Zurück zum Blog

Vereinfachung der Benutzerauthentifizierung mit OpenID Connect

2023-03-194 Minuten Lesezeit

Mit der Erweiterung der digitalen Welt wächst auch der Bedarf an effizienten und sicheren Methoden zur Benutzerauthentifizierung. OpenID Connect (OIDC) ist ein leistungsfähiges Authentifizierungsprotokoll, das diesen Prozess sowohl für Benutzer als auch für Entwickler vereinfacht. Aufbauend auf dem OAuth 2.0-Autorisierungsframework ermöglicht OpenID Connect nahtlosen und sicheren Zugriff auf Web- und mobile Anwendungen mithilfe vorhandener Benutzerkonten von vertrauenswürdigen Identitätsanbietern. In diesem Blogbeitrag werden wir die Vorteile von OpenID Connect, seine Kernkomponenten und wie es den Authentifizierungsprozess optimiert, untersuchen.

OpenID Connect verstehen

OpenID Connect ist ein Authentifizierungsprotokoll, das es Benutzern ermöglicht, auf mehrere Anwendungen oder Dienste zuzugreifen, indem sie ihre vorhandenen Anmeldeinformationen von einem vertrauenswürdigen Identitätsanbieter (IdP) wie Google oder Facebook verwenden. Durch die Nutzung von OpenID Connect können Benutzer sich bei verschiedenen Anwendungen anmelden, ohne für jede einzelne ein neues Konto erstellen zu müssen. Dies vereinfacht den Anmeldevorgang, reduziert die Passwortermüdung und verbessert die allgemeine Sicherheit.

Kernkomponenten von OpenID Connect

  1. Endbenutzer: Die Person, die auf eine geschützte Ressource oder Anwendung zugreifen möchte, indem sie ihre vorhandene Identität von einem Identitätsanbieter (IdP) verwendet.
  2. Relying Party (RP): Die Anwendung oder der Dienst, auf den der Endbenutzer zugreifen möchte. Die Relying Party verlässt sich auf den IdP, um den Endbenutzer zu authentifizieren.
  3. OpenID Provider (OP): Auch als Identitätsanbieter bekannt, ist der OP für die Authentifizierung des Endbenutzers und die Ausstellung von Identitätstoken (ID-Token) an die Relying Party verantwortlich.

OpenID Connect Authentifizierungsablauf

Der OpenID Connect Authentifizierungsprozess umfasst typischerweise die folgenden Schritte:

  1. Der Endbenutzer versucht, auf die Relying Party zuzugreifen (z. B. eine Webanwendung).
  2. Die Relying Party leitet den Endbenutzer an den OpenID Provider (IdP) weiter, um den Authentifizierungsprozess zu initiieren.
  3. Der Endbenutzer authentifiziert sich beim OpenID Provider, normalerweise durch Angabe seiner Anmeldeinformationen (z. B. Benutzername und Passwort).
  4. Nach erfolgreicher Authentifizierung generiert der OpenID Provider ein ID-Token, bei dem es sich um ein JSON Web Token (JWT) handelt, das Informationen über den Endbenutzer enthält, und optional ein Zugriffstoken für den Zugriff auf geschützte Ressourcen.
  5. Der Endbenutzer wird mit dem ID-Token (und ggf. dem Zugriffstoken) zurück zur Relying Party weitergeleitet.
  6. Die Relying Party überprüft das ID-Token, extrahiert die Endbenutzerinformationen und richtet eine Sitzung für den Endbenutzer ein.
  7. Der Endbenutzer kann nun auf die geschützten Ressourcen der Relying Party zugreifen.

Die OpenID Connect Discovery Document URL

Die Discovery Document URL ist eine Schlüsselkomponente des OpenID Connect-Protokolls. Es handelt sich um einen Endpunkt, der ein JSON-Objekt zurückgibt, das wesentliche Konfigurationsinformationen enthält, um Clients bei der Interaktion mit dem Identitätsanbieter (IdP) für die Authentifizierung und den Token-Austausch zu unterstützen. Diese Informationen umfassen Endpunkte, unterstützte Bereiche, Ansprüche und öffentliche Schlüssel.

Bei Verwendung von Azure Active Directory (Azure AD) als IdP hat die Discovery Document URL das folgende Format:

https://login.microsoftonline.com/{your-tenant-id}/v2.0/.well-known/openid-configuration

Ersetzen Sie {your-tenant-id} durch Ihre Azure AD-Mandanten-ID oder verwenden Sie „common“, wenn es sich um eine mandantenübergreifende Anwendung handelt.

Wenn Ihre Azure AD-Mandanten-ID beispielsweise „d0b109cb-ca06-419b-a7a3-147c7d096087“ lautet, wäre die Discovery Document URL:

https://login.microsoftonline.com/d1b109cb-c206-419b-a744-147c7d096037/v2.0/.well-known/openid-configuration

Das Öffnen dieser URL in einem Webbrowser oder das Senden einer HTTP-GET-Anfrage gibt ein JSON-Objekt mit verschiedenen OpenID Connect-Konfigurationsdetails zurück. Diese Details umfassen den Autorisierungs-Endpunkt, den Token-Endpunkt, den Userinfo-Endpunkt und andere Informationen, die Clients für die Implementierung der OpenID Connect-Authentifizierung benötigen.

Bei der Konfiguration eines OpenID Connect-Clients, wie z. B. des OpenID Connect Generic Client-Plugins für WordPress oder benutzerdefinierter Anwendungen, ist es wichtig, die Discovery Document URL anzugeben, damit der Client die erforderlichen Konfigurationsinformationen für die Interaktion mit Azure AD abrufen kann.

Vorteile von OpenID Connect

  • Vereinfachte Benutzererfahrung: Durch die Ermöglichung der Authentifizierung von Benutzern mit einem einzigen Satz von Anmeldeinformationen reduziert OpenID Connect die Notwendigkeit mehrerer Benutzernamen und Passwörter, was zu einer optimierten Benutzererfahrung führt.
  • Erhöhte Sicherheit: OpenID Connect zentralisiert den Authentifizierungsprozess über vertrauenswürdige Identitätsanbieter, wodurch das Risiko eines unbefugten Zugriffs verringert und die allgemeine Sicherheit verbessert wird.
  • Interoperabilität: OpenID Connect ist für Web- und mobile Anwendungen konzipiert und lässt sich leicht in eine Vielzahl von Plattformen und Technologien integrieren.
  • Skalierbarkeit: Da OpenID Connect auf OAuth 2.0 aufbaut, kann es problemlos erweitert werden, um zusätzliche Funktionen und Anwendungsfälle zu unterstützen.

Schlussfolgerung

OpenID Connect hat sich aufgrund seiner Einfachheit, Interoperabilität und einfachen Integration mit verschiedenen Anwendungen zu einem beliebten und weit verbreiteten Standard für die Benutzerauthentifizierung entwickelt. Durch die Nutzung von OIDC können Entwickler eine nahtlosere und sicherere Benutzererfahrung schaffen, während Benutzer von reduzierter Passwortermüdung und erhöhter Bequemlichkeit profitieren. Da sich die digitale Landschaft weiterentwickelt, wird OpenID Connect eine entscheidende Rolle bei der Vereinfachung und Verbesserung der Benutzerauthentifizierung auf Web- und mobilen Plattformen spielen.

Kategorien:

OpenID Connect