Google wird OpenID Provider! Oder doch nicht?
Seit zwei Tagen kann man sich mit dem Google Account bei anderen Diensten anmelden. Als Protokoll verwendet Google dabei OpenID. Für OpenID könnte sich dieser Erfolg als Pyrrhussieg erweisen.
Was dabei meistens leider völlig unterging, ist die Tatsache, dass Google kein neuer OpenID Provider ist, sondern lediglich einen Single Sign-On Mechanismus anbietet, der im Hintergrund OpenID als Protokoll verwendet, aber ansonsten mit OpenID nicht viel zu tun hat.
Webdienste können sich fortan bei Google registrieren und danach Benutzern zum Anmelden auch den vorhandenen Google-Account anbieten. Dass Google dabei OpenID als Protokoll verwendet, hat einige Vorteile. So können Webdienste für die Implementierung etwa auf bestehende und getestete Bibliotheken zurückgreifen, aber damit hat es sich dann auch schon.
Beispiel Plaxo: Neben Email / Passwort kann man sich auch mit “OpenID”, der Yahoo! ID und dem Google Account anmelden
Oliver Wagner skizziert sehr schön die Probleme:
Und so setzt Google in der jüngst bekannt gegebenen Unterstützung von OpenID auf eine recht individuelle Interpretation, die eben keine URL als Schlüssel nutzt, sondern die GMail E-Mail Adresse des Nutzers. Das mag technisch bei Relying Parties die sich darauf einlassen funktionieren und theoretisch sogar die ohnehin durchaus komplexe Usability von OpenID in Teilen etwas optimieren. Was auf der einen Seite ein Vorteil für die Nutzer und theoretisch auch für die Verbreitung des Standards sein könnte. Doch leider ist es ein deutliches Abweichen von dem aktuellen Standard und insbesondere der Verzicht auf eine URL als primären Identifikator führt die einst von Google propagierten Ideen in Richtung Open Social Graph sowie die Möglichkeiten rund um die Dataportability Group ad absurdum.
Was ich dabei für wirklich problematisch halte, ist die Einstellung von Google. Sie glauben zu wissen, was für die User und die Welt am besten ist, und sie setzen sich mit diesem Wissen ausgestattet über den Standard hinweg.
OpenID jedenfalls, das ursprünglich ausgezogen ist, um den Benutzern das Leben zu erleichtern, wird zunehmend zu einer Usability-Hölle.
Die Grundidee – du bekommst eine URL und ein Passwort, die merkst du dir, damit kannst du dich dann überall einloggen – wird mehr und mehr verwässert, nur weil viele das Prinzip nicht auf den allerersten Blick verstehen. Sich mit einer Email-Adresse anzumelden hat sich als Verhaltensmuster zu tief eingeprägt, dem muß Rechnung getragen werden.
Aber alle Bestrebungen, auch jene User zu OpenID hinzuführen, die den Unterschied zwischen Email-Addresse und URL nicht nachvollziehen können, führen zu immer absurderen Blüten, die immer noch weniger benutzerfreundlich werden.
Ma.gnolia zum Beispiel, einer der Vorreiter im OpenID-basierten Anmelden, offeriert jetzt schon 9 (!) unterschiedliche Möglichkeiten, um sich anzumelden. Einige davon (Wordpress, AOL, LiveJournal, Typepad) sind nur Hilfskonstruktionen für eine zugrundeliegende OpenID. Anstatt die eigentliche URL – http://#{user_name}.livejournal.com – als OpenID anzugeben reicht es aus, den Usernamen – #{user_name} – für einen Dienst zu verwenden.
Diese Listen von unterstützten Diensten werden immer länger und die Chancen stehen nicht schlecht, dass man bei mehreren Diensten Mitglied ist. Die Wahrscheinlichkeit ist hoch, dass man irgendwann auch vergisst, welchen dieser Dienste man zur Anmeldung verwendet hat. Gibt man den falschen ein, hat man schwupps einen neuen Account angelegt.
Das andere wachsende Problem ist die Inkonsistenz der Erfahrung. Bei einigen Webdiensten wird es diese Shortcuts für Dienste geben, bei anderen aber nicht. Wer es nicht gelernt hat, sich seine OpenID zu merken, die er grundsätzlich auf allen Seiten verwenden könnte, für den wird es immer verwirrender.
Doch um auf Google zurückzukommen: Die Interpretation von Google ist ein weiterer Schritt zurück, weil Google’s OpenID nur bei den Diensten funktioniert, die sie unterstützen und nach den Vorgaben von Google implementieren.
Den Prinzipien von OpenID hat Google damit keinen Gefallen getan.
Nachtrag: bitte auch die Kommentare beachten. Ich habe Google wohl ein wenig unrecht getan.
Artikel per Feed
Artikel per E-Mail
Artikel bei Twitter
Facebook-Seite
Das ist so nicht ganz richtig oder wurde von Google vielleicht bisher etwas verwirrend kommuniziert. Google ist ein vollwertiger OpenID-Provider der lediglich die Gmail-Adresse per Attribute Exchange übermittelt wenn man sich bei einer RP neu registriert und funktioniert Problemlos z.B. mit dem OpenID-Plugin für WordPress.
Der einzige Unterschied zu bisherigen Implementierungen ist, dass Google das bisher nicht so populäre “Directed Identity protocol” verwendet.
Grüsse,
ich muss da euren Ausführungen und Einschätzungen leider weitesgehend wiedersprechen! Ihr seit alle etwas zu schnell der negativen (aber nicht korrekten) Berichterstattung in den US-Blogs gefolgt.
Nochmal ganz kurz: Es handelt sich bei Google um eine korrekte Implementierung des OpenID 2.0 Standards. Sie machen dabei gebrauch von dem “Directed Identity” Feature. Google setzt sich definitiv nicht über den Standard hinweg. Das ist leider eine Fehlinformation in eurem (und anderen) Artikeln.
Die Tatsache, dass man sich noch im Moment mit Google absprechen muss, wurde bereits vorher auf der OpenID Mailingliste angekündigt und erklärt. Gründe dafür sind Feintuning der User Experience. Das ganze ist auch nur laut Google ein vorrübergehender Zustand.
Das ganze Thema “User Experience OpenID” und die Frage ob man Email-Adressen zulässt ist ein Thema was die gesamte OpenID Community beschäftigt und nichts mit Google zu tun hat.
Ich habe dazu heute auch beim von euch zitierten Oliver Wagner einen langen Kommentar hinterlassen ;)
Grüsse,
Sebastian
Nur eine kurze Anmerkung zu der Aussage, dass man sich erst seit zwei Tagen mit einem google-Account bei anderen Diensten anmelden kann. Ich selbst melde mich seit mehr als zwei Monaten über meinen googleaccount bei Youtube an. Bei anderen Diensten habe ich es bis dato nicht gefunden gehabt. Könntet ihr die Dienste neben Plaxo nennen, bei denen das inzwischen funktioniert?
Hallo karla, das was du meinst ist nicht der OpenID-Login. Bei Youtube kannst du dich mit deinem Google-Account anmelden weil Youtube ein Google-Produkt ist und der Login für alle (zumindest fast alle) Produkte aus dem Hause Google gilt.
Die Google-OpenID sollte aber jetzt auf jeder Seite funktionieren die OpenID unterstützt.
Danke für die Hinweise und meine aufrichtige Entschuldigung an Google, falls ich ihnen bzgl. der Eigeninterpretation unrecht getan habe und die Notwendigkeit der Registration bei Google nur temporär ist.
Die von mir aufgeworfenen Usability-Aspekte und die allgemeine Verwirrung würde mit einem Mischmasch an möglichen Identifiern nach OpenID 2.0 wohl nur noch verstärkt, aber das kann man dann wohl nicht Google anlasten.
Siehe dazu auch David Recordon
@karla wie Pfefferle sagt, YouTube gehört zu Google. Mir ist derzeit neben Plaxo nur noch http://www.zoho.com/ bekannt, aber es gibt sicher noch ein paar andere.
Nachtrag: Wenn du diese: https://www.google.com/accounts/o8/id URL verwendest, klappt es bei einigen Diensten, nicht bei allen. Du wirst dann ggf. zu deinem Google Account weitergeleitet.
@Pfefferle 4 : nein eben nicht, derzeit nur nur bei den OpenID Consumern, die sich bei Google registriert haben.
Nachtrag: siehe obigen Nachtrag.
So war das gestern, aber du kannst es gerne mal in meinen Blog-Kommentaren probieren…
Hab es dann auch gleich mal ausprobiert und dokumentiert: http://pixelsebi.com/2008…s-nearly-everywhere/
Manches wurde ja auch schon oben erwähnt, hier noch eine URL dazu:
http://google-code-update…loser-to-single.html
Es ist ja auch gut zu hören, dass man darüber nachdenkt, eine Relying Party zu werden, also auch OpenIDs anderer annimmt, wobei ich die Bründgung, warum man es nicht jetzt schon sein kann, nicht so ganz nachvollziehen kann.
Ob das so ein Problem sein wird mit den verschiedenen Formen der OpenIDs weiss ich nicht, seinen Benutzernamen muss man sich ja auch überall merken. Und es ist ja im Prinzip nichts anderes. Es hängt ja auch von einem selbst dann ab, ob man überall die gleiche OpenID verwendet oder nicht.
Ansonsten wäre eine Best Practice, mehrere OpenIDs bei einem Service hinterlegen angeben zu können.
Alles in allem sind sicherlich noch viele Detail- und Usabilityfragen zu klären, aber generell ist es ja schon ein grosses Signal, wenn MS und Google und Yahoo und viele andere nun OpenID unterstützen. Direkt perfekt ist ja eh nichts.
@pfefferle und @markus: Danke für die Hinweise
Naja,
Microsoft hat es mit Passport vorgemacht und ich rechne damit, dass auch OpenID früher oder später in der Versenkung verschwindet, weil die Leute entweder mit der Möglichkeit nicht klarkommen oder aber irgendwelche Datenschutz-Bedenken das ganze killen.
Danke dass Du meine Idee aufgegriffen hast Markus.
Vielleicht hänge ich zu sehr an der Idee, mittels OpenID nicht nur die dezentrale Identifikation durchzuführen, sondern auch unter der eigenen URL eine Art zentralen Hub abzubilden, auf dem man die Profile im Netz die man authentifizieren möchte abbilden kann. Das würde der Ansatz über eine E-Mail Adresse als Identifikator nicht mehr möglich machen. Leider ist der Punkt in meinem Artikel nicht so deutlich geworden.
Aber wie auch immer: Es zeigt sich hier mal wieder, dass die Diskussionen zu einem Thema oft viel besser und zielführender sind als der Artikel selbst :-)