Möchte man OpenID mit etwas aus dem realen Leben vergleichen fällt mir spontan das Geldabheben mit einer Kredit- oder EC-Karte ein, womit ich bei jedem erdenklichen Geldautomaten mit immer den gleichen Zugangsdaten auf mein Konto und damit auf mein Geld zugreifen kann.

Es wäre ziemlich dämlich, wenn ich für jeden Geldautomaten dieser Erde eine extra Kreditkarte mit einem Benutzernamen und einer PIN bekommen würde. Dies würde ziemlich schnell ziemlich unpraktikabel, denn spontan wäre hier gar nichts mit Geld abheben und ich müßte mir verdammt viele PINs merken, damit ich nicht an jedem Ort ausserhalb meines Zuhauses völlig mittellos dastehe. Um sowas zu umgehen, bekomme ich von meinem Bank- oder Kreditkarteninstitut eine Karte mit einer PIN, also quasi eine Identität, die es mir ermöglicht, mich an so gut wie jedem Geldautomaten als IchSelbst auszuweisen und an mein Geld zu kommen.

Während dies im realen Leben wunderbar funktioniert scheint dies im virtuellen Internetleben noch nicht ganz so gut zu gehn. Bei jedem erdenklichen Dienst wird von mir ein möglichst immer unterschiedliches Passwort mit einem Benutzername verlangt, um mich als IchSelbst auszuweisen. Da man Passwörter möglichst nicht notieren soll, bin ich eine potentielle Kanditatin dafür, ständig irgendwelche Passwort-vergessen-Funktionen zu klicken oder gar ganz fatal, immer das gleiche Passwort zu benutzen. Gott sei dank halte nicht nur ich dies für einen untragbaren Zustand und schlaue Leute haben sich einen Mechanismus ausgedacht, der das Passwort-Wirrwarr in Zukunft überflüssig macht: die OpenID.

Wie beim Kreditkarteninstitut erhält hierbei der User eine einzigartige URL als Internetidentität. Um diese zu bekommen muss er sich lediglich bei einem sogenannten OpenID-Provider, wie z.B. www.myopenid.com registrieren. Ratsam ist, für diesen Provider ein möglichst sicheres Passwort zu finden, was ich ok finde, denn ich muss mir in Zukunft ja nur noch dieses merken. Das Passwort wäre dann zu vergleichen mit meinem Karten-PIN. Nach meiner Registrierung also erhalte ich automatisch meine neue und schicke OpenID. Bei myopenID lautet diese immer: http://BENUTZERNAME.myopenid.com.

Möchte ich mich nun bei einem Service (der Geldautomat) einloggen, muss ich hierfür einfach meine OpenID in das dafür vorgesehene Login-Feld eingeben. Eine Plattform wo dies gut funktioniert ist z.B. Ma.gnolia.com. Die Services, die einen OpenID-Login ermöglichen nennt man OpenID-Client, OpenID-Consumer oder auch OpenID-Relaying-Party.

Nachdem ich nun also meine OpenID eingetragen habe und den absenden-Button geklickt habe beginnen im Beispielfall Ma.gnolia als OpenID-Client und MyOpenID als OpenID-Provider im Hintergrund eine Diskussion:
Magnolia: “Hallo myopenid, ich bins magnolia. Ich bin ein Openid-Client und hier möchte sich jemand mit einer myopenid-openid bei mir einloggen. Die ist zwar bei mir hinterlegt, aber kann ich dem User vertrauen?”
myopenid: “Hallo magnolia, ich sehe, du bist in der Tat ein OpenID-Client. Dann lass doch mal schauen, wer sich da bei dir einloggen möchte und ob es auch der ist, der die OpenID bei dir hinterlegt hat. Lass mal die OpenID sehn.”
Von dieser Konversation bekommt der User natürlich zunächst nichts mit, denn das ist das nötige Handshake der Server, um einen Reibungslosen Login zu gewährleisten. Nachdem also der myopenid-server dem magnolia-server sein ok gegeben hat, wird der User auf die myopenid-login-Seite umgeleitet. Hier gebe ich nun mein Myopenid-Passwort ein und bestätige damit, dass ich der zugehörige Nutzer zur von Magnolia gesendeten OpenID bin, magnolia vertraue und mich gerne dort einloggen will. Nun führen die Server ihre Unterhaltung fort:
myopenid: “He magnolia, die snirgel hat die OpenID mit ihrem Passwort bestätigt. Die hat gemeint, sie ist es wirklich und das sie sich gerne bei dir einloggen will. Kannst also reinlassen”
magnolia: “Super, weiß ich bescheid, ist eingeloggt.”
Nach diesem Gespräch, wovon ich natürlich wiederum nichts mitbekommen habe, werde ich wieder zurück zu magnolia geleitet, wo ich dann eingeloggt bin.

Kritiker könnten jetzt meinen, dass das ja nicht wirklich was gebracht hat, denn ich mußte mich ja trotzdem irgendwo einloggen und ein Passwort eintragen. Was ist denn daran jetzt so toll.
Richtig einloggen mußte ich mich tatsächlich, doch habe ich erstens bei Magnolia selbst nie ein Passwort angegeben, sondern lediglich einmal meine OpenID hinterlegt. Klar hier hinkt das Beispiel mit dem Geldautomaten und man muss tatsächlich beim OpenID-Client immer seine OpenID angeben, denn der Client muss beim Login der OpenId ja auch einem Nutzer zuordnen können. Zweitens läuft dieser Prozess mit jedem OpenID-Client gleich ab und ich muss mir also nur EIN Passwort merken, und zwar das meines OpenID-Providers.
Ich beweise also nicht mehr mit einer Nutzername/Passwort – Kombination, wer ich bin, sondern der OpenID-Provider übernimmt dies für mich, denn ich habe ihm ja bestätigt, dass ich es tatsächlich bin, die zur angefragen OpenID gehört und er dies auch dem Client bestätigen kann.

Insgesamt hört sich das alles noch sehr kompliziert an, allerdings gibt es zusammenfassend gibt es zu sagen, dass man als User nur genau 2 Schritte von einem schön einfachen OpenID-Login entfernt ist:
1. Einmaliges Anlegen eines OpenID-Account bei einem OpenID-Provider
2. OpenID beim gewünschten und natürlich auch teilnehmenden Service hinterlegen

Ob Ihr Euch bei einem Service mit einer OpenID einloggen könnt erkennt Ihr an diesem Icon:

In OpenWatt? OpenID! (Teil 2) werde ich etwas näher auf den Unterschied zwischen OpenID-Provider und OpenID-Client eingehen und ein paar Services dazu vorstellen.

P.S.: Ich bitte zu verzeihen, dass der OpenID-Login bei meinen Blogkommentaren gerade noch nicht geht. Ich arbeite dran und reiche das in den nächsten Tagen nach. Ich weiss, peinlich, peinlich.