OIDC (OpenID Connect)

E-Rechnung in Deutschland: So setzen Sie die Pflicht mit SAP Business One um

OpenID Connect (OIDC) ist ein offener Identitätsstandard, der auf OAuth 2.0 aufbaut und die Authentifizierung eines Benutzers zwischen einem Identity Provider (IdP) und einer Anwendung regelt. Während OAuth 2.0 Autorisierung beschreibt („darf dieser Client auf diese Ressource zugreifen?"), liefert OIDC die Authentifizierungsebene („wer ist der Benutzer?") — über ein standardisiertes ID-Token im JWT-Format.

Kontext

Im typischen Flow leitet eine Anwendung den Benutzer zum IdP (z.B. Microsoft Entra ID, Google, Keycloak) um, der Benutzer authentisiert sich dort und wird mit einem Autorisierungscode zurückgeschickt; die Anwendung tauscht den Code gegen ein ID-Token und ein Access-Token ein. Das ID-Token enthält standardisierte Claims wie sub (stabile Benutzer-ID), email, name, iss (Issuer) und exp (Ablauf), signiert vom IdP. Im SAP-Business-One-Umfeld kommt OIDC vor allem bei modernen Integrationen vor: Der Web Client kann an Entra ID angebunden werden, Custom-Apps auf Basis der Versino Financial Suite oder des B1-Helpsters nutzen OIDC für Single Sign-On und bilden die SAP-B1-Benutzer über eine SSO-Brücke oder einen Dienstbenutzer am Service Layer ab. Vorteil ist, dass Passwörter nicht durch die Anwendung geschleust werden und MFA, Conditional Access und Lifecycle-Management zentral beim IdP bleiben.

Abgrenzung

OIDC ist nicht identisch mit SAML — beide lösen Federated Login, aber OIDC arbeitet mit JSON/JWT und HTTP-Redirects, SAML mit XML-Assertions. Es ist auch nicht dasselbe wie reines OAuth 2.0: OAuth liefert Access-Tokens für API-Aufrufe, OIDC fügt eine verifizierbare Benutzeridentität hinzu. Wer OIDC konfiguriert, ersetzt damit nicht automatisch die Session-Authentication des Service Layers — in der Praxis wird OIDC für die Nutzerauthentifizierung am Frontend genutzt und im Backend weiterhin eine technische B1-Session gegen den Service Layer aufgebaut.