Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 25. März 2026

OpenID Connect & Dynamische Zustimmung: Eine Detaillierte Betrachtung (DE)

Entdecken Sie OpenID Connect (OIDC), FAPI und Dynamische Zustimmung – entscheidend für modernes Identitätsmanagement und Datenschutz. Erfahren Sie, wie diese Technologien Sicherheit und Benutzerkontrolle verbessern.

Von DiditAktualisiert
openid-connect-dynamic-consent-fapi.png

OpenID Connect & Dynamische Zustimmung: Eine Detaillierte Betrachtung

In der heutigen digitalen Landschaft ist die Sicherung von Benutzeridentitäten und der Schutz sensibler Daten von größter Bedeutung. OpenID Connect (OIDC) hat sich als Eckpfeiler des modernen Identitäts- und Zugriffsmanagements (IAM) etabliert, das auf dem OAuth 2.0-Autorisierungsrahmen basiert. Doch die bloße Implementierung von OIDC ist nicht ausreichend. Um Benutzer wirklich zu befähigen und strenge Datenschutzbestimmungen wie die DSGVO zu erfüllen, ist es wichtig, FAPI (Financial-grade API) und Dynamische Zustimmung zu verstehen und zu nutzen. Dieser Artikel bietet einen umfassenden Überblick über diese Technologien, ihre Funktionsweise und ihren Beitrag zu einem sichereren und benutzerzentrierteren Web.

Wichtige Erkenntnis 1OpenID Connect bietet eine standardisierte Möglichkeit, die Benutzeridentität zu überprüfen und grundlegende Profilinformationen zu erhalten.

Wichtige Erkenntnis 2FAPI erhöht die OIDC-Sicherheit, insbesondere für Finanzanwendungen, mit strengeren Anforderungen und fortschrittlichem Schutz vor Bedrohungen.

Wichtige Erkenntnis 3Dynamische Zustimmung gibt den Benutzern die Kontrolle über ihre Daten und ermöglicht die detaillierte Vergabe von Berechtigungen und das fortlaufende Einwilligungsmanagement.

Wichtige Erkenntnis 4Die Implementierung dieser Technologien zusammen gewährleistet ein robustes, sicheres und datenschutzkonformes Identitäts- und Zugriffsmanagementsystem.

OpenID Connect (OIDC) verstehen

OpenID Connect (OIDC) ist eine Identitätsschicht, die auf OAuth 2.0 aufbaut. OAuth 2.0 ist in erster Linie ein Autorisierungsrahmen – er ermöglicht Anwendungen den Zugriff auf Ressourcen im Namen eines Benutzers, ohne dessen Anmeldeinformationen zu benötigen. OIDC erweitert diese Funktionalität durch das Hinzufügen einer Identitätsschicht, die es Anwendungen ermöglicht, die Identität des Benutzers zu überprüfen und grundlegende Profilinformationen zu erhalten. Dies wird durch einen standardisierten Satz von Endpunkten und Datenformaten erreicht, insbesondere den /userinfo-Endpunkt, der Ansprüche (Informationen) über den authentifizierten Benutzer zurückgibt.

Der Kernablauf beinhaltet die Authentifizierung eines Benutzers bei einem OpenID Provider (OP), z. B. Google, Facebook oder einem benutzerdefinierten Identitätsserver. Nach erfolgreicher Authentifizierung gibt der OP ein ID-Token aus – ein JSON Web Token (JWT), das Ansprüche über den Benutzer enthält. Die Relying Party (RP), die Anwendung, die Zugriff anfordert, überprüft die Signatur und die Ansprüche des ID-Tokens, um die Identität des Benutzers zu bestätigen. Ein typischer OIDC-Ablauf umfasst Redirect URIs, Client-Registrierung, Scopes, die angeforderte Ansprüche definieren, und Nonce-Werte zur Verhinderung von Replay-Angriffen.

Die Notwendigkeit von FAPI: Erhöhung der Sicherheit

Obwohl OIDC eine solide Grundlage bietet, wurde es ursprünglich nicht mit den strengen Sicherheitsanforderungen der Finanzbranche entwickelt. Hier kommt die Financial-grade API (FAPI) ins Spiel. FAPI ist ein Sicherheitsprofil, das auf OAuth 2.0 und OIDC aufbaut und speziell für hochsichere Anwendungsfälle wie Bankwesen und Zahlungen entwickelt wurde. Es führt mehrere wichtige Verbesserungen ein, darunter:

  • Mutual TLS (mTLS): Erfordert, dass sowohl RP als auch OP sich gegenseitig mithilfe von TLS-Zertifikaten authentifizieren, um Man-in-the-Middle-Angriffe zu verhindern.
  • Proof Key for Code Exchange (PKCE): Verhindert das Abfangen von Autorisierungscodes, insbesondere bei der Verwendung öffentlicher Clients (z. B. mobile Apps).
  • Dynamische Client-Registrierung: Ermöglicht Clients die dynamische Registrierung beim OP für erhöhte Automatisierung und Sicherheit.
  • Par Request Object (PAR): Ermöglicht dem RP die Angabe der erforderlichen Ansprüche in einem strukturierten Format, wodurch Transparenz gefördert und die Datenexposition minimiert wird.

FAPI-Profile sind nach Sicherheitsstufen kategorisiert (z. B. FAPI1, FAPI2, FAPI2 Baseline), wobei höhere Stufen strengere Sicherheitsmaßnahmen erfordern. Die Einführung von FAPI demonstriert ein Engagement für ein hohes Sicherheitsniveau und wird oft für Finanzinstitute zur Notwendigkeit.

Dynamische Zustimmung: Benutzer in die Kontrolle bringen

Selbst mit OIDC und FAPI fehlt es den Benutzern oft an einer detaillierten Kontrolle über ihre Daten und deren Weitergabe. Dynamische Zustimmung behebt dies, indem sie den Benutzern die aktive Verwaltung ihrer Zustimmung zum Datenzugriff ermöglicht. Sie ermöglicht es Benutzern:

  • Zustimmung für bestimmte Datenattribute erteilen: Anstatt einen breiten Zugriff zu gewähren, können Benutzer auswählen, welche Datenpunkte eine Anwendung zugreifen kann (z. B. E-Mail-Adresse, Telefonnummer, Transaktionsverlauf).
  • Ablaufzeiten für die Zustimmung festlegen: Benutzer können angeben, wie lange eine Anwendung berechtigt ist, auf ihre Daten zuzugreifen.
  • Zustimmung jederzeit widerrufen: Benutzer haben die Möglichkeit, ihre Zustimmung zurückzuziehen und die Datenweitergabe sofort zu stoppen.
  • Benachrichtigungen über Datenzugriffe erhalten: Benutzer können benachrichtigt werden, wenn eine Anwendung auf ihre Daten zugreift.

Dynamische Zustimmung wird oft mithilfe der User Managed Access (UMA)-Spezifikation implementiert, die Protokolle für das Einwilligungsmanagement und die Richtliniendurchsetzung definiert. Sie steht im Einklang mit den Prinzipien von Privacy by Design und hilft Organisationen, die Anforderungen der Datenschutzbestimmungen wie der DSGVO zu erfüllen.

Wie Didit hilft

Didit bietet eine umfassende Identitätsplattform, die OpenID Connect, FAPI und Dynamische Zustimmung nahtlos integriert. Wir bieten:

  • Vorgefertigte OIDC- und FAPI-Integrationen: Vereinfachen Sie den Implementierungsprozess und reduzieren Sie die Entwicklungszeit.
  • Dynamisches Einwilligungsmanagement: Befähigen Sie Benutzer mit detaillierter Kontrolle über ihre Daten.
  • Sichere Identitätsüberprüfung: Überprüfen Sie Benutzeridentitäten mit Multi-Faktor-Authentifizierung und Liveness-Erkennung.
  • Betrugsprävention: Erkennen und verhindern Sie betrügerische Aktivitäten mit Echtzeit-Risikobewertung.
  • Compliance-Tools: Helfen Sie Organisationen, regulatorische Anforderungen wie die DSGVO und PSD2 zu erfüllen.

Die modulare Architektur von Didit ermöglicht es Ihnen, die benötigten Funktionen auszuwählen und Ihre Identitätslösung mit dem Wachstum Ihres Unternehmens zu skalieren. Unsere Plattform bewältigt die Komplexität dieser Standards, sodass Sie sich auf die Bereitstellung eines großartigen Benutzererlebnisses konzentrieren können.

Bereit zum Starten?

Die Implementierung von OpenID Connect, FAPI und Dynamischer Zustimmung ist entscheidend für den Aufbau sicherer und datenschutzkonformer Anwendungen. Entdecken Sie die Didit Business Console, um zu erfahren, wie unsere Plattform Ihnen helfen kann, Ihre Identitäts- und Zugriffsmanagementprozesse zu rationalisieren. Sehen Sie sich unsere technische Dokumentation an, um zu erfahren, wie einfach es ist, Didit in Ihre bestehenden Systeme zu integrieren. Fordern Sie noch heute eine Demo an!

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
OpenID Connect & Dynamische Zustimmung: Erläutert.