{"id":18190,"date":"2019-07-18T20:36:05","date_gmt":"2019-07-18T18:36:05","guid":{"rendered":"https:\/\/notiz.blog\/?p=18190"},"modified":"2019-07-18T20:36:07","modified_gmt":"2019-07-18T18:36:07","slug":"id4me","status":"publish","type":"post","link":"https:\/\/notiz.blog\/2019\/07\/18\/id4me\/","title":{"rendered":"ID4me"},"content":{"rendered":"\n

Ich hatte in den letzten Monaten die M\u00f6glichkeit, mich ein bisschen<\/a> intensiver<\/a> mit ID4me<\/a> zu besch\u00e4ftigen. Nach anf\u00e4nglicher Skepsis finde ich die Idee mittlerweile extrem charmant.<\/p>\n\n\n\n

Im letzten Jahr haben sich einige deutsche Firmen zusammen geschlossen um mit netID<\/a> bzw. VERIMI<\/a> zwei konkurrierende Single-Sign-On Dienste zu entwickeln. Beide Systeme basieren zwar auf dem offenen Standard OpenID Connect<\/strong>, scheinen aber mindestens genauso restriktiv zu sein. netID wird nur von einer begrenzten Anzahl von Diensten<\/a> angeboten und VERIMI setzt einen zentralen Account bei verimi.de<\/a> voraus.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

ID4me basiert zwar auch auf OpenID Connect<\/strong>, ist aber kein „Yet Another Login-Service“, wie ich anfangs f\u00e4lschlicherweise vermutet hatte. ID4me erweitert die OpenID Spezifikation mit einer DNS-Discovery und funktioniert vollkommen dezentral.<\/p>\n\n\n\n

The ID4meidentifier, consisting of a valid DNS hostname (or, potentially, of an email address), would allow users to log into any online service via a single account, similarly to the OTT-run services, but would also allow users to choose the manager of their identifier among any number of compatible providers.<\/p>

[…]<\/p>

To foster adoption and remove barriers to market entry, ID4me builds on public and open standards (OpenID Connect and DNSSEC) and releases all its specifications as open, royalty-free standards, submitting them to the appropriate Internet standardization bodies. Entities already running single sign-on systems based on OpenID Connect should be able to extend them to provide ID4meidentifiers quite easily.<\/p>ID4me – General overview<\/a><\/cite><\/blockquote>\n\n\n\n

Wie funktioniert ID4me genau?<\/h2>\n\n\n\n

Der ID4me DNS Eintrag sieht wie folgt aus:<\/p>\n\n\n

_openid.notiz.blog. 600<\/span> IN TXT \"v=OID1;iss=id.test.denic.de;clp=identityagent.de\"<\/span><\/code><\/span>Code-Sprache:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n
Dabei steht v<\/code> f\u00fcr die Protokoll-Version, iss<\/code> f\u00fcr den Issuer<\/em> (der Endpunkt der f\u00fcr die Autentifizierung verantwortlich ist) und clp<\/code> f\u00fcr Claims Provider<\/em> (der Endpunkt \u00fcber den „Claims“ (beispielsweise Profildaten) abgefragt werden k\u00f6nnen).<\/p>\n\n\n\n
Was macht ID4me so spannend?<\/h2>\n\n\n\n
Zum selbst hosten einer OpenID, braucht man eine Domain, Webspace und eine OpenID Connect<\/strong> – Library, au\u00dferdem muss man wissen wie man diese installiert und betreibt. Um diese Komplexit\u00e4t zu reduzieren hat man sich bei OpenID 1.1 schon 2006 mit dem Thema „Delegated Authentication<\/a>“ besch\u00e4ftigt.<\/p>\n\n\n\n
If the End User’s host is not capable of running an Identity Provider, or the End User wishes to use one running on a different host, they will need to delegate their authentication. For example, if they want to use their website, http:\/\/www.example.com\/, as their Identifier, but don’t have the means, or desire, to run an Identity Provider.<\/p><\/blockquote>\n\n\n\n
Klassisch braucht OpenID Connect<\/strong> f\u00fcr die „Delegation“ mindestens ein WebFinger – Dokument<\/a>. Das hei\u00dft man braucht „nur“ noch eine Domain, Webspace und man muss wissen wie WebFinger<\/a> funktioniert.<\/p>\n\n\n\n
ID4me konzentriert sich ausschlie\u00dflich auf das Prinzip der „Delegated Authentication“ und reduziert die Anforderungen auf eine Domain!<\/strong><\/p>\n\n\n\n
Die Domain ist dadurch an keinen festen OpenID-Provider<\/strong> (Issuer<\/em>) gebunden und kann bei einem Umzug zu einem neuen Registrar, weiterhin auf den alten Issuer zeigen, bzw. den Issuer beliebig wechseln. Solange sich die Domain nicht \u00e4ndert, sind Hoster, Domain-Registrar, OpenID-Provider oder E-Mail – Anbieter austauschbar.<\/p>\n\n\n\n
Noch ein sch\u00f6ner Nebeneffekt: ID4me<\/strong> tritt nicht in Konkurrenz zu anderen OpenID Connect<\/strong> Providern wie beispielsweise die oben erw\u00e4hnten netID oder VERIMI. Im Gegenteil, jeder dieser Anbieter sollte mit wenig Aufwand \u00fcber ID4me „delegierbar“ sein.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ich hatte in den letzten Monaten die M\u00f6glichkeit, mich ein bisschen intensiver mit ID4me zu besch\u00e4ftigen. Nach anf\u00e4nglicher Skepsis finde ich die Idee mittlerweile extrem charmant. Im letzten Jahr haben sich einige deutsche Firmen zusammen geschlossen um mit netID bzw. VERIMI zwei konkurrierende Single-Sign-On Dienste zu entwickeln. Beide Systeme basieren zwar auf dem offenen Standard […]<\/p>\n","protected":false},"author":1,"featured_media":18402,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"webmentions_disabled_pings":false,"webmentions_disabled":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":4,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":""},"categories":[2],"tags":[765,5171,423,873],"class_list":{"0":"post-18190","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-web","8":"tag-discovery","9":"tag-fediblog","10":"tag-openid","11":"tag-openid-connect","12":"h-entry","13":"hentry"},"_links":{"self":[{"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/posts\/18190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/comments?post=18190"}],"version-history":[{"count":0,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/posts\/18190\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/media\/18402"}],"wp:attachment":[{"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/media?parent=18190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/categories?post=18190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/notiz.blog\/wp-api\/wp\/v2\/tags?post=18190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}