OpenID Foundation kunngjorde i går ratifiseringen av OpenID Connect 1.0-spesifikasjonen som en global, åpen standard. OpenID Connect beskrives som et enkelt identitetslag på toppen av autentiseringsprotokollen OAuth 2.0. Dette skal gjøre det mulig for alle typer klienter, inkludert web- og mobilapplikasjoner, å be om og motta informasjon om autentiserte sesjoner og sluttbrukere.
Noe av hensikten med OpenID Connect er å gjøre det mulig for nettsteder å outsource hele innloggingsfunksjonaliteten til tjenesteytere som er spesialister på dette. I en pressemelding skriver OpenID Foundation at det store antallet datainnbrudd som har skjedd hos ulike tjenester de siste månedene – noe som har ført til at en masse brukernavn og passord har kommet på avveie – er et klart tegn på at det er behov for å kunne overlate innloggingsfunksjonaliteten til aktører som har kompetanse til å administrere innlogging på en sikker måte, som er i stand til å oppdage misbruk og som kontinuerlig investerer i autentiseringsinfrastruktur.
– Denne investeringen er knyttet til de økte kostnadene ved å hjelpe brukere med å gjenopprette tapte kontoer, passordbytte, og så videre, skriver OpenID Foundation.
Hva er egentlig identitet?
Nat Sakimura, seniorforsker ved Nomura Research Institute og formann i OpenID Foundation, gjør et hederlig forsøk på å forklare dette spørsmålet i videoen nedenfor. Videoen ble publisert i juni i fjor og dreier seg egentlig om hensikten med OpenID Connect.
Sakimura forteller at begrepet identitet er definert i ISO 29115-standarden som et sett med attributter relatert til en entitet, hvor en entitet kan være for eksempel et menneske, en maskin eller en tjeneste.
Hvilken identitet entiteten har, er direkte knyttet til hvilket sett med attributter entiteten, for eksempel en applikasjonsbruker, ønsker å vise i hvert enkelt tilfelle.
Sakimura sammenligner dette med forholdet en person har til ulike mennesker. Det kan være mange egenskaper man viser for vennene sine, som man ikke viser til for eksempel sin sjef. Og omvendt. Dermed viser man vennene en annen identitet enn den man viser til sjefen. Man velger hvilken identitet man ønsker å bruke, avhengig av konteksten.
Det sammen gjelder også nettsteder og andre tjenester eller applikasjoner. Mens man kanskje finner det naturlig å oppgi bosted og fødselsdato til en sosial nettverkstjeneste, ønsker man kanskje ikke oppgi mer enn det aller mest nødvendige ved innlogging i et vilkårlig nettspill.
I videoen svarer Sakimura også på hvorfor man ikke bare kan bruke OAuth. Han forklarer dette med at OAuth er en protokoll som innvilger tilgang (Access Granting Protocol), men som ikke har noe begrep om identitet.
Identitetslaget, altså OpenID Connection, gir et nettsted eller en applikasjon i praksis svar på en rekke spørsmål, blant annet: Hvem er brukeren som ble autentisert? Hvor, når og hvordan ble vedkommende autentisert? Hvilke attributter kan vedkommende gi deg, hvorfor tilbyr vedkommende disse attributtene?
Bred støtte
– En bredt tilgjengelig og sikker, digital identitet basert på interoperabilitet er nøkkelen til å gjøre nettskybaserte tjenester som er enkle å bruke og har høy verdi, tilgjengelige for enheter og applikasjoner som folk bruker, sier Alex Simons, programdirektør for Microsofts Active Directory, i pressemeldingen fra OpenID Foundation.
– OpenID Connect dekker behovet for en enkelt og likevel fleksibel og sikker identitetsprotokoll, samtidig som den lar folk bygge på sine eksisterende OAuth 2.0-investeringer. Microsoft er stolte over å være en sentral bidragsyter til utviklingen av OpenID Connect og for å gjøre vår del for gjøre det enkelt å ta i bruk og bruke digital identitet på tvers av et bredt spekter av bruksområder, sier Simons.
Microsoft er dog bare én av flere bidragsytere til den nye standarden. Selskaper som Google, Salesforce, Ping Identity, AOL, Nomura Research Institute og Deutsche Telekom har også bidratt. Det samme har flere uavhengig sikkerhetseksperter. Protokollen har blitt interoperabilitetstestet på tvers av mer enn 20 implementeringer. GSMA, som representerer mer enn 800 mobiloperatører, skal ta i bruk OpenID Connect i den kommende autentiseringstjenesten Mobile Connect for å sikre interoperabilitet mellom mobiloperatører og tjenesteleverandører.
Google skal på sin side fase ut selskapets støtte for andre, fødererte innloggingsteknologier i løpet av de neste 14 månedene, for så kun å støtte OpenID Connect.
– Google satser tungt på OpenID Connect fordi det er enkelt for utviklere å forstå og enkelt å føderere med identitetstilbydere. Det beskytter også brukerne ved bare å dele den kontoinformasjonen som brukerne eksplisitt ber oss å dele, sier Eric Sachs, produktgruppesjef for identitet hos Google.
– Fra og med i dag tilbyr Google støtte for OpenID Connect som en identitetstilbyder, og vi gleder oss til å se hvordan denne standarden vil gjøre internett enklere å bruke, uten at brukerne må taste inn passord, sier Sachs.
Selve OpenID Connect-spesifikasjonen er tilgjengelig her.
Les også:
- [25.09.2014] Utvikler advarer mot app-nettlesere
- [05.05.2014] Alvorlig feil i utbredt innloggingssystem
- [28.02.2014] Shapeshifter skal hindre botangrep
- [14.11.2012] Klar med gratis ID-stack
- [13.11.2012] – Facebook blir ID-leverandør
- [06.02.2009] Facebook slutter seg til åpen id-løsning
- [20.02.2008] OpenID like sikkert som BankID
- [08.02.2008] Tungvektere støtter felles innlogging på nett
