Single Sign-On (SSO), OpenID Connect (OIDC) und OAuth2 stehen in einem engen Zusammenhang, erfüllen aber unterschiedliche Aufgaben im Bereich der Authentifizierung und Autorisierung: **OAuth2** OAuth2 ist ein Protokoll zur Autorisierung. Es ermöglicht Anwendungen, im Namen eines Nutzers auf Ressourcen (z. B. APIs) zuzugreifen, ohne dass der Nutzer seine Zugangsdaten an die Anwendung weitergeben muss. OAuth2 regelt also, **wer** auf **was** zugreifen darf. **OpenID Connect (OIDC)** OpenID Connect baut auf OAuth2 auf und erweitert es um eine standardisierte Authentifizierungsschicht. Mit OIDC kann eine Anwendung (Client) die Identität eines Nutzers überprüfen, der sich bei einem Authentifizierungsserver (Identity Provider) anmeldet. OIDC liefert dazu ein sogenanntes ID-Token mit Informationen über den Nutzer. **Single Sign-On (SSO)** SSO ist ein Konzept, bei dem sich ein Nutzer einmal anmeldet und dann auf mehrere, voneinander unabhängige Anwendungen zugreifen kann, ohne sich erneut anmelden zu müssen. SSO wird häufig durch Protokolle wie SAML oder eben OpenID Connect realisiert. **Zusammenhang:** - OAuth2 ist das Basisprotokoll für Autorisierung. - OpenID Connect erweitert OAuth2 um Authentifizierung und ermöglicht so, die Identität eines Nutzers zu bestätigen. - SSO wird durch OpenID Connect (und damit indirekt durch OAuth2) ermöglicht, da der Nutzer sich einmal beim Identity Provider anmeldet und dann auf verschiedene Anwendungen zugreifen kann, ohne sich erneut anmelden zu müssen. **Kurz gesagt:** - OAuth2 = Autorisierung - OpenID Connect = Authentifizierung (auf Basis von OAuth2) - SSO = Nutzung von OpenID Connect (oder anderen Protokollen) für einmaliges Anmelden bei mehreren Diensten Weitere Infos: - [OAuth2](https://oauth.net/2/) - [OpenID Connect](https://openid.net/connect/) - [Single Sign-On (Wikipedia)](https://de.wikipedia.org/wiki/Single_Sign-on)