OpenID

OpenID ist ein offener Standard, der Benutzern die Möglichkeit bietet, sich bei mehreren Entitäten zu authentifizieren, ohne mehrere Accounts oder Gruppen von Berechtigungsnachweisen verwalten zu müssen. WebSphere Application Server Liberty unterstützt OpenID 2.0 und fungiert als Relying Party beim Web Single Sign-on.

OpenID-Provider (OP)
Ein OpenID-Authentifizierungsserver, der bestätigen kann, dass ein Benutzer eine eindeutige ID steuert.
Relying Party (RP)
Eine Entität, die den Beweis benötigt, dass ein Benutzer eine eindeutige ID steuert.
OpenID-Kennung
Eine HTTP- oder HTTPS-URL, die zu einem OpenID-Provider oder einem Benutzer gehört.

Wenn Sie oft auf verschiedene Entitäten wie Websites zugreifen, benötigen Sie für jede Entität einen eindeutigen Account. OpenID ermöglicht einer Gruppe von Berechtigungsnachweisen, die von einem OpenID-Provider verarbeitet werden, beliebig vielen Entitäten, die OpenID unterstützen, die Zugriffsberechtigung zu erteilen.

Wenn Benutzer aufgefordert werden, sich bei einer Entität, z. B. einer Website, die OpenID unterstützt und als Relying Party fungiert, anzumelden, authentifizieren sie sich, indem sie direkt mit einem OpenID-Provider interagieren, und nicht, indem sie ihre Berechtigungsnachweise der Relying Party bereitstellen. Ein OP prüft die Identität des Benutzers und sendet eine Authentifizierungsbestätigung an die Relying Party zurück. Wenn diese Bestätigung des OP empfangen wird, akzeptiert die Relying Party den Benutzer als authentifiziert.

Ein typischer OpenID-Authentifizierungsablauf lässt sich wie folgt beschreiben:

  1. Ein Benutzer versucht, auf eine geschützte Ressource, z. B. eine Webseite, zuzugreifen.
  2. Der Liberty-Server, der als Relying Party fungiert, stellt eine Anmeldeformularseite für die geschützte Ressource bereit.
  3. Der Benutzer gibt eine OpenID-Kennung ein.
  4. Die Relying Party übernimmt die Kennung und leitet den Benutzer an den entsprechenden OP um.
  5. Der OP fordert den Benutzer zur Eingabe von Berechtigungsnachweisen auf.
  6. Der Benutzer gibt Berechtigungsnachweise für den Account ein, der dem OP zugeordnet ist.
  7. Der OP authentifiziert den Benutzer und fordert ihn auf, anzugeben, ob Benutzerdaten an die Relying Party gesendet werden dürfen oder nicht. Anschließend wird der Benutzer wieder zur Relying Party mit dem Authentifizierungsergebnis umgeleitet.
  8. Wenn die OP-Authentifizierung erfolgreich ist, versucht die Relying Party, den Benutzer zu berechtigen.
  9. Ist die Benutzerberechtigung erfolgreich, erstellt die Relying Party eine authentifizierte Sitzung mit dem Benutzer.
Die Abbildung zeigt den OpenID-Authentifizierungsablauf.

Mit OpenID kann das Risiko des Missbrauchs von Benutzerberechtigungsnachweisen oder sensiblen Informationen minimiert werden. Wenn Sie OpenID verwenden, werden die Berechtigungsnachweise eines Benutzers nur mit dem OpenID-Provider ausgetauscht, d. h., dass keine andere Website als der OP auf die Berechtigungsnachweise zugreift. Dieser Standard mindert das Risiko, dass eine Benutzeridentität durch eine nicht vertrauenswürdige oder unsichere Website kompromittiert wird. Der Benutzer steuert auch, wie viele persönliche Daten an die besuchten Websites weitergegeben werden. Beispielsweise kann ein Benutzer festlegen, dass sein Name und seine E-Mail-Adresse, der bzw. die seinem OpenID-Account zugeordnet ist, an eine bestimmte Website weitergegeben werden, während eine andere Website nicht auf die E-Mail-Adresse bzw. auf keine Informationen zugreifen kann.

Folgende OpenID-Standards werden unterstützt:

OpenID Authentication 2.0

OpenID Attribute Exchange 1.0

Anmerkung: Die angeforderte ID (Claimed Identifier) in OpenID 2.0 muss verwendet werden, um einen Benutzer nach Spezifikation zu identifizieren. Informationen hierzu finden Sie unter Identifying the end user. Das Konzept der angeforderten ID ist jedoch nicht benutzerfreundlich und viele Relying Partys ziehen es vor, ein OpenID-Attribut zur Darstellung des Benutzers zu verwenden. Das gängigste Attribut zur Darstellung des Benutzers ist seine E-Mail-Adresse.

Es ist bekannt, dass einige OpenID-Attribute, wie z. B. die E-Mail-Adresse, möglicherweise nicht vom OpenID-Provider geprüft werden. Wenn Sie sich nicht sicher sind, dass ein Provider Ihnen eine geprüfte E-Mail-Adresse bereitstellt, dann dürfen Sie die E-Mail-Adresse des Providers nicht als authentifizierten Benutzernamen in WebSphere Application Server verwenden.


Symbol das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwlp_openid
Dateiname: cwlp_openid.html