Identitätsmanagement und Authentifizierung; OpenID

Viele Anwender haben unzählige Logins für mehrfache E-Mail-Accounts, diverse Online-Shops, Blogs, eBay, Facebook, Twitter und derlei mehr. Der normale User verliert vor lauter Logins den Überblick. Versucht man, sich etwa mit dem vermeintlich richtigen Login beim falschen Dienst anzumelden, kann man gehörig Zeit verlieren und vor Frust ein neues Kennwort anfordern, das man sich dann wieder aufs Neue merken muss.

Alternative Ansätze wie Schlüsselbund-Software, automatische Anmeldung durch den Webbrowser et cetera können das Problem mildern, aber nicht lösen. Als Nebeneffekt haben Website-Betreiber mit einem Publikum zu tun, das sich zunehmend zurückhaltender zeigt in seiner Bereitschaft, sich auf neuen Seiten zu registrieren.

Im ersten Anlauf war dem Identitätsmanagement mit Microsofts Passport-Technologie kein Erfolg beschert; zu viele Anwender wollten dem Softwareriesen mit einer proprietären Lösung nicht über den Weg trauen. Seither wurden verschiedene neue Ansätze entwickelt.

Die größten Aussichten werden derzeit Cardspace, Prime und OpenID zugeschrieben. Cardspace ist der Passport-Nachfolger von Microsoft. Prime steht für Privacy and Identity Management for Europe, eine EU-Initiative. Das Interesse im Bereich Identitätsmanagement konzentriert sich daher auf OpenID, ein freies, quelloffenes Framework für ein effizientes Single-Sign-On über mehrere Websites und Applikationen hinweg.

Anmeldung über OpenID

In einer OpenID-Transaktion gibt es zwei Teilnehmer: einen OpenID-Anbieter (den sogenannten Provider), der Authentifizierungsdienste bereitstellt, und eine OpenID-fähige Webseite (den sogenannten Consumer), die diese Dienste in Anspruch nimmt. Da es sich bei OpenID um eine quelloffene Lösung handelt, werden diese Dienste kostenlos bereitgestellt.

Wird eine OpenID durch Google bereitgestellt und zum Beispiel zur Anmeldung in einem Wordpress-Blog genutzt, ist Google der OpenID-Provider und das Blog der OpenID-Consumer. Wird die OpenID-Identität durch das Blog bereitgestellt und für eine Anmeldung bei einem anderen Dienst verwendet, ist das Wordpress-Blog der OpenID-Provider; die anderen Dienste sind OpenID-Consumer.

Bei der Anmeldung eines OpenID-Benutzers auf einer OpenID-fähigen Webseite fragt diese bei dem betreffenden OpenID-Provider nach, ob ihm die Identität des Benutzers bekannt ist. In der Regel muss sich der Benutzer dann bei seinem OpenID-Provider mit seinem Kennwort anmelden.

Daraufhin bestätigt der OpenID-Provider die Identität des Benutzers gegenüber dem OpenID-fähigen Web-Dienst und dieser gewährt dem Benutzer schließlich Zugang zu seinem Account. Dem OpenID-fähigen Web-Dienst ist das Passwort des Benutzers nicht bekannt. Dadurch kann der Benutzer mit einem einzigen Passwort für beliebig viele Webseiten sicher identifizieren.

Viele Wege zur OpenID

Wenn Sie sonst auch in PHP programmieren, dann wird Ihnen die Nutzung einer OpenID-PHP-Bibliothek wahrscheinlich leicht fallen. Infrage kommen hierbei zwei Lösungen:

Die PHP-OpenID-Bibliothek von Jan Rain Inc. in der Version 1.2.3 (). JanRain Inc. ist auch der Betreiber von , eines populären Providers von OpenID-Identitäten. Die zweite Möglichkeit ist The Authentication::OpenID_Consumer-PEAR-Package, entwickelt von Padraic Brady ().

Die PHP-OpenID-Bibliothek hat mittlerweile einen hohen Reifegrad erreicht. Im Gegensatz dazu befindet sich The Paket Authentication::OpenID_Consumer-PEAR zum jetzigen Zeitpunkt gerade einmal im Alpha-Stadium und ist eher als ein Vorschlag zu bezeichnen als eine fertige Lösung.

Wer auf Nummer sicher gehen will und etwas Ausgereiftes und Getestetes wünscht, der ist mit der PHP-OpenID-Bibliothek besser aufgehoben.

Von zentraler Bedeutung ist außerdem natürlich eine Open-ID-Identität. Wie Ihre Benutzer an eine OpenID-Identität gelangen, kann Ihnen im Prinzip gleichgültig sein. Ebenso können Sie für Testzwecke einfach eine OpenID von einem beliebigen OpenID-Anbieter wie kostenlos beziehen. Sie können auch einfach Ihren Account bei AOL, Facebook oder Google als Ihre OpenID nutzen.

Anmeldeformular

Das Anmeldeformular einer OpenID-gestützten Webseite beinhaltet kein Eingabefeld für das Benutzer-Passwort, denn Selbiges wird dieser Webseite nie mitgeteilt: