Was ist OpenID

• englisch für offene Identifikation
• dezentrales Authentifizierungssystem für webbasierte Dienste
• Nutzer meldet sich beim OpenID-Provider einmal an.
• Bekommt eine URL, Identifier genannt
• Anmeldung bei unterstützenden Websites(Relying Parties)
• Single-Sign-on-Prinzip
• Dezentral angelegt
• Konzept der URL-basierten Identität um.

Grundprinzip

• OpenID-Identität wird benötigt.
• Bereitstellung durch den OpenID-Anbieter
• Es gibt verschiedene OpenID-Anbieter.
• Implementierungen in vielen Programmiersprachen
• Open-Source-Lizenzen
• Kann auf einem eigenen Server installiert werden.
• Viele Webseiten bieten zusätzlich OpenID-Identitäten an.

=OpenID

• OpenID hat die Form einer URL.
• Benutzername eine Subdomain des OpenID-Anbieters: benutzername.example.com
• Anbieter verwenden auch den Benutzernamen als Pfad in der URL: example.com/benutzername.
• klassische Anmeldung wird alternativ angeboten.
• Wird auf die klassische Anmeldung verzichtet entfällt Sicherheitsaufwand

Details zur Nutzung

• Überlicherweise wird bei der Anmeldung schon OpenID mit angeboten.
• Webseitenbetreiber mit der OpenID Simple Registration neun[3] grundlegende Informationen vom OpenID-Anbieter erhalten, wenn der OpenID-Benutzer diesem Prozess zustimmt und die entsprechenden Informationen zuvor beim OpenID-Anbieter hinterlegt hat. Somit ist es nicht mehr zwingend erforderlich, bei jeder OpenID-fähigen Webseite im Rahmen der Registrierung E-Mail-Adresse und Namen anzugeben. Nicht immer werden von Webseitenbetreibern alle neun[3] möglichen Informationen auch tatsächlich verwendet. Der Nachteil einer ausschließlichen OpenID-Nutzung besteht im Gegenzug darin, dass klassische Elemente wie Benutzernamen häufig nicht verwendet werden können, sodass eine vollständige Registrierung vorgezogen wird.

Bei einem vorhandenen „klassischen“ Benutzerkonto einer OpenID-fähigen Seite ist es meist möglich, OpenIDs nachträglich anzugeben oder zu entfernen. Sobald eine OpenID erfolgreich mit dem Benutzerkonto verbunden wurde, kann diese anstelle der üblichen Anmeldung mit Benutzername und Passwort verwendet werden.

Für den Nutzer ist es durch die OpenID-Architektur einfacher, eine Loginseite auf Echtheit zu überprüfen, da er sich die sicherheitsrelevanten Merkmale nur einer einzigen Loginseite merken muss, statt von mehreren, wie es ohne Single Sign-on der Fall ist. Die OpenID-Provider sorgen ebenfalls für mehr Sicherheit, indem sie etwa Cookies setzen, ein individuelles Bild zeigen, den HTTP-Referer mit der IP des Requesters vergleichen oder ein clientseitiges TLS-Zertifikat zur Authentifizierung nutzen. Insbesondere letzteres wird von immer mehr Providern unterstützt.

Für das OpenID-Anmeldeverfahren wird der Benutzer auf die Anmeldeseite des OpenID-Anbieters geleitet, auf der die Anmeldung erfolgt. Aus Sicherheitsgründen erscheint eine weitere, auf die anfragende hinweisende Seite, die bestätigt werden muss. Wenn die für die Anmeldung erforderliche Seite vom Benutzer als vertrauenswürdig gekennzeichnet wurde, kann die Bestätigungsseite bei einigen OpenID-Anbietern deaktiviert werden, sodass sie bei weiteren OpenID-Anmeldungen nicht mehr angezeigt wird. Nach der Anmeldebestätigung beim OpenID-Anbieter wird der Benutzer im angemeldeten Zustand auf die eigentliche Webseite zurückgeleitet. Der Anmeldedatenaustausch kann dergestalt stattfinden, dass die Webseite bis zu neun Informationen des verbundenen OpenID-Kontos bei jeder Anmeldung erhält und somit immer auf dem neuesten Stand ist. Der Benutzer muss diese Grundinformationen somit nur noch beim OpenID-Anbieter pflegen. Der Benutzer kann auch dauerhaft seine Zustimmung zur Datenübertragung an die Webseite geben und muss diese dann nicht mehr bei jeder Anmeldung angeben.

Teilweise haben OpenID-Anbieter und OpenID-fähige Webseitenbetreiber zusätzlich zur Simple Registration auch das neuere OpenID-Attribute-Exchange-Protokoll zum erweiterten Datenaustausch implementiert. Dann werden die Daten übertragen, die von jeweils beiden unterstützt werden. Auch hier gilt, dass der Benutzer die volle Kontrolle über seine Daten und deren Weitergabe hat.