OpenID Connect - Prof. Dr. Norbert Pohlmann

Was ist OpenID Connect?

Bei OpenID Connect handelt es sich um die dritte und aktuelle Generation des OpenID-Protokolls. Ziel der Weiterentwicklung war es, ein einfach zu verwendendes und interoperables Werkzeug für die aktuellen Anforderungen an die Authentifikation im Internet zu schaffen. OpenID Connect basiert im Wesentlichen auf dem verbreiteten OAuth 2.0-Protokoll und erweitert dieses um fehlende Identity Services, speziell um Protokollabläufe für die Authentifikation.

Authorization Request

Aufbauend auf dem OAuth 2.0-Protokoll wird bei OpenID Connect über das Attribut „scope=openid“ im „Authorization Request“ die Authentifikation gestartet. Nachfolgend ist der entsprechende HTTP-Request exemplarisch für die Anmeldung bei der Telekom dargestellt.

HTTP/1.1
GET https://accounts.login.idm.telekom.com/oauth2/auth?client_id=10LIVESAM30000004901VESPAPICOTELEKOM0000
&scope=openid
&redirect_uri=https://www.telekom.de/tech/sam/ess/callback
&state=f3a34ae4-80eb-44d9-84f1-a942aafb67f8
&response_type=code

Die weiteren Protokollabläufe von OAuth 2.0 erfolgen wie bei Facebook Connect.
Der abschließend erhaltene Access Token enthält jedoch bei der Verwendung von OpenID Connect ein weiteres Attribut.

{
“access_token”: “<ACCESS-TOKEN>“,
“token_type”: “<TYPE>“,
“expires_in”: <SECONDS-TIL-EXPIRATION>
“id_token”: “<JSON-WEB-TOKEN>“
}

Hierbei handelt es sich um einen JSON Web Token (JWT), der wichtige Informationen zu der durchgeführten Authentifikation des Nutzers enthält.

{
“sub”: “<USER-ID>“,
“iss”: “<ISSUING-AUTHORITY>“,
“aud”: “<AUDIENCE-RESTRICTION>“,
“nonce”: “<ANTI-REPLAY-VALUE>“,
“auth_time”: <AUTHENTICATION-TIME>,
“acr”: <AUTHENTICATION-CONTEXT>,
“iat”: <ISSUING-TIME>,
“exp”: <EXPIRATION-TIME>
}

Basierend auf den enthaltenen Informationen kann eine Client App den zuvor authentifizierten Nutzer identifizieren, einen neuen Account für ihn erstellen oder ihn mit einem bereits bestehenden Account einloggen.

Weitere Informationen zum Begriff “OpenID Connect”:

„Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung“

„Logdaten und Datenschutz? Kein Widerspruch!“

„Bring Your Own Device For Authentication (BYOD4A) – The Xign–System“

„Smart Authentication, Identification and Digital Signatures as Foundation for the Next Generation of Eco Systems“

„Risikobasierte und adaptive Authentifizierung“

„An Usable Application for Authentication, Communication and Access Management in the Internet Of Things“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„IT Security Talks im Rahmen der it-sa 365 – Vertrauenswürdigkeit schafft Vertrauen“

„Smart Energy – Reale Gefährdung?“

„Identity and Access Management standardisiert umsetzen“

„Smart Authentifikation, Identifikation und digitale Signaturen als Grundlage zukünftiger Ökosysteme“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

OpenID Connect

Description

OpenID Connect ist die aktuelle Generation des OpenID-Protokolls, basiert auf OAuth 2.0 und erweitert dieses um Protokollabläufe für die Authentifikation. Ziel der Weiterentwicklung war es, die aktuellen Anforderungen der Authentifikation im Internet zu gewährleisten.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo