Föderation mit OIDC

Open ID Connect (OIDC) ist ein moderner Föderationsstandard, der in etwa die gleiche Funktionalität wie SAML hat.

TODO: Einfaches Bild der obersten Ebene

OIDC ist eine Erweiterung von OAuth2 und wird auch oft zusammen verwendet. OIDC und OAuth2 haben unterschiedliche Ziele:

OIDC: Ermöglicht den Nachweis der Identität und einer durchgeführten Authentifizierung eines Nutzers. Damit einhergehend werden auch der Gültigkeitsbereich und eine Zielgruppe bereitgestellt. Auch benutzerbezogene Attribute werden mit diesem Nachweis bereitgestellt. Damit kann der Empfänger eines solchen Nachweises eine lokale Anwendungssitzung aufbauen, so wie dies auch mit SAML möglich ist. Der Proof wird in einem so genannten ID-Token transportiert, der ein JWT mit definierten Attributen ist.
OAuth2: Bietet die Berechtigung zum Zugriff auf eine API (API-Autorisierung). Diese Berechtigungen werden in Form von Access Tokens (AT) transportiert. Access Tokens sind in der Regel "Bearer Tokens", was bedeutet, dass jeder, der ein solches Token vorlegt, das Recht hat, diese API zu nutzen. Zugriffstoken sind entweder ebenfalls JWTs oder "undurchsichtig". Undurchsichtige Zugangstoken können vom Empfänger nicht direkt überprüft werden, sondern müssen zur Überprüfung an den Aussteller (den Autorisierungsserver) geschickt werden. Bitte beachten Sie, dass Access Token entweder kurzlebig sein müssen (wenige Minuten) oder eine Widerrufsfunktionalität vorhanden sein muss.

Es ist wichtig zu beachten, dass in eIAM nur OIDC implementiert ist. Das zur Verfügung gestellte OAuth2-Token ist undurchsichtig und nur für die Verwendung des eIAM userinfo API-Endpunkts geeignet, der Benutzerdaten liefert und Teil von OIDC ist.

Auf den folgenden Seiten erhalten Sie einen Überblick über die möglichen Integrationsmuster und weitere technische Details.