OpenID

Uit Wikipedia, de vrije encyclopedie
Logo

OpenID is een gedecentraliseerd authenticatiemechanisme om Single Sign-on op het internet mogelijk te maken. Als iemand gebruikmaakt van OpenID hoeft die persoon voor het inloggen op een website geen gebruikersnaam en wachtwoord te onthouden. Het volstaat om met de OpenID-identiteit in te loggen. De OpenID-identiteit is feitelijk een URL. Als iemand de unieke eigenaar is van die URL, dan kan die URL als digitale identiteit worden gebruikt. OpenID is als een Identity 2.0, User Centric Identity Management ontwikkeling te zien.

Ontwikkeling[bewerken | brontekst bewerken]

OpenID is ontwikkeld door Brad Fitzpatrick van de LiveJournal-blogservice. Het leek de gemeenschap handig om binnen LiveJournal niet telkens opnieuw op de verschillende blogs aan te melden en in te loggen als de gebruiker toch al een LiveJournal-sessie was gestart. Vanuit deze ontwikkeling is de OpenID Foundation opgericht die tot doel heeft de OpenID-standaard en het intellectuele eigendom te garanderen. Inmiddels bestaan er binnen deze stichting twee boards, namelijk de Community Board (bestaande uit vooral de OpenID-initiatiefnemers) en de Corporate Board, waartoe sedert 7 februari 2008 Microsoft, Google, IBM, VeriSign en Yahoo! behoren.[1]

Op 5 december 2007 werd versie 2.0 van de OpenID-standaard gepresenteerd.[2]

Alternatieven[bewerken | brontekst bewerken]

Microsoft heeft met Windows CardSpace zelf ook een oplossing voor User centric Identity Management (Windows CardSpace zit in Windows Vista ingebouwd). Er zijn inmiddels diverse OpenID-providers die identiteiten verstrekken aan personen die zich bij de OpenID-provider met een Infocard hebben geïdentificeerd.

Diverse andere Identity 2.0-oplossingen zijn XRI, LID.

Bezwaren tegen OpenID[bewerken | brontekst bewerken]

De betrouwbaarheid van de identiteit staat of valt met de betrouwbaarheid van de OpenID-provider. Volgens diverse deskundigen zou een OpenID kwetsbaar kunnen zijn voor phishing.[3][4]

De OpenID-provider weet bij welke service provider een OpenID zich heeft aangemeld en welke claims daarbij worden overhandigd. Dit zou vanuit de optiek van privacybescherming een risico kunnen zijn.

Terminologie[bewerken | brontekst bewerken]

End user (eindgebruiker)
De persoon die zijn identiteit wil kenbaar maken aan een site.
Identifier
De URL of XRI die de eindgebruiker als OpenID-identiteit heeft gekozen.
Identity provider of OpenID-provider
Een serviceprovider die het mogelijk maakt om OpenID-URL's of -XRI's te registreren en die OpenID-authenticatie (en in de toekomst wellicht ook andere authenticatieservices) mogelijk maakt. De OpenID-specificaties gebruiken de term "OpenID provider" of "OP" waar andere specificaties Identity Provider (IP) kennen.
Relying party of service-provider
De site die de identiteit van de eindgebruiker wenst te verifiëren.
Server of server-agent
De server die op verzoek van een relying party de identiteit van de eindgebruiker verifieert. Het kan de eigen server van de eindgebruiker zijn (het oudste voorbeeld is natuurlijk de LiveJournal-blogserver), maar ook de server van een onafhankelijke OP.
User-agent
Het programma (zoals een browser) dat de eindgebruiker gebruikt om een relying party of OP te bezoeken.
Consumer
Een verouderde term voor relying party.

Het gebruik van OpenID[bewerken | brontekst bewerken]

Sites die OpenID accepteren, bieden naast aanmelden met gebruikersnaam en wachtwoord de mogelijkheid om aan te melden met OpenID. Daarvoor is een link naar de identificatiepagina op de site beschikbaar, die herkenbaar is aan het OpenID-logo. In het identificatieveld kan de gebruiker zijn OpenID-URL invoeren. De relying party zal bij de OpenID-provider de identiteit van de gebruiker verifiëren. De OpenID-provider stelt de identiteit van de gebruiker vast door de gebruiker te vragen zich te authenticeren (bijvoorbeeld door een wachtwoord op te geven).

De communicatie tussen de relying party en de OpenID-provider kan op twee manieren plaatsvinden:

  • checkid_immediate, waarbij de twee systemen op machine-niveau rechtstreeks met elkaar communiceren zonder dat het voor gebruiker zichtbaar is;
  • checkid_setup, waarbij de gebruiker rechtstreeks en binnen dezelfde browsersessie met de OpenID-provider interactie heeft om de authenticatie uit te voeren.

OpenID in Nederland[bewerken | brontekst bewerken]

Sinds februari 2007 is MijnOpenID.nl actief in Nederland. MijnOpenID was de eerste Nederlandstalige OpenID-aanbieder, opgezet door het Obdamse Internetbureau Holder. Rond juli 2007 is MijnOpenID.nl overgedragen aan de stichting OpenID Nederland. Deze stichting behartigt de belangen van OpenID in Nederland en adviseert partijen die OpenID willen implementeren. Binnen Nederland zijn er al enkele sites die OpenID toepassen.

In april 2008 opende ook LogMijIn haar deuren. Deze Nederlandstalige OpenID-aanbieder richt zich op het aanbieden van met een SSL-certificaat beveiligde OpenID-diensten. Ook wordt gewerkt aan het promoten van OpenID vanuit een community van OpenID-gebruikers.

Implementaties[bewerken | brontekst bewerken]

Steeds meer websites kunnen overweg met OpenID-authenticatie. Sinds september 2007 kunnen klanten van Orange wereldwijd voortaan ook met OpenID inloggen.

Ook worden steeds meer applicaties ontwikkeld die compatibel zijn met OpenID. Te denken valt aan Mediawiki en de CMS-systemen TYPO3, Drupal, Plone en Joomla. Voor het CMS/Blog systeem Wordpress is reeds een OpenID-plug-in beschikbaar, die als login-handler én als server kan functioneren.

Ook Firefox zal in de nabije toekomst ondersteuning gaan bieden voor OpenID en CardSpace. Internet Explorer 7 en hoger ondersteunt reeds CardSpace.

Op 16 april 2009 sloot Hyves zich ook aan bij OpenID. Hyves hoopt hiermee een einde te maken aan de onbekendheid van OpenID in Nederland. Net als Google wordt het deels aangeboden, gebruikers kunnen met hun logingegevens van Hyves inloggen bij andere diensten. Daarentegen kunnen gegevens van andere diensten nog niet gebruikt worden bij Hyves.

OpenID is compatibel met Yadis.

Zie ook[bewerken | brontekst bewerken]

Externe links[bewerken | brontekst bewerken]