ID Austria - Login mit OpenID Connect

Die ID Austria (eID) ist der Nachfolger der Handy-Signatur und Schlüssel zu sicheren digitalen Services. ID Austria ist die österreichische Variante der eID, welche basierend auf der eIDAS Verordnung innerhalb Österreichs zur Anmeldung bei behördlichen Services und privaten Unternehmen verwendet werden kann.

In den kommenden Monaten wird die ID Austria in allen EU und EWR Ländern sukzessive im eIDAS System als weitere Anmeldemöglichkeit integriert und Usern zur Verfügung stehen. Eine eIDAS Anmeldung mittels ID Austria ist nur bei Verwendung einer starken Authentifizierung möglich, etwa mittels Smartphone und Biometrie.

Wie der Login mit ID Austria funktioniert, können Sie im Folgenden anhand einer Anmeldung beim Service Provider Ventum (digitalidentity.at) mittels OpenID Connect selbst testen.

Begriffsklärung

Authentifizierung: Authentifizierung bedeutet die Prüfung, dass der User, der den Zugriff anfordert, der rechtmäßige Eigentümer dieser Identität ist. Bekannte Methoden der Authentifizierung sind z.B. Passwörter oder Biometrie.

Autorisierung: Einem User unter Beachtung spezifischer Zugriffsrechte den Zugriff auf eine Applikation gewähren. Beispielsweise darf Nutzer A nur Daten anzeigen, während Nutzer B Daten anzeigen und verändern darf.

OpenID Connect: OpenID Connect (OIDC) ist ein Authentifizierungs- und Autorisierungsframework, das auf dem Protokoll OAuth 2.0 aufbaut. Unter Verwendung von OIDC ist es möglich, User nicht nur zu autorisieren (= Zugriff gewähren), sondern dem Service Provider die Möglichkeit zu geben, den User zu authentifizieren

Identity provider: Ein Identity Provider stellt Informationen über einen User an eine Anwendung (des Service Providers) zur Verfügung. Im aktuellen Use Case ist der Identity Provider “ID Austria“. Der Identity Provider stellt dem Service Provider Ventum ” Informationen über den User zur Verfügung, der sich auf der Website https://digitalidentity.at/ registrieren oder einloggen möchte.

Service Provider: Eine Applikation, welche dem User bestimmte Dienste bzw. Features anbietet. Im aktuellen Use Case ist der Service Provider “Ventum” und stellt dem User diverse Features auf der Website https://digitalidentity.at/ zur Verfügung.

User (Identität): eine Person mit einem Account bei einem Identity Provider, die sich bei einem Service Provider durch Einbeziehung des Identity Providers registrieren oder einloggen möchte. In weiterer Folge erhält der User Zugriff auf Dienste des Service Providers. Im aktuellen Use Case möchte sich der User “XXXOtto XXXOttakringer” (Vor- und Nachname der Testidentität) auf der Website https://digitalidentity.at/ anmelden, um Blog Posts zu abonnieren.

Schritt 1: Beim Identity Provider registrieren

Dieser Schritt erfolgt in der Praxis durch Registrierung bei einer Behörde, z.B. Bezirkshauptmannschaft oder Magistratisches Bezirksamt. Details dazu finden Sie unter oesterreich.gv.at

Für den aktuellen Use Case können Username + Passwort von vordefinierten Testidentiäten verwendet werden eid.egiz.gv.at/ anbindung/testidentitaeten/

Schritt 2: Beim Service Provider registrieren oder einloggen

Auf den Button “Login with OpenID Connect” am Ende des Blog Posts klicken.

Registrierung und Anmeldung funktioniert über den Button “Login with OpenID Connect”. Die Website prüft ob bereits ein Account vorhanden ist.

  • Account nicht vorhanden: User registrieren
  • Account vorhanden: User einloggen

Button “Anmelden mit ID Austria” klicken

Zugangsdaten des Users “SP-4311343354“ eingeben

Nach Klick auf "Identifizieren" ist man eingeloggt und kann z.B. das Profil editieren.

Hinweis: bei der Anmeldung mit einem Testuser ist keine Multi-Faktor-Authentifizierung notwendig. Eine Anmeldung mit einem echtem User würde eine zusätzliche Authentifizierung über die App “Digitales Amt” erfordern.

Weil es sich um einen Test Use Case handelt, der nur die Funktionalität einer ID Austria Authentifizierung demonstrieren soll, sind die Rechte des Users auf der Website stark eingeschränkt.

Die Vorteile der ID Austria im Alltag sind vielfältig. In absehbarer Zukunft kann man sich bei einer Vielzahl von Service Providern (Behörden und privaten Unternehmen) anmelden, ohne mühsam einen neuen Account mit Passwort für jeden Service Provider anzulegen. Jeder zusätzliche Account mit Passwort stellt ein Sicherheitsrisiko dar und stellt durch die häufige Wiederverwendung von Passwörtern ein potentielles Sicherheitsrisiko für Angreifer dar.

Unter Verwendung von Social Logins (Google, Facebook, Apple, LinkedIn etc.) ist ein Login bei vielen Service Providern aktuell technisch bereits möglich. Social Logins sind aber schlecht bis nicht geeignet für Authentifizierungsprozesse bei Service Providern, die strengen gesetzlichen Anforderungen (PSD 2, KYC) unterliegen. Der Abschluss einer Versicherung oder die Aufnahme eines Kredits wird in der Regel nicht mit einem Social Login möglich sein. ID Austria ist die Lösung für Service Provider, die bestehenden und potentiellen Kunden eine sichere und benutzerfreundliche Anmeldung ermöglichen möchten. Ventum unterstützt Sie gerne bei der Analyse, Planung und Umsetzung bei der Einführung von ID Austria in Ihrer Behörde oder Ihrem Unternehmen.

Weiterführende Informationen

Informationen zur Opinion des eIDAS Kooperationsnetzes

Liste aller (prä-)notifizierten eID (ID Austria Status wurde noch nicht aktualisiert)