Idag oprandt endelig dagen, hvor verden officielt får en ny standard for identitetshåndtering på internettet. Lanceringen skete parallelt på GSM World Congress i Barcelona og på RSA Conference i San Francisco.
Den officielle pressemeddelelse kan ses mange steder, bl.a. på bloomberg.com. Selve standarden kan ses på OpenID.net.
Det har taget 6 år og en masse erfaringer at komme videre fra OpenID2 til OpenID Connect, som den ny standard hedder. Parallelt hermed er behovet for sikker online identitetshåndtering mangedoblet, så den ny standard kommer ikke et øjeblik for tidligt. Derfor er det også lykkedes på forhånd at skabe langt bredere og stærkere support for den ny løsning end der har været for nogen af forgængerne.
Udviklingen har længe været drevet af større udbydere af emailtjenester, som f.eks. Google og Microsoft, men for nylig er der sikret opbakning fra GSM Association, der tæller ca. 800 teleoperatører. Specielt Deutsche Telekom samt de britiske teleoperatører har været aktive i denne proces. Der har desuden været et stærkt engagement fra Japan, hvor OpenID bevægelsen er mere organiseret end noget andet sted og hvor der stilles lignende krav til privatlivsbeskyttelse som i Europa.
OpenID Connect er en protokol til granulær udveksling af identitetsrelaterede attributter og som sådan ikke et alternativ til NemID som autentifikationsmekanisme. Den er derimod en mere lettilgængelig og fleksibel pendent til SAML2 protokollen, som bl.a. benyttes i det offentliges Nemlog-In, men som pga sin kompleksitet ikke har vundet indpas på kommercielle hjemmesider.
Derfor vil OpenID Connect med fordel kunne anvendes sammen med både NemID og diverse andre én-, to- eller multifaktor autentifikationsmekanismer for at øge både sikkerhed og privatlivsbeskyttelse. Samt ikke mindst for at skabe grundlag for interoperabilitet mellem forskellige løsninger – og dermed konkurrence mellem disse – både på lokalt og internationalt plan.
Flere analyser af OpenID Connect vil følge på denne blog samt mere udførligt på BedreID.dk. Der mangler stadig færdiggørelse af optionelle dele af standarden, f.eks. session management (håndtering af bl.a. Single-logout), udarbejdelse af profiler for forskellige typer anvendelser m.m. Så alle med holdninger til problematikkerne omkring identitetshåndtering kan stadig nå at bidrage på flere fronter – og det er i øvrigt helt gratis at deltage i arbejdet.
Leave a Reply