This is the Trace Id: 5330717d89aad42d0bda32f4526bb83e
Zu Hauptinhalt springen Warum Microsoft Security KI für Cybersicherheit Cloudsicherheit Datensicherheit und Governance Identitäten und Netzwerkzugriff Datenschutz und Risikomanagement Sicherheit für KI Einheitliche Sicherheitsabläufe (SecOps) Zero Trust Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) Microsoft Entra-Agent-ID Microsoft Entra External ID Microsoft Entra ID Governance Microsoft Entra ID Protection Microsoft Entra-Internetzugriff Microsoft Entra-Privatzugriff Microsoft Entra Permissions Management Microsoft Entra Verified ID Microsoft Entra Workload ID Microsoft Entra Domain Services Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender for Endpoint Microsoft Defender for Office 365 Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft Security Exposure Management Microsoft Defender Vulnerability Management Microsoft Defender Threat Intelligence Microsoft Defender Suite für Business Premium Microsoft Defender for Cloud Microsoft Defender Cloud Security Posture Management Microsoft Defender External Attack Surface Management Erweiterte GitHub-Sicherheit Microsoft Defender for Endpoint Microsoft Defender XDR Microsoft Defender for Business Wichtige Funktionen in Microsoft Intune Microsoft Defender for IoT Microsoft Defender Sicherheitsrisikomanagement Microsoft Intune Advanced Analytics Microsoft Intune Endpoint Privilege Management Microsoft Intune Enterprise Application Management Remotehilfe für Microsoft Intune Microsoft Cloud PKI Microsoft Purview-Kommunikationscompliance Microsoft Purview Compliance Manager Microsoft Purview-Datenlebenszyklusverwaltung Microsoft Purview-eDiscovery Microsoft Purview Audit Microsoft Priva-Risikomanagement Microsoft Priva Subject Rights Requests Microsoft Purview Data Governance Microsoft Purview Suite für Business Premium Microsoft Purview Datensicherheitsfunktionen Preise Dienste Partner Sensibilisierung für Cybersicherheit Kundenreferenzen Sicherheitsgrundlagen Produkttests Branchenecho Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security-Blog Microsoft Security-Veranstaltungen Microsoft Tech Community Dokumentation Technical Content Library Schulungen und Zertifizierungen Compliance Program for Microsoft Cloud Microsoft Trust Center Service Trust Portal Microsoft Secure Future Initiative Business Solutions Hub An den Vertrieb wenden Kostenlos testen Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft KI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva Quanten-Computing Nachhaltigkeit Bildung und Forschung Automobilbranche Finanzdienstleistungen Öffentlicher Sektor Gesundheitswesen Produktion Einzelhandel Partner finden Partner werden Partner-Netzwerk Microsoft Marketplace Marketplace Rewards Softwareentwicklungsunternehmen Blog Microsoft Advertising Developer Center Dokumentation Veranstaltungen Lizenzierung Microsoft Learn Microsoft Research Siteübersicht anzeigen

Was ist OIDC?

Erfahren Sie mehr über OpenID Connect (OIDC), ein Authentifizierungsprotokoll, das Benutzeridentitäten überprüft, wenn sie sich für den Zugriff auf digitale Ressourcen anmelden.

Definition von OpenID Connect (OIDC)

OpenID Connect (OIDC) ist ein Identitätsauthentifizierungsprotokoll, das eine Erweiterung von Open Authorization (OAuth) 2.0 ist. Hiermit wird der Prozess für die Authentifizierung und Autorisierung von Benutzern standardisiert, wenn sie sich für den Zugriff auf digitale Dienste anmelden. OIDC stellt Authentifizierung bereit. Dies bedeutet, dass überprüft wird, ob Benutzer diejenigen sind, die sie vorgeben zu sein. OAuth 2.0 autorisiert, auf welche Systeme diese Benutzer zugreifen dürfen. OAuth 2.0 wird in der Regel verwendet, um zwei nicht verknüpften Anwendungen den Austausch von Informationen zu ermöglichen, ohne benutzerbezogene Daten zu gefährden. Beispielsweise verwenden viele Benutzer ihre E-Mail- oder Social Media-Konten, um sich bei einer Drittanbieterwebsite anzumelden, anstatt einen neuen Benutzernamen und ein neues Kennwort zu erstellen. OIDC wird auch verwendet, um einmaliges Anmelden bereitzustellen. Organisationen können ein sicheres Identity and Access Management (IAM)-System wie Microsoft Entra ID (ehemals Azure Active Directory) als primären Authentifikator von Identitäten verwenden und dann mit OIDC diese Authentifizierung an andere Apps übergeben. Auf diese Weise müssen sich Benutzer nur einmal mit einem Benutzernamen und Kennwort anmelden, um auf mehrere Apps zugreifen zu können.

 

 

Hauptkomponenten von OIDC

Es gibt sechs Hauptkomponenten in OIDC:

  • Authentifizierung ist der Vorgang, bei dem überprüft wird, ob der Benutzer der ist, der er vorgibt zu sein.

  • Ein Client ist die Software, z. B. Website oder Anwendung, die Token anfordert, die zum Authentifizieren eines Benutzers oder Zugreifen auf eine Ressource verwendet werden.

  • Vertrauende Seiten sind die Anwendungen, die OpenID-Anbieter zum Authentifizieren von Benutzern verwenden.  

  • Identitätstoken enthalten Identitätsdaten, u. a. das Ergebnis des Authentifizierungsprozesses, eine Benutzer-ID und Informationen darüber, wie und wann der Benutzer authentifiziert wird. 

  • OpenID-Anbieter sind die Anwendungen, für die ein Benutzer bereits über ein Konto verfügt. Ihre Rolle bei OIDC besteht darin, den Benutzer zu authentifizieren und diese Informationen an die vertrauende Seite zu übergeben.

  • Benutzer sind Personen oder Dienste, die auf eine Anwendung zugreifen möchten, ohne ein neues Konto zu erstellen oder einen Benutzernamen und ein Kennwort anzugeben. 

 

Wie funktioniert die OIDC-Authentifizierung?

Die OIDC-Authentifizierung ermöglicht es Benutzern, sich bei einer Anwendung anzumelden und Zugriff auf eine andere zu erhalten. Wenn ein Benutzer beispielsweise ein Konto auf einer Nachrichtenwebsite erstellen möchte, hat er möglicherweise die Option, dies über Facebook zu tun, anstatt ein neues Konto zu erstellen. Wenn er Facebook auswählt, verwende er die OIDC-Authentifizierung. Facebook wird als OpenID-Anbieter bezeichnet. Es verarbeitet den Authentifizierungsprozess und holt die Zustimmung des Benutzers ein, bestimmte Informationen, z. B. ein Benutzerprofil, für die Nachrichtenwebsite (die vertrauende Seite) bereitzustellen. 

ID-Token 

Der OpenID-Anbieter verwendet ID-Token, um Authentifizierungsergebnisse und alle relevanten Informationen an die vertrauende Seite zu übertragen. Beispiele für den Typ der gesendeten Daten sind eine ID, eine E-Mail-Adresse und ein Name.

Bereiche

Bereiche definieren, was der Benutzer mit dem Zugriff tun kann. OIDC bietet Standardbereiche, die z. B. definieren, für welche vertrauende Seite das Token generiert wurde, wann das Token generiert wurde, wann das Token abläuft und welche Verschlüsselungsstärke zum Authentifizieren des Benutzers verwendet wird. 

Ein typischer OIDC-Authentifizierungsprozess umfasst die folgenden Schritte:

  1. Ein Benutzer ruft die Anwendung auf, auf die er zugreifen möchte (die vertrauende Seite).
  2. Der Benutzer gibt den Benutzernamen und das Kennwort ein.
  3. Die vertrauende Seite sendet eine Anforderung an den OpenID-Anbieter.
  4. Der OpenID-Anbieter überprüft die Anmeldeinformationen des Benutzers und erhält die Autorisierung.
  5. Der OpenID-Anbieter sendet ein Identitätstoken und häufig ein Zugriffstoken an die vertrauende Seite.
  6. Die vertrauende Seite sendet das Zugriffstoken an das Gerät des Benutzers.
  7. Der Benutzer erhält Zugriff basierend auf den Informationen, die im Zugriffstoken und von der vertrauenden Seite bereitgestellt werden. 

Was sind OIDC-Flows?

OIDC-Flows definieren, wie Token angefordert und an die vertrauende Seite übermittelt werden. Einige Beispiele:

  • OIDC-Autorisierungsflows: Der OpenID-Anbieter sendet einen eindeutigen Code an die vertrauende Seite. Die vertrauende Seite sendet dann den eindeutigen Code im Austausch gegen das Token zurück an den OpenID-Anbieter. Diese Methode wird verwendet, damit der OpenID-Anbieter die vertrauende Seite vor dem Senden des Tokens überprüfen kann. Der Browser kann das Token bei dieser Methode nicht sehen, was dazu beiträgt, es zu schützen.

  • OIDC-Autorisierungsflows mit PKCE-Erweiterung: Dieser Flow ist identisch mit dem OIDC-Autorisierungsflow, mit der Ausnahme, dass er eine PKCE-Erweiterung (Public Key for Code Exchange) verwendet, um die Kommunikation als Hash zu senden. Dies verringert die Wahrscheinlichkeit, dass das Token abgefangen wird.

  • Clientanmeldeinformationen: Dieser Flow ermöglicht den Zugriff auf Web-APIs mithilfe der Identität der Anwendung selbst. Dies wird in der Regel für die Server-zu-Server-Kommunikation und automatisierte Skripts verwendet, die keine Benutzerinteraktion erfordern.

  • Gerätecode: Dieser Flow ermöglicht Benutzenden die Anmeldung bei und den Zugriff auf webbasierte APIs auf Geräten mit Internetverbindung, die nicht über Browser oder eine schlechte Tastaturfunktion verfügen, z. B. ein Smart-TV. 

Zusätzliche Flows, z. B. der implizite OIDC-Flow, der für browserbasierte Anwendungen entwickelt wurde, werden nicht empfohlen, da sie ein Sicherheitsrisiko darstellen.

OIDC im Vergleich zu OAuth 2.0

OIDC wurde auf OAuth 2.0 aufgebaut, um die Authentifizierung hinzuzufügen. Das OAuth 2.0-Protokoll wurde zuerst entwickelt, und dann wurde OIDC hinzugefügt, um seine Funktionen zu erweitern. Der Unterschied zwischen den beiden besteht darin, dass OAuth 2.0 die Autorisierung bereitstellt, während OIDC die Authentifizierung bereitstellt. OAuth 2.0 ermöglicht Benutzern den Zugriff auf eine vertrauende Seite unter Verwendung ihres Kontos mit einem OpenID-Anbieter. OIDC ermöglicht es dem OpenID-Anbieter, ein Benutzerprofil an die vertrauende Seite zu übergeben. Außerdem können Organisationen ihren Benutzern mit OIDC einmaliges Anmelden anbieten.

 

 

Vorteile der OIDC-Authentifizierung

Durch die Reduzierung der Anzahl von Konten, die Benutzer für den Zugriff auf Apps benötigen, bietet OIDC mehrere Vorteile für Einzelpersonen und Organisationen:

Geringeres Risiko für gestohlene Kennwörter

Wenn Benutzer mehrere Kennwörter verwenden müssen, um auf die Apps zuzugreifen, die sie für ihre Arbeit und privat benötigen, wählen sie häufig einfach zu merkende Kennwörter aus, z. B. Password1234!, und verwenden dasselbe Kennwort für mehrere Konten. Dies erhöht das Risiko, dass ein Angreifer ein Kennwort erraten wird. Und sobald dieser das Kennwort für ein Konto kennt, kann er möglicherweise auch auf andere Konten zugreifen. Durch die Reduzierung der Anzahl von Kennwörtern, die sich ein Benutzer merken muss, erhöht sich die Wahrscheinlichkeit, dass er ein stärkeres, sichereres Kennwort verwendet.

Erweiterte Sicherheitskontrollen

Durch die Zentralisierung der Authentifizierung in einer App können Organisationen auch den Zugriff über mehrere Apps hinweg mit starken Zugriffssteuerungen schützen. OIDC unterstütz die Zwei-Faktor- und Multi-Faktor-Authentifizierung, bei der Benutzer ihre Identität mit mindestens zwei der folgenden Elemente bestätigen müssen:

  • Etwas, was die Person weiß, in der Regel ein Kennwort

  • Etwas, was die Person besitzt, wie ein vertrauenswürdiges, schwer nachzuahmendes Gerät oder Token 

  • Etwas, was die Person auszeichnet, wie ein Fingerabdruck oder Gesichtsscan

Die Multi-Faktor-Authentifizierung ist eine bewährte Methode zur Reduzierung von Kontokompromittierungen. Organisationen können OIDC auch verwenden, um andere Sicherheitsmaßnahmen wie Privileged Access Management, Kennwortschutz, Anmeldesicherheit oder Identitätsschutz über mehrere Apps hinweg anzuwenden. 

Vereinfachte Benutzererfahrung

Das Anmelden bei mehreren Konten im Laufe des Tages kann zeitaufwändig und frustrierend sein. Wenn ein Kennwort verloren geht oder vergessen wird, kann das Zurücksetzen die Produktivität weiter beeinträchtigen. Unternehmen, die OIDC verwenden, um ihren Mitarbeitern einmaliges Anmelden bereitzustellen, tragen dazu bei, dass diese mehr Zeit mit produktiver Arbeit verbringen, anstatt zu versuchen, Zugriff auf Apps zu erhalten. Organisationen machen es auch wahrscheinlicher, dass sich Kunden für ihre Dienste registrieren und diese nutzen, wenn sie ihnen erlauben, sich mit ihrem Microsoft-, Facebook- oder Google-Konto anzumelden. 

Standardisierte Authentifizierung

OIDC wurde von der OpenID Foundation entwickelt, zu der bekannte Marken wie Microsoft und Google gehören. Es wurde für die Interoperabilität konzipiert und unterstützt viele Plattformen und Bibliotheken, darunter iOS, Android, Microsoft Windows und die wichtigsten Cloud- und Identitätsanbieter.

Optimierte Identitätsverwaltung

Organisationen, die OIDC zum Bereitstellen des einmaligen Anmeldens für ihre Mitarbeiter und Partner verwenden, können die Anzahl der Identitätsverwaltungslösungen reduzieren, die sie verwalten müssen. Dadurch ist es einfacher, Änderungen an Berechtigungen nachzuverfolgen, und Administratoren können eine Schnittstelle verwenden, um Zugriffsrichtlinien und Regeln auf mehrere Apps anzuwenden. Unternehmen, die OIDC verwenden, um Benutzern die Anmeldung bei ihren Apps mithilfe eines OpenID-Anbieters zu ermöglichen, verringern die Anzahl der Identitäten, die sie überhaupt verwalten müssen. 

Beispiele und Anwendungsfälle für OIDC

Viele Organisationen verwenden OIDC, um eine sichere Authentifizierung über Web- und mobile Apps hinweg zu ermöglichen. Hier finden Sie einige Beispiele:

  • Wenn sich Benutzende für ein Spotify-Konto anmelden, werden ihnen drei Optionen angeboten: Mit Facebook anmelden, Mit Google anmelden, Mit Ihrer E-Mail-Adresse anmelden. Benutzer, die sich über Facebook oder Google registrieren, verwenden OIDC, um ein Konto zu erstellen. Sie werden an den ausgewählten OpenID-Anbieter (Google oder Facebook) weitergeleitet. Nach der Anmeldung sendet der OpenID-Anbieter dann grundlegende Spotify-Profildetails. Der Benutzer muss kein neues Konto für Spotify erstellen, und seine Kennwörter bleiben geschützt.

  • LinkedIn bietet Benutzern ebenfalls die Möglichkeit, ein Konto mit ihrem Google-Konto zu erstellen, anstatt ein separates Konto für LinkedIn zu erstellen. 

  • Ein Unternehmen möchte das einmalige Anmelden für Mitarbeiter bereitstellen, die für ihre Arbeit auf Microsoft Office 365, Salesforce, Box und Workday zugreifen müssen. Anstatt die Mitarbeiter für jede dieser Apps ein separates Konto erstellen zu lassen, verwendet das Unternehmen OIDC, um Zugriff auf alle vier Apps bereitzustellen. Die Mitarbeiter erstellen ein Konto, und jedes Mal, wenn sie sich anmelden, erhalten sie Zugriff auf alle Apps, die sie für ihre Arbeit benötigen.  

Implementieren von OIDC für die sichere Authentifizierung

OIDC bietet ein Authentifizierungsprotokoll zur Vereinfachung der Anmeldung für Benutzer und zur Verbesserung der Sicherheit. Dies ist eine hervorragende Lösung für Unternehmen, die Kunden dazu anregen möchten, sich für ihre Dienste zu registrieren, ohne sich um die Verwaltung von Konten kümmern zu müssen. Darüber hinaus können Organisationen ihren Mitarbeitern und anderen Benutzern sicheres einmaliges Anmelden bei mehreren Apps anbieten. Organisationen können Identitäts- und Zugriffslösungen verwenden, die OIDC unterstützen, z. B. Microsoft Entra, um alle ihre Identitäten und Authentifizierungssicherheitsrichtlinien an einem zentralen Ort zu verwalten.

   

 

Weitere Informationen über Microsoft Security

Häufig gestellte Fragen

  • OIDC ist ein Identitätsauthentifizierungsprotokoll, das mit OAuth 2.0 zusammenarbeitet, um den Prozess für die Authentifizierung und Autorisierung von Benutzern zu standardisieren, wenn sie sich für den Zugriff auf digitale Dienste anmelden. OIDC stellt Authentifizierung bereit. Dies bedeutet, dass überprüft wird, ob Benutzer diejenigen sind, die sie vorgeben zu sein. OAuth 2.0 autorisiert, auf welche Systeme diese Benutzer zugreifen dürfen. OIDC und OAuth 2.0 werden in der Regel verwendet, um zwei nicht verknüpften Anwendungen den Austausch von Informationen zu ermöglichen, ohne benutzerbezogene Daten zu gefährden. 

  • Sowohl OIDC als auch Security Assertion Markup Language (SAML) sind Identitätsauthentifizierungsprotokolle, mit denen sich Benutzer einmal sicher anmelden und dann auf mehrere Anwendungen zugreifen können. SAML ist ein älteres Protokoll, das für einmaliges Anmelden weit verbreitet ist. Es überträgt Daten im XML-Format. OIDC ist ein neueres Protokoll, das das JSON-Format zum Übertragen von Benutzerdaten verwendet. OIDC wird immer beliebter, da es einfacher zu implementieren ist als SAML und besser mit mobilen Anwendungen funktioniert.

  • OIDC steht für OpenID Connect-Protokoll. Dabei handelt es sich um ein Identitätsauthentifizierungsprotokoll, mit dem zwei nicht verbundene Anwendungen Benutzerprofilinformationen austauschen können, ohne die Sicherheit der Benutzeranmeldeinformationen zu gefährden.

  • OIDC wurde auf OAuth 2.0 aufgebaut, um die Authentifizierung hinzuzufügen. Das OAuth 2.0-Protokoll wurde zuerst entwickelt, und dann wurde OIDC hinzugefügt, um seine Funktionen zu erweitern. Der Unterschied zwischen den beiden besteht darin, dass OAuth 2.0 die Autorisierung bereitstellt, während OIDC die Authentifizierung bereitstellt. OAuth 2.0 ermöglicht Benutzern den Zugriff auf eine vertrauende Seite unter Verwendung ihres Kontos mit einem OpenID-Anbieter. OIDC ermöglicht es dem OpenID-Anbieter, ein Benutzerprofil an die vertrauende Seite zu übergeben. Außerdem können Organisationen ihren Benutzern mit dieser Funktion einmaliges Anmelden anbieten. Die OAuth 2.0- und OIDC-Flows sind ähnlich, verwenden jedoch etwas andere Terminologie. 

    Ein typischer OAuth 2.0-Flow umfasst die folgenden Schritte:

    1. Ein Benutzer ruft die Anwendung auf, auf die er zugreifen möchte (der Ressourcenserver).
    2. Der Ressourcenserver leitet den Benutzer an die Anwendung weiter, bei der er über ein Konto verfügt (den Client).
    3. Der Benutzer meldet sich mithilfe seiner Anmeldeinformationen für den Client an.
    4. Der Client überprüft den Zugriff des Benutzers.
    5. Der Client sendet ein Zugriffstoken an den Ressourcenserver.
    6. Der Ressourcenserver gewährt dem Benutzer Zugriff.

    Ein typischer OIDC-Flow umfasst die folgenden Schritte:

    1. Ein Benutzer ruft die Anwendung auf, auf die er zugreifen möchte (die vertrauende Seite).
    2. Der Benutzer gibt den Benutzernamen und das Kennwort ein.
    3. Die vertrauende Seite sendet eine Anforderung an den OpenID-Anbieter.
    4. Der OpenID-Anbieter überprüft die Anmeldeinformationen des Benutzers und erhält die Autorisierung.
    5. Der OpenID-Anbieter sendet ein Identitätstoken und häufig ein Zugriffstoken an die vertrauende Seite.
    6. Die vertrauende Seite sendet das Zugriffstoken an das Gerät des Benutzers.
    7. Der Benutzer erhält Zugriff basierend auf den Informationen, die im Zugriffstoken und von der vertrauenden Seite bereitgestellt werden. 

  • Der OpenID-Anbieter verwendet ID-Token, um Authentifizierungsergebnisse und alle relevanten Informationen an die Anwendung der vertrauenden Seite zu übertragen. Beispiele für den Typ der gesendeten Daten sind eine ID, eine E-Mail-Adresse und ein Name.

Microsoft Security folgen

Surface Pro Surface Laptop Surface Laptop Studio 2 Copilot für Organisationen Copilot für die private Nutzung Microsoft 365 Microsoft-Produkte erkunden Windows 11-Apps Kontoprofil Download Center Microsoft Store-Support Rückgaben Bestellnachverfolgung Abfallverwertung Weitere Informationen Microsoft Bildung Geräte für den Bildungsbereich Microsoft Teams for Education Microsoft 365 Education Office Education Ausbildung und Weiterbildung von Lehrpersonal Angebote für Studenten und Eltern Azure für Studenten
Microsoft KI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft-Entwickler Microsoft Learn Support für KI-Apps im Marketplace Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Jobs & Karriere Unternehmensnachrichten Datenschutz bei Microsoft Investoren Nachhaltigkeit
Deutsch (Österreich)
Abwahlsymbol „Ihre Datenschutzoptionen“ Ihre Datenschutzoptionen
Verbraucherdatenschutz für Gesundheitsdaten An Microsoft wenden Impressum Datenschutz Cookies verwalten Nutzungsbedingungen Markenzeichen Informationen zu unserer Werbung EU Compliance DoCs