Seite 4: Fazit

Inhaltsverzeichnis

OpenID Connect ist eine zeitgemäße Weiterentwicklung klassischer Protokolle wie SAML und OpenID, die die Erfordernisse der API- und Apps-Ökonomie berücksichtigt. Entsprechend der Devise "einfache Dinge sollten einfach und komplizierte Dinge sollten möglich sein" erlaubt OpenID Connect dabei einen einfachen Einstieg in das Thema. In den hier gezeigten Anwendungsfällen kommt der Client zum Beispiel mit ein paar einfachen HTTP Requests ohne irgendwelche Kryptographie aus und kann damit ein komplettes Login inklusive des Zugriffs auf Benutzerdaten implementieren. Und Einfachheit ist erfahrungsgemäß gerade in sicherheitskritischen Bereichen wie dem Login ein erfolgskritischer Faktor, insbesondere wenn man berücksichtigt, dass in der Regel leider weder Identity Management noch Sicherheit zu den Kernkompetenzen von Entwicklern zählen.

Aber da ist noch mehr: Um eine wirklich zeitgemäße Nutzungserfahrung implementieren zu können und dabei seine Sicherheitsziele zu erreichen, muss der Client den Authentifizierungsprozess enger steuern können. Darüber hinaus stellt sich die Frage, wie man die Interoperabilität eines sich am Markt etablierenden Standards nutzen kann, um die Benutzerbasen anderer Anbietern "anzapfen" zu können. Schließlich muss sich der Anbieter einer App auch die Frage stellen, ob er in einer Zeit, in der der Diebstahl von Passwörtern ein zunehmendes und bedrohliches Phänomen ist, nicht die Authentifizierung als sicherheitskritische Funktion an Experten auslagern möchte. Diese und andere Themen wird der zweite Artikel beleuchten.

Dr. Torsten Lodderstedt
verantwortet bei der Deutschen Telekom als Abteilungsleiter die Entwicklung von Basisdiensten für das Identitäts- und Vertrags-Management sowie Bezahlfunktionen, die in diversen Endkundenprodukten zum Einsatz kommen. Er ist Corporate Director der OpenID Foundation und an der Spezifikation von OpenID Connect und OAuth beteiligt. (ane)