Von Ralf Keuper
Wie in id4me – Identity-Management ohne Google, Facebook, Twitter berichtet wird, wollen der Domainverwalter Denic eG, das Softwareprojekt Open-Xchange und der Hoster 1&1 ein alternatives Single-Sign-On-Verfahren auf Basis von Domains errichten. Die Datenhoheit soll dabei bei den Nutzern liegen.
Als Standardprotokoll wird OpenID – Connect (OpenID.Core) verwendet. Ziel ist es, dass die Nutzer aus einer Zahl von Identity-Providern wählen können. In dem offiziellen Draft An Architecture for a Public Identity Infrastructure Based on DNS and OpenID Connect draft-bertola-dns-openid-pidi-architecture-00 heisst es:
The following document describes an architecture for an open, global, federated Public Identity Infrastructure (PIDI), based on the Domain Name System (DNS) and on the OpenID Connect framework built over the OAuth protocol.
Anders als im OpenID Connect – Standard, bei dem Authentifizierung, Autorisierung und Datenmanagement in einer Einheit konzentriert sind, führt id4me mit der Identity Authority und dem Identity Agent zwei weitere Rollen ein:
- An identity authority is an entity responsible for the authentication and authorization functions of the PIDI identity management framework.
- An identity agent is an entity responsible for the personal information management function of the PIDI identity management framework, as well as for the management of the relationship with final users.
Die Architektur ist föderativ ausgelegt; die Nutzer können, sofern bestimmte Voraussetzungen erfüllt sind, den Identity Provider jederzeit wechseln:
As the architecture is federated, like email and other public Internet standards, multiple interoperable providers of identifiers can exist, including personal providers self-hosted by their users; all of them are intrinsically supported by any online service implementing the standard, though services, like in the email environment, may implement local policies that blacklist certain providers or identifiers, or treat them differently. Users can pick any provider and, if they control the domain name to which the identifier belongs, can move their identifier to a different provider whenever they want, simply by changing a record in the domain name’s zone.
Eine Verifizierung der Nutzer ist indes nicht vorgesehen:
The focus of this architecture is to authorize and authenticate users in the online space only, i.e. to ensure that the user of a given identifier is always the same that initially acquired that identifier at registration; the architecture does not address the issue of how to actually verify his or her true identity in the real world. Accordingly, there is no requirement for an actual real-life authentication of the users, and their identity and personal information are entirely self-declared; users may also have multiple identities (e.g. a personal one, a business one etc.), as an additional protection to their privacy.
Das schränkt das Spektrum der Einsatzmöglichkeiten ein. Eventuell könnte die Verifizierungsfunktion noch ergänzt bzw. eingebunden werden. Die Frage ist, inwieweit sich das Modell skalieren lässt und ob es nicht demnächst durch die Blockchain-Technologie bzw. Initiativen aus dem Umfeld, wie Sovrin oder Blockstack, überflüssig wird.
Von allen bislang vorgestellten Initiativen der Wirtschaft hierzulande ist id4me m.E. jedoch die fortschrittlichste.