entwickelt wurde OIDC von der OpenID Foundation, zu der Unternehmen wie Google und Microsoft gehören.
Während OAuth 2.0 ein Autorisierungsprotokoll ist und lediglich die Erlaubnis erteilt, auf Ressourcen zuzugreifen, ist OIDC ein Identitätsauthentifizierungsprotokoll. Es wird dazu verwendet, um die Identität eines Benutzers gegenüber einem Client-Dienst (auch Relying Party genannt) zu überprüfen.
Endverbraucher können OIDC nutzen um sich zum Beispiel mittels Single Sign-On (SSO) über verschiedene Apps und Websites hinweg zu authentifizieren. So kann der Google Account verwendet werden, um sich bei Spotify anzumelden. Google ist hierbei der OpenID Provider (kurz OP) und Spotify die Relying Party (kurz RP) Ein möglicher Authentifizierungsprozess sieht dann wie folgt aus.
- Der Nutzer ruft eine Webseite oder Anwendung (RP) auf, auf die er zugreifen möchte.
- Die RP leitet die Anfrage über OpenID Connect an den OP.
- Dieser fordert den Benutzer zur Eingabe der Anmeldedaten auf.
- Der OP validiert die eingegebenen Anmeldedaten und sendet eine Bestätigung zurück an die RP.
- Im Anschluss erhält der Benutzer Zugriff auf die Webseite bzw. Anwendung.
Abgewickelt wird der vorgenannte Authentifizierungs- und Autorisierungsprozess mithilfe eines Zugriffstoken und ID-Token.
OpenID Connect fügt dem Authentifizierungsprozess eine zusätzliche Sicherheitsebene hinzu und verbessert das Benutzererlebnis. Im Folgenden finden Sie einige wichtige Vorteile von OIDC:
- Nutzer brauchen weder mehrere Benutzernamen noch Passwörter. Dadurch sinkt das Risiko das Passwörter wiederverwendet werden und Angreifer sich dies zunutze machen. Stichwort Credential Stuffing.
- Webseitenbetreiber die auf OIDC setzen, müssen selbst keine Nutzerdatenbanken aufbauen und benötigen weniger Supportkapazitäten für das Zurücksetzen von Passwörtern.
- OIDC gibt Passwörter nicht an Websites oder Diensteanbieter weiter, was das Risiko verringert, das Hacker diese abfangen.
- OpenID Connect verwendet die neuesten Verschlüsselungs- und Sicherungsmethoden zum Schutz der Nutzerdaten und ist skalierbar, womit es in einer Vielzahl von Anwendungsbereichen eingesetzt werden kann.
