Trace Id is missing
Overslaan naar hoofdinhoud
Microsoft Beveiliging

Wat is OIDC?

Meer informatie over OIDC (OpenID Connect), een verificatieprotocol waarmee gebruikersidentiteiten worden geverifieerd wanneer ze zich aanmelden voor toegang tot digitale resources.

OpenID Connect (OIDC) gedefinieerd

OpenID Connect (OIDC) is een identiteitsverificatieprotocol dat een uitbreiding is van open autorisatie (OAuth) 2.0 om het proces voor verificatie en autorisatie van gebruikers te standaardiseren wanneer ze zich aanmelden voor toegang tot digitale services. OIDC biedt verificatie, dit betekent het controleren dat gebruikers zijn wie ze zeggen dat ze zijn. OAuth 2.0 autoriseert tot welke systemen deze gebruikers toegang hebben. OAuth 2.0 wordt doorgaans gebruikt om twee niet-gerelateerde toepassingen informatie te laten delen zonder gebruikersgegevens te compromitteren. Veel mensen gebruiken bijvoorbeeld hun e-mail- of sociale media-accounts om zich aan te melden bij een site van derden in plaats van een nieuwe gebruikersnaam en wachtwoord te maken. OIDC biedt ook eenmalige aanmelding. Organisaties kunnen een IAM-systeem (Secure Identity and Access Management) gebruiken zoals Microsoft Entra ID (voorheen Azure Active Directory) als primaire verificateur van identiteiten en vervolgens OIDC gebruiken om die verificatie door te geven aan andere apps. Op deze manier hoeven gebruikers zich slechts één keer aan te melden met één gebruikersnaam en wachtwoord om toegang te krijgen tot meerdere apps.

 

 

Belangrijkste onderdelen van OIDC

Er zijn zes primaire onderdelen in OIDC:

  • Verificatie is het proces om de identiteit van de gebruiker te controleren.

  • Een client is de software, zoals een website of toepassing, die tokens aanvraagt voor de verificatie van een gebruiker of om toegang te krijgen tot een resource.

  • Relying parties zijn de toepassingen die gebruikmaken van OpenID-providers om gebruikers te verifiëren.  

  • Identiteitstokens bevatten identiteitsgegevens, waaronder het resultaat van het verificatieproces, een gebruikers-ID en informatie over hoe en wanneer de gebruiker wordt geverifieerd. 

  • OpenID-providers zijn de toepassingen waarvoor een gebruiker al een account heeft. Hun rol in OIDC is om de gebruiker te verifiëren en die informatie door te geven aan de relying party.

  • Gebruikers zijn personen of services die toegang willen tot een toepassing zonder een nieuw account te maken of een gebruikersnaam en wachtwoord op te geven. 

 

Zo werkt OIDC-verificatie

OIDC-verificatie werkt door gebruikers toe te staan zich aan te melden bij de ene toepassing en toegang te krijgen tot een andere toepassing. Als een gebruiker bijvoorbeeld een account op een nieuwssite wil maken, kunnen ze facebook gebruiken en een account aanmaken in plaats van een nieuw account te creëren. Als ze Facebook kiezen, gebruiken ze OIDC-verificatie. Facebook, ook wel de OpenID-provider genoemd, handhaaft het verificatieproces en verkrijgt de toestemming van de gebruiker om specifieke informatie, zoals een gebruikersprofiel, te verstrekken aan de nieuwssite, die de relying party is. 

ID-tokens 

De OpenID-provider gebruikt ID-tokens om verificatieresultaten en relevante informatie naar de relying party te verzenden. Voorbeelden van het soort gegevens dat wordt verzonden zijn een ID, e-mailadres en naam.

Scopes

Scopes definiëren wat een gebruiker met de toegang kan doen. OIDC biedt standaard-scopes, waarmee zaken worden gedefinieerd zoals de relying party waarvoor het token is gegenereerd, wanneer het token is gegenereerd, wanneer het token verloopt en de versleutelingssterkte die wordt gebruikt om de gebruiker te verifiëren. 

Een typisch OIDC-verificatieproces omvat de volgende stappen:

  1. Een gebruiker gaat naar de toepassing die ze willen openen (de relying party).
  2. De gebruiker voert de gebruikersnaam en het wachtwoord in.
  3. De relying party stuurt een verzoek naar de OpenID-provider.
  4. De OpenID-provider valideert de gebruikersgegevens en verkrijgt autorisatie.
  5. De OpenID-provider stuurt een identiteitstoken en vaak een toegangstoken naar de relying party.
  6. De relying party stuurt het toegangstoken naar het apparaat van de gebruiker.
  7. De gebruiker krijgt toegang op basis van de informatie in het toegangstoken en de relying party. 

Wat zijn OIDC-stromen?

OIDC-stromen definiëren hoe tokens worden aangevraagd door en geleverd aan de relying party. Een paar voorbeelden:

  • OIDC-autorisatiestromen: De OpenID-provider stuurt een unieke code naar de relying party. De relying party stuurt de unieke code vervolgens terug naar de OpenID-provider in ruil voor het token. Deze methode wordt gebruikt zodat de OpenID-provider de relying party kan verifiëren voordat het token wordt verzonden. De browser kan het token in deze methode niet zien, waardoor het veilig blijft.

  • OIDC-autorisatiestromen met PKCE-extensie: Deze stroom is hetzelfde als de OIDC-autorisatiestroom, behalve dat deze een openbare sleutel voor de PKCE-extensie (Code Exchange) gebruikt om communicatie als een hash te verzenden. Dit vermindert de kans dat het token wordt onderschept.

  • Clientreferenties: Deze stroom biedt toegang tot web-API's met behulp van de identiteit van de toepassing zelf. Het wordt meestal gebruikt voor server-naar-server-communicatie en geautomatiseerde scripts waarvoor geen gebruikersinteractie is vereist.

  • Apparaatcode: Met deze stroom kunnen gebruikers zich aanmelden en toegang krijgen tot webgebaseerde API's op apparaten met internetverbinding die geen browsers hebben of een slechte toetsenbordervaring, zoals een smart tv. 

Aanvullende stromen, zoals de impliciete OIDC-stroom, die is ontworpen voor browsergebaseerde toepassingen, worden niet aanbevolen omdat ze een beveiligingsrisico vormen.

OIDC versus OAuth 2.0

OIDC is voortgebouwd op OAuth 2.0 om verificatie toe te voegen. Het OAuth 2.0-protocol is eerst ontwikkeld en vervolgens is OIDC toegevoegd om de mogelijkheden ervan te verbeteren. Het verschil tussen de twee is dat OAuth 2.0 autorisatie biedt, terwijl OIDC verificatie biedt. Met OAuth 2.0 kunnen gebruikers toegang krijgen tot een relying party door hun account met een OpenID-provider te gebruiken. OIDC maakt het mogelijk voor de OpenID-provider om een gebruikersprofiel door te geven aan de relying party. OIDC stelt organisaties ook in staat om hun gebruikers eenmalige aanmelding te bieden.

 

 

De voordelen van OIDC-verificatie

Door het aantal accounts te verminderen dat gebruikers nodig hebben om toegang te krijgen tot apps, biedt OIDC verschillende voordelen voor zowel individuen als organisaties:

  • Vermindert het risico op gestolen wachtwoorden

    Wanneer er meerdere wachtwoorden nodig zijn om toegang te krijgen tot de benodigde apps voor het werk en het privéleven, kiezen mensen vaak gemakkelijk te onthouden wachtwoorden, zoals Password1234!, die ze vervolgens voor verschillende accounts gebruiken. Dit verhoogt het risico dat een kwaadwillende een wachtwoord raadt. En zodra deze het wachtwoord voor één account heeft onthuld, hebben ze mogelijk ook toegang tot andere accounts. Door het aantal wachtwoorden te verminderen dat iemand moet onthouden, neemt de kans toe dat ze een sterker, veiliger wachtwoord gebruiken.

  • Verbetert de besturingselementen voor beveiliging

    Door verificatie in één app te centraliseren, kunnen organisaties ook de toegang tot verschillende apps beveiligen met sterk toegangsbeheer. OIDC-ondersteuning twee-factor- en multi-factor-authenticatie, waarbij mensen hun identiteit moeten verifiëren met ten minste twee van de volgende opties:

    • Iets dat de gebruiker weet, meestal een wachtwoord.

    • Iets dat de gebruiker heeft, zoals een vertrouwd apparaat of token dat niet gemakkelijk te dupliceren is. 

    • Iets van de gebruiker zelf, zoals een vingerafdruk of een gezichtsscan.

    Multi-factor-authenticatie is een bewezen methode voor het verminderen van inbreuk op accounts. Organisaties kunnen ook OIDC gebruiken om andere beveiligingsmaatregelen toe te passen in meerdere apps, zoals Privileged Access Management, wachtwoordbeveiliging, aanmeldingsbeveiligingof identiteitsbeveiliging. 

  • Vereenvoudigd de gebruikerservaring

    De aanmelding bij meerdere accounts tijdens de dag kan tijdrovend en frustrerend zijn voor mensen. Bovendien kan het herstellen van een wachtwoord als deze is kwijtgeraakt of vergeten de productiviteit verder verstoren. Bedrijven die OIDC gebruiken en hun werknemers eenmalige aanmelding bieden, zorgen ervoor dat hun werknemers meer tijd besteden aan productief werk in plaats van het verkrijgen van toegang tot apps. Organisaties maken het ook waarschijnlijker dat klanten zich registreren voor hun services en deze gebruiken als ze toestaan dat klanten hun Microsoft-, Facebook- of Google-account kunnen gebruiken om zich aan te melden. 

  • Standaardiseert verificatie

    De OpenID Foundation met bekende merken, zoals Microsoft en Google, heeft OIDC gebouwd. Het is ontworpen om interoperabel te zijn en ondersteunt veel platforms en bibliotheken, waaronder iOS, Android, Microsoft Windows en de belangrijkste cloud- en identiteitsproviders.

  • Stroomlijnt identiteitsbeheer

    Organisaties die OIDC gebruiken om hun werknemers en partners eenmalige aanmelding te bieden, kunnen het aantal identiteitsbeheeroplossingen verminderen die ze moeten beheren. Dit maakt het eenvoudiger om wijzigingen in machtigingen bij te houden en het stelt beheerders in staat om via slechts één interface het toegangsbeleid en regels toe te passen op meerdere apps. Bedrijven die OIDC gebruiken om gebruikers toe te staan zich aan te melden bij hun apps met behulp van een OpenID-provider, verminderen het aantal identiteiten dat ze moeten beheren. 

OIDC-voorbeelden en use cases

Veel organisaties gebruiken OIDC om veilige verificatie mogelijk te maken in web- en mobiele apps. Hier zijn een paar voorbeelden:

  • Wanneer een gebruiker zich aanmeldt voor een Spotify-account, krijgt deze drie opties: Registreren met Facebook, met Google of met je e-mailadres. Gebruikers die ervoor kiezen om zich aan te melden met Facebook of Google gebruiken OIDC om een account te maken. Ze worden omgeleid naar de OpenID-provider die ze hebben geselecteerd (Google of Facebook) en zodra ze zich hebben aangemeld, stuurt de OpenID-provider basis profielgegevens naar Spotify. De gebruiker hoeft geen nieuw account voor Spotify aan te maken en hun wachtwoorden blijven beveiligd.

  • LinkedIn biedt gebruikers ook een manier om een account te maken met gebruik van hun Google-account in plaats van een afzonderlijk account voor LinkedIn te maken. 

  • Een bedrijf wil eenmalige aanmelding bieden aan werknemers die toegang nodig hebben tot Microsoft Office 365, Salesforce, Box en Workday voor hun werk. In plaats van werknemers te verplichten een afzonderlijk account aan te maken voor elk van deze apps, gebruikt het bedrijf OIDC om toegang te bieden tot alle vier. Werknemers maken één account aan en telkens wanneer ze zich aanmelden, krijgen ze toegang tot alle apps die ze nodig hebben voor hun werk.  

OIDC implementeren voor veilige verificatie

OIDC biedt een verificatieprotocol om aanmeldingservaringen voor gebruikers te vereenvoudigen en de beveiliging te verbeteren. Het is een geweldige oplossing voor bedrijven die klanten willen aanmoedigen om zich aan te melden voor hun services zonder het gedoe van het beheren van accounts. Het stelt organisaties ook in staat om hun werknemers en andere gebruikers eenmalige aanmelding bij meerdere apps te bieden. Organisaties kunnen identiteits- en toegangsoplossingen gebruiken die ondersteuning bieden voor OIDC, zoals Microsoft Entra, om al hun identiteiten en het beveiligingsbeleid voor verificatie op één plek te beheren.

   

 

Meer informatie over Microsoft Beveiliging

Veelgestelde vragen

  • OIDC is een identiteitsverificatieprotocol die werkt met OAuth 2.0 om het proces voor verificatie en autorisatie van gebruikers te standaardiseren wanneer ze zich aanmelden voor toegang tot digitale services. OIDC biedt verificatie, dit betekent het controleren dat gebruikers zijn wie ze zeggen dat ze zijn. OAuth 2.0 autoriseert tot welke systemen deze gebruikers toegang hebben. OIDC en OAuth 2.0 worden doorgaans gebruikt om twee niet-gerelateerde toepassingen informatie te laten delen zonder gebruikersgegevens te compromitteren. 

  • Zowel OIDC als Security Assertion Markup Language (SAML) zijn identiteitsverificatieprotocollen waarmee gebruikers met gebruik van eenmalige aanmelding veilig toegang krijgen tot meerdere toepassingen. SAML is een ouder protocol dat veel is gebruikt voor eenmalige aanmelding. Het verzendt gegevens in XML-indeling. OIDC is een nieuwere protocol dat gebruikmaakt van de JSON-indeling om gebruikersgegevens te verzenden. OIDC wordt steeds populairder omdat het gemakkelijker te implementeren is dan SAML en beter werkt met mobiele toepassingen.

  • OIDC staat voor OpenID Connect-protocol, een identiteitsverificatieprotocol dat wordt gebruikt om twee niet-gerelateerde toepassingen profielgegevens van gebruikers te laten delen zonder gebruikersreferenties te compromitteren.

  • OIDC is voortgebouwd op OAuth 2.0 om verificatie toe te voegen. Het OAuth 2.0-protocol is eerst ontwikkeld en vervolgens is OIDC toegevoegd om de mogelijkheden ervan te verbeteren. Het verschil tussen de twee is dat OAuth 2.0 autorisatie biedt, terwijl OIDC verificatie biedt. Met OAuth 2.0 kunnen gebruikers toegang krijgen tot een relying party door hun account met een OpenID-provider te gebruiken. OIDC maakt het mogelijk voor de OpenID-provider om een gebruikersprofiel door te geven aan de relying party. Deze functionaliteit stelt organisaties ook in staat om hun gebruikers eenmalige aanmelding te bieden. De OAuth 2.0- en OIDC-stromen zijn vergelijkbaar, behalve dat ze enigszins andere terminologie gebruiken. 

    Een typische OAuth 2.0-stroom bevat de volgende stappen:

    1. Een gebruiker gaat naar de toepassing die ze willen openen (de resourceserver).
    2. De resourceserver brengt de gebruiker naar de toepassing waar deze een account (de client) heeft.
    3. De gebruiker meldt zich aan met de referenties voor de client.
    4. De client valideert de toegang van de gebruiker.
    5. De client stuurt een toegangstoken naar de resourceserver.
    6. De resourceserver verleent de gebruiker toegang.

    Een typische OIDC-stroom bevat de volgende stappen:

    1. Een gebruiker gaat naar de toepassing die ze willen openen (de relying party).
    2. De gebruiker voert de gebruikersnaam en het wachtwoord in.
    3. De relying party stuurt een verzoek naar de OpenID-provider.
    4. De OpenID-provider valideert de gebruikersgegevens en verkrijgt autorisatie.
    5. De OpenID-provider stuurt een identiteitstoken en vaak een toegangstoken naar de relying party.
    6. De relying party stuurt het toegangstoken naar het apparaat van de gebruiker.
    7. De gebruiker krijgt toegang op basis van de informatie in het toegangstoken en de relying party. 

  • De OpenID-provider gebruikt ID-tokens om verificatieresultaten en relevante informatie naar de toepassing van de relying party te verzenden. Voorbeelden van het soort gegevens dat wordt verzonden zijn een ID, e-mailadres en naam.

Volg Microsoft 365