OpenID
OpenID ist ein offener Standard, der Benutzern die Möglichkeit bietet, sich bei mehreren Entitäten zu authentifizieren, ohne mehrere Accounts oder Gruppen von Berechtigungsnachweisen verwalten zu müssen. Liberty unterstützt OpenID 2.0 und fungiert als Relying Party beim Web Single Sign-on.
- OpenID-Provider (OP)
- Ein OpenID-Authentifizierungsserver, der bestätigen kann, dass ein Benutzer eine eindeutige ID steuert.
- Relying Party (RP)
- Eine Entität, die den Beweis benötigt, dass ein Benutzer eine eindeutige ID steuert.
- OpenID-Kennung
- Eine HTTP- oder HTTPS-URL, die zu einem OpenID-Provider oder einem Benutzer gehört.
Wenn Sie oft auf verschiedene Entitäten wie Websites zugreifen, benötigen Sie für jede Entität einen eindeutigen Account. OpenID ermöglicht einer Gruppe von Berechtigungsnachweisen, die von einem OpenID-Provider verarbeitet werden, beliebig vielen Entitäten, die OpenID unterstützen, die Zugriffsberechtigung zu erteilen.
Wenn Benutzer aufgefordert werden, sich bei einer Entität, z. B. einer Website, die OpenID unterstützt und als Relying Party fungiert, anzumelden, authentifizieren sie sich, indem sie direkt mit einem OpenID-Provider interagieren, und nicht, indem sie ihre Berechtigungsnachweise der Relying Party bereitstellen. Ein OP prüft die Identität des Benutzers und sendet eine Authentifizierungsbestätigung an die Relying Party zurück. Wenn diese Bestätigung des OP empfangen wird, akzeptiert die Relying Party den Benutzer als authentifiziert.
Ein typischer OpenID-Authentifizierungsablauf lässt sich wie folgt beschreiben:
- Ein Benutzer versucht, auf eine geschützte Ressource, z. B. eine Webseite, zuzugreifen.
- Der Liberty-Server, der als Relying Party fungiert, stellt eine Anmeldeformularseite für die geschützte Ressource bereit.
- Der Benutzer gibt eine OpenID-Kennung ein.
- Die Relying Party übernimmt die Kennung und leitet den Benutzer an den entsprechenden OP um.
- Der OP fordert den Benutzer zur Eingabe von Berechtigungsnachweisen auf.
- Der Benutzer gibt Berechtigungsnachweise für den Account ein, der dem OP zugeordnet ist.
- Der OP authentifiziert den Benutzer und fordert ihn auf, anzugeben, ob Benutzerdaten an die Relying Party gesendet werden dürfen oder nicht. Anschließend wird der Benutzer wieder zur Relying Party mit dem Authentifizierungsergebnis umgeleitet.
- Wenn die OP-Authentifizierung erfolgreich ist, versucht die Relying Party, den Benutzer zu berechtigen.
- Ist die Benutzerberechtigung erfolgreich, erstellt die Relying Party eine authentifizierte Sitzung mit dem Benutzer.

Mit OpenID kann das Risiko des Missbrauchs von Benutzerberechtigungsnachweisen oder sensiblen Informationen minimiert werden. Wenn Sie OpenID verwenden, werden die Berechtigungsnachweise eines Benutzers nur mit dem OpenID-Provider ausgetauscht, d. h., dass keine andere Website als der OP auf die Berechtigungsnachweise zugreift. Dieser Standard mindert das Risiko, dass eine Benutzeridentität durch eine nicht vertrauenswürdige oder unsichere Website kompromittiert wird. Der Benutzer steuert auch, wie viele persönliche Daten an die besuchten Websites weitergegeben werden. Beispielsweise kann ein Benutzer festlegen, dass sein Name und seine E-Mail-Adresse, der bzw. die seinem OpenID-Account zugeordnet ist, an eine bestimmte Website weitergegeben werden, während eine andere Website nicht auf die E-Mail-Adresse bzw. auf keine Informationen zugreifen kann.
Folgende OpenID-Standards werden unterstützt:
Es ist bekannt, dass einige OpenID-Attribute, wie z. B. die E-Mail-Adresse, möglicherweise nicht vom OpenID-Provider geprüft werden. Wenn Sie sich nicht sicher sind, dass ein Provider Ihnen eine geprüfte E-Mail-Adresse bereitstellt, dann dürfen Sie die E-Mail-Adresse des Providers nicht als authentifizierten Benutzernamen in WebSphere Application Server verwenden.