Das OpenID Connect (OIDC) ist eine Authentifizierungs-Schicht auf Basis von OAuth 2.0. Es schließt eine konzeptionelle Lücke: OAuth 2.0 regelt Autorisierung — welche Anwendung darf was — sagt aber nichts darüber, wer der angemeldete Nutzer eigentlich ist. Genau diese Frage beantwortet OIDC, indem es OAuth um ein zusätzliches ID Token und standardisierte Identitäts-Endpunkte ergänzt.
OIDC ist heute der vorherrschende Standard für „Login mit …"-Funktionen im Web und auf Mobilgeräten — vom Login mit Google oder Apple bis zu konzerninternen Identity Providern.
Was OIDC zu OAuth hinzufügt
Über OAuth 2.0 hinaus bringt OIDC drei zentrale Bausteine:
- ID Token — ein JWT, das Identitätsinformationen über den Nutzer enthält (Subject, Aussteller, Ablaufzeit, Audience, optionale Profilfelder). Es ist signiert und vom Client verifizierbar.
openid-Scope — sein Vorhandensein im Authorization-Request signalisiert, dass es sich um eine OIDC-Anmeldung handelt; ohne ihn liefert der Server kein ID Token.- UserInfo-Endpoint — eine API, an der der Client mit dem Access Token weitere Profilinformationen abrufen kann, soweit der Nutzer dem zugestimmt hat.
Standard-Claims
OIDC definiert eine Reihe von Claims, die im ID Token oder am UserInfo-Endpoint erwartet werden dürfen — etwa sub, email, email_verified, name, given_name, family_name, picture, locale. Damit ist eine plattformübergreifende Anmeldung möglich, ohne dass jeder Anbieter sein eigenes Profil-Schema erfindet.
Discovery und Schlüssel
OIDC standardisiert auch die Selbstauskunft des Identity Providers:
- Discovery-Dokument unter
/.well-known/openid-configuration— listet Endpunkte, unterstützte Algorithmen, verfügbare Scopes und Claims. - JWKS-Endpoint — liefert die öffentlichen Schlüssel, mit denen Clients die Signatur der ID Tokens prüfen.
Beides erlaubt Clients, die Konfiguration eines IdP automatisch einzulesen, statt sie statisch hinterlegen zu müssen.
Empfohlene Flows
Wie bei OAuth gilt:
- Authorization Code Flow mit PKCE — der Standardweg für Web-, Mobile- und Single-Page-Anwendungen.
- Client Credentials — wenn keine Nutzerinteraktion stattfindet (reine Dienst-zu-Dienst-Aufrufe, ohne OIDC-Anmeldung).
Der frühere Implicit Flow für Single-Page-Apps gilt als überholt; aktuelle Empfehlungen setzen ausschließlich auf Authorization Code mit PKCE.
Abgrenzung zu OAuth 2.0 und SAML
Drei Verfahren sind im Sprachgebrauch nah beieinander:
- OAuth 2.0 — Autorisierung, kein Identitätsstandard.
- OIDC — Authentifizierung als Schicht über OAuth, JSON-basiert, modern.
- SAML — Authentifizierung über XML-Assertions, Klassiker im Enterprise-Umfeld.
In neuen Architekturen ist OIDC die übliche Wahl, SAML lebt vor allem in bestehenden Unternehmensportalen weiter.