Single-Sign-ons sind seit Jahren ein immer beliebteres Verfahren für das Einloggen auf Webseiten und Shops sowie für die Registrierung von Apps und Testsoftware. Die Platzhirsche auf diesem Gebiet sind die Riesen Facebook und Google. Doch genauso klar wie die Vorteile sind die Nachteile dieser Verfahren: Bei den klassischen Social-Media-Sign-ons wie Facebook oder Google verliert der Nutzer die Kontrolle über seine Daten. Als Nutzer hat man keine Transparenz, was Facebook oder Google mit den Daten machen. Einmal eingeloggt kann praktisch das gesamte Nutzerverhalten getrackt werden. Beim Single Sign-on mit ID4me dagegen behält der Nutzer volle Datenkontrolle. Host Europe sprach darüber mit IP4me.

Interview über ID4me mit Katja Speck, General Manager von ID4me, und Marcos Sanz- Grossón, verantwortlich für R&D der DENIC eG

 

Abbildung-01-Wolf-Dieter Fiege-im-Interview-mit-ID4me-Katja-Speck-und-Marcos Sanz

Host Europe: Was ist ID4me und was unterscheidet ID4me von Social-Media-Logins wie die von Facebook oder Google?

Katja: ​ID4me ist kein Social Media Login. Ein Social-Media-Login ist ein Login mittels Nutzerauthentifizierung, die auf der Anmeldung des Users bei einer Social Media Plattform erfolgt. ID4me ist keine Social Media Plattform, daher handelt sich bei dem ID4me-Registrierungsprozess auch nicht um einen Social Media Login.

Die Initiative ID4me entstand, um ein offenes Single-Sign-on-Protokoll zu bieten, das die volle Datenkontrolle bei den Nutzern lässt und den Nutzern auch die Wahl gibt, ihren Identitätsanbieter auszuwählen oder zu wechseln.

Host Europe: Wer ist eigentlich der Urheber des Projekts ID4me?

Katja: ​Die Gründungsmitglieder des ID4me-Projekts waren die DENIC, 1&1 Internet SE und Open-Xchange.

Abbildung-ID4me-One-ID-for-everything

Host Europe: Login mittels ID4me ist DNS-basiert. Wie funktioniert das Verfahren?

Marcos: ​ID4me ist eine Open-Source-Technologie, die jeder Anbieter bei sich implementieren kann.

Bei ID4me handelt es sich um ist ein offenes, auf Standards (OpenID Connect / OAuth 2.0 und DNSSEC) basierendes Framework für digitales Identitätsmanagement. Alle  Versionen und die entsprechenden Spezifikationen sind offen und kostenfrei, Code wird als Open Source zur Verfügung gestellt. Dadurch werden Markteintrittsbarrieren vermieden, denn eine Vielzahl der gängigen Single- Sign-Ons basieren heute bereits auf OpenID Connect. Der Login-Workflow ist komplett OpenID Connect-konform und zweistufig angelegt.Das macht es für Unternehmen und Organisationen einfach, ID4me zu nutzen.

Wie wir bereits oben schon erwähnt haben, kann man seinen Anbieter jederzeit wechseln. Um herauszufinden, bei welchem Anbieter der User gerade ist, wird DNS eingesetzt.

Host Europe: Für ID4me benötigt man einen Provider, bei dem die Daten des Nutzers gespeichert sind und den der Nutzer autorisieren kann, bestimmte Daten (das Single Set of Credentials) für den ID4me-Login-Prozess freizugeben. Ihr nennt diesen Provider „Identity Agent“. Was ist ein Identity Agent und wie kann man zu einem Identity Agent werden? 

Marcos: Ein Identity Agent verwaltet die Daten des ID4me Users. Der Nutzer kann seinen Identitätsprovider („Identity Agent“) frei wählen. Das kann beispielsweise ein Registrar, eine TelKo oder ein Portal seines Vertrauens sein. Die Identity Authority nutzt einen Domain-Namen wie z. B. id4me.org als Identifier bzw. Credential. Die Identifizierung findet über das DNS (DNSSEC) statt. DNS steht für Domain Name System. Es handelt sich um einen globalen Standard, der den Namensraum des Internets verwaltet und weltweit bewiesen hat, dass er skaliert.

Abbildung_-_Der-Login-Prozess-mit-ID4me

Das DNS ermöglicht das transparente Auffinden des Identity Agents, der die Nutzerdaten verwaltet, durch einen speziellen DNS Eintrag. Diese Funktionalität wird „Discovery Funktion“ genannt. Dadurch ist einsehbar, wer für die Verwaltung der ID4me-User-Daten verantwortlich ist. Diese transparente Auffindbarkeit wiederum ermöglicht die Portabilität der digitalen ID4me-Identität. Dadurch hat jeder User die freie Wahl des Identity Agents. Er kann seinen Identity Agents auch jederzeit wechseln. Das ist einzigartig!

Social-Media-Logins dagegen bieten beispielsweise keine Discovery-Funktionalität. Wenn ein User Facebook nicht mehr nutzen möchte, ist es ihm nicht möglich, seinen Facebook-Login zu einem anderen Anbieter umzuziehen.

Host Europe: Der Login-Prozess mit ID4me ist zweistufig angelegt. Was sind die Basis- oder Standardinformationen, die für den Login hinterlegt sein müssen?

Marcos: ID4me sieht eine Trennung von Authentifizierung, wenn man so will, dem Passwortcheck, und dem Datenmanagement des Users vor. Im OpenID-Connect-Standard, auf dem ID4me wie viele andere Single Sign-Ons basieren, ist die Trennung zwischen Authentifizierung und Nutzerdaten zwar vorgesehen (dort genannt Identity Provider gegenüber Claims Provider), sie wird, soweit wir wissen, bisher aber einzig von ID4me genutzt.

Ein User benötigt ein Passwort und einen sogenannten Hostnamen als Identifier. Das kann eine eigene Domain sein oder eine Subdomain eines Anbieters sein, z.B. die eines Familienmitglieds. Der ID4me-User muss gar keine persönlichen Daten hinterlegen, wenn er das nicht möchte. Er kann es, muss es aber nicht.

Um diese sicherheitsrelevante Gewaltenteilung zu gewährleisten, sind im ID4me-Standard zwei Rollen vorgesehen: die der Identity Authority und die des Identity Agents. Die Identity Authority ist für die Authentifizierung verantwortlich. Die Daten werden jedoch beim sogenannten Identity Agent verwaltet.

Host Europe: Auf welchem Weg erfolgt die Übermittlung der Login-Informationen? Wie ist die Verbindung geschützt?

Katja: Bei ID4me werden Login-Informationen nur an die Identity Authority übermittelt. Den Portalen wird lediglich eine Bestätigung von der Authority geschickt, dass es sich um den richtigen User handelt. Bei keinem der Portale, bei denen sich ein User mit ID4me einloggt, werden also direkt Login-Informationen übertragen. Was übermittelt wird, sind die Daten, die der User preisgeben möchte, das kann zum Beispiel eine Lieferanschrift sein.

Abbildung-02-Wolf-Dieter Fiege-im-Interview-mit-ID4me-Katja-Speck-und-Marcos Sanz

Host Europe: Bei bestimmten Logins wie zum Beispiel bei der Anmeldung bei einem Online-Shop oder bei einem Jobportal können unter Umständen zusätzliche Informationen abgefragt werden. Ich denke da beispielsweise an Kundennummern etc. Müssen diese ebenfalls beim Identity Agent hinterlegt werden oder wo werden solche Daten abgespeichert. Wird auf Basis der ID4me Login-Daten zusätzlich ein Benutzer-Profil auf der entsprechenden Webseite angelegt?

Marcos: Das kann wie bisher auch beim Portal hinterlegt werden. Um den Login zu nutzen, müssen nicht alle Informationen die der Portalanbieter benötigt, z.B. die Kundennummer hinterlegt sein. Diese Informationen werden – wie sonst auch – direkt beim Portalanbieter abgefragt. ID4me bietet aber die Möglichkeit, beliebig viele zusätzliche Attribute abzufragen, wie z.B. Kleidergrößen, etc. Aus Usersicht macht es meiner Meinung nach jedoch nur Sinn, solche Attribute zu hinterlegen, die auch für mehrere Portale genutzt werden können. Mitgliedsnummer sind in der Regel portalspezifische Daten.

Es steht den Portalen frei, Benutzer-Profile anzulegen, die mit ID4me verknüpft sind, um portalspezifische Informationen (z.B. eine Einkaufshistorie) abzulegen.

Host Europe: Hat der Identity Agent Zugriff auf meine Daten? Auf alle oder nur auf Teile?

Katja: Der Identity Agent hat Zugriff auf alle Daten, die ich dort hinterlegen möchte. Der User kann sich allerdings seinen Identity Agent aussuchen. Der User wird deshalb den Anbieter wählen, dem er vertraut. Das kann z. B. ein Hosting-Unternehmen wie Host Europe sein, bei dem der User seine Domain und seine Webseite hat (und somit bereits vertraut), oder, oder … Das entscheidet allein der User. Genauso wie er seine Domain umziehen kann,  kann er auch seinen Anbieter (Identity Agent) jederzeit wechseln. Das ist der Charme des ID4me-Standards.

Abbildung-03-Wolf-Dieter Fiege-im-Interview-mit-ID4me-Katja-Speck-und-Marcos Sanz

Host Europe: Wie kann der User sein Profil verwalten?

Katja: Sein Identity Agent wird ihm wahrscheinlich ein Dashboard dafür anbieten, das mehr oder weniger attraktiv sein kann. So können sich Identity Agents differenzieren und in Konkurrenz zueinander treten, was nicht notwendigerweise etwas Schlechtes ist.

Host Europe: Bei ID4me kann man mit seinen Daten umziehen. Wie funktioniert das?

Marcos: Die Identifizierung findet über das DNS (DNSSEC) statt. DNS steht für Domain Name System. Es handelt sich um einen globalen Standard, der den Namensraum des Internets verwaltet und weltweit bewiesen hat, dass er skaliert. Das DNS ermöglicht das transparente Auffinden der Authority und des Agents, der die Nutzerdaten verwaltet, durch einen speziellen DNS Eintrag. Diese Funktionalität wird „Discovery Funktion“ genannt. Dadurch ist einsehbar, wer für die Verwaltung der ID4me-User-Daten verantwortlich ist.

Diese transparente Auffindbarkeit wiederum ermöglicht die Portabilität der digitalen ID4me-Identität. Dadurch hat jeder User die freie Wahl seines Identity Agents und kann diesen auch jederzeit wechseln. Das ist einzigartig. Social-Media-Logins bieten beispielsweise keine Discovery-Funktionalität. Wenn ein User Facebook nicht mehr nutzen möchte, ist es ihm nicht möglich, seinen Facebook-Login zu einem anderen Anbieter umzuziehen.

 

Host Europe: Wie kann man z.B. als Shopbetreiber oder App-Entwickler den ID4me Login implementieren?

Marcos: Der Code und die Dokumentation der aktuellsten ID4me-Version sind auf Gitlab.com verfügbar. Zum Gitlab Repository

Weitere Informationen finden Sie im Bereich Documents & Sandbox auf der Webseite von id4me.org

 

Host Europe: Wie steht es um die Sicherheit der Login-Informationen? Unter Umständen werden Login-Informationen in Registry oder Config-Dateien gespeichert. Oder ist das bei ID4me ausgeschlossen?

Marcos: Die Credentials des Users (wie z.B. das Passwort) liegen bei der Identity Authority und nur dort, und zwar so verschlüsselt, dass die Identity Agents das Passwort nicht wieder gewinnen könnte, auch wenn sie es möchte. Im Fachjargon nennen wir das eine „One-Way-Hash-Function“. Wir unterstützen auch andere Credentials, wie z.B. ein optionales 2FA, eine Zweitfaktor- Authentifizierung.

Host Europe: Für wann ist der Launch von ID4me geplant? Ab wann kann man ID4me nutzen?

Katja: Der Launch von ID4me ist für Ende Q1/2019 geplant.

 

Vielen Dank für das Gespräch.

Abbildung-04-Wolf-Dieter Fiege-im-Interview-mit-ID4me-Katja-Speck-und-Marcos Sanz

Wolf-Dieter Fiege

Wolf-Dieter Fiege ist Senior Specialist für Content Marketing & SEO und Chefredakteur des Blogs der Host Europe GmbH, einem der größten Anbieter von Domain- und Webhosting sowie Serverprodukten in Europa.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Die von Ihnen hier erhobenen Daten werden von der Host Europe GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.hosteurope.de/AGB/Datenschutzerklaerung/