OpenID Connect Basic OP — Konformitäts-Selbsttest

Unabhängiger Nachweis, dass der OpenID Connect Provider (OP) von CodeB Sovereign Communications jeden Test des OpenID Foundation Basic OP Certification Profile besteht, Testsuite-Version 5.2.0, ausgeführt am 2026-07-18 durch den von der OIDF gehosteten Konformitätsharness.

Testplan abgeschlossen 2026-07-18
Alle 35 Tests bestanden · 0 Fehler · 0 Warnungen
35
Tests gesamt
35
bestanden
0
Fehler
0
Warnungen
2 084
Assertions
Selbsttest-Ergebnis, nicht das OpenID Certified™-Zeichen. Diese Ergebnisse wurden von der Konformitätssuite der OpenID Foundation erzeugt, gehostet unter certification.openid.net. Sie sind für sich allein kein Nachweis einer formalen Zertifizierung — nur Einträge auf der Liste der zertifizierten OpenID-Implementierungen tragen dieses Zeichen. Diese Seite bescheinigt, dass genau der OIDC-OP, der in jedem CodeB-Tenant-Deployment ausgeliefert wird, die Basic OP-Suite ohne Warnungen komplett durchläuft. Die formale Zertifizierungseinreichung steht auf der Roadmap.

Zusammenfassung

BereichWas geprüft wurdeErgebnis
Discovery.well-known/openid-configuration-Struktur, Algorithmus-Deklarationen, Endpunkt-URLsBestanden
Authorization-Endpunktredirect_uri-Whitelist, response_type, PKCE, state, nonce-RoundtripBestanden
Token-EndpunktAuthorization-Code-Austausch, client_secret_basic + client_secret_post, Code-Einmalverwendung, Refresh-Token-RotationBestanden
ID-TokenSignatur (RS256), iss/aud/exp/iat/sub, at_hash, c_hash, nonce, auth_timeBestanden
UserInfo-EndpunktGET, POST-Body, POST-Header; Scope-zu-Claim-Mapping (profile / email / phone / address)Bestanden
Prompt / max_age / id_token_hintSilent SSO, erzwungene Reauthentifizierung, subjektgebundene Hints, spec-konforme login_required-FehlerBestanden
Request Object (unsigniert)OIDC Core 6.1 — im JWT übergebene Parameter überlagern äußere Query-Parameter; state / nonce / redirect_uri-RoutingBestanden
Locales / display / acr_values / login_hintAkzeptanz und Echo optionaler Parameter gemäß OIDCC-3.1.2.1Bestanden
Sicherheit gegen Code-WiederverwendungWiederholte Nutzung eines Authorization-Codes invalidiert alle im ersten Austausch geprägten Tokens (RFC 6749 §4.1.2)Bestanden

Nachweise

Drei unabhängige Nachweispfade — jeder einzeln genügt, um den Test auf Ihrer eigenen Infrastruktur zu reproduzieren.

Live OIDF-Plan (Read-Only)
certification.openid.net » Plan RRxhrmgabfcym
Signierter privater Link, gültig bis 2029-05-19. Öffnet die OIDF-gehostete Plan-Detailansicht mit jedem einzelnen Testlauf.
Zertifizierungspaket (ZIP)
oidcc-basic-certification-test-plan · 1,8 MB
OIDF-generiertes Bündel: Plan-Metadaten, JSON- und HTML-Logs pro Test sowie JWS-Signaturen über jedes Log zur manipulationssicheren Prüfung.
OIDC-OP Feature-Referenz
Endpunkte, Algorithmen, Erweiterungen
Was der OP exponiert: Discovery, JWKS, /authorize, /token, /userinfo, /revoke, /introspect, /end_session, JWT-Bearer, id_token_hint.

Test-Aufschlüsselung — 35 Tests, alle bestanden

Nach Bereich gruppiert. Jeder Test schloss mit Status PASSED ab; drei davon erforderten zusätzlich einen Screenshot-Upload, damit der OIDF-Harness den Vorgang interaktiv abschließen konnte (das OP-seitige Ergebnis war bereits grün).

Discovery + Kernprotokoll (5)

TestnameErgebnis
oidcc-serverBestanden
oidcc-server-client-secret-postBestanden
oidcc-alternate-happy-flowBestanden
oidcc-response-type-missingBestanden
oidcc-ensure-registered-redirect-uriBestanden

Authorization-Request-Behandlung (7)

TestnameErgebnis
oidcc-ensure-post-request-succeedsBestanden
oidcc-ensure-request-with-unknown-parameter-succeedsBestanden
oidcc-ensure-request-with-acr-values-succeedsBestanden
oidcc-ensure-request-with-valid-pkce-succeedsBestanden
oidcc-ensure-request-without-nonce-succeeds-for-code-flowBestanden
oidcc-ensure-request-object-with-redirect-uriBestanden
oidcc-unsigned-request-object-supported-correctly-or-rejected-as-unsupportedBestanden

Prompt, max_age, id_token_hint (7)

TestnameErgebnis
oidcc-prompt-none-logged-inBestanden
oidcc-prompt-none-not-logged-inBestanden
oidcc-prompt-loginBestanden
oidcc-max-age-1Bestanden
oidcc-max-age-10000Bestanden
oidcc-id-token-hintBestanden
oidcc-login-hintBestanden

Scopes und UserInfo (8)

TestnameErgebnis
oidcc-scope-profileBestanden
oidcc-scope-emailBestanden
oidcc-scope-phoneBestanden
oidcc-scope-addressBestanden
oidcc-scope-allBestanden
oidcc-userinfo-getBestanden
oidcc-userinfo-post-bodyBestanden
oidcc-userinfo-post-headerBestanden

Claims, Locales, Display (5)

TestnameErgebnis
oidcc-claims-essentialBestanden
oidcc-claims-localesBestanden
oidcc-ui-localesBestanden
oidcc-display-pageBestanden
oidcc-display-popupBestanden

Refresh + Code-Reuse-Sicherheit (3)

TestnameErgebnis
oidcc-refresh-tokenBestanden
oidcc-codereuseBestanden
oidcc-codereuse-30secondsBestanden

Wie lässt sich das reproduzieren?

  1. Legen Sie in der OIDC-Clients-Verwaltung Ihres eigenen CodeB-Tenants einen Client an mit Authentifizierung client_secret_basic, response_type code und der OIDF-Harness-Callback-URL https://www.certification.openid.net/test/a/<alias>/callback.
  2. Registrieren Sie einen kostenlosen Account bei certification.openid.net, erstellen Sie einen Plan vom Typ „OpenID Connect Core: Basic Certification Profile“ und tragen Sie die Discovery-URL Ihres OP sowie die Client-Zugangsdaten ein.
  3. Lassen Sie alle 35 Tests laufen. Drei (prompt-login, max-age-1, ensure-registered-redirect-uri) erfordern einen interaktiven Screenshot-Upload — das Verhalten des OP ist vorher bereits grün; der Upload dient nur dazu, dass der OIDF-Harness das Ticket schließt.
  4. Laden Sie das Zertifizierungspaket-ZIP über die Plan-Detailseite herunter und vergleichen Sie die results-Arrays pro Test mit dem oben verlinkten JSON-Bündel.

Fahrplan zum OpenID Certified™-Zeichen

Das Bestehen der Konformitätssuite ist Schritt eins. Der vollständige Weg zur Aufnahme in die Liste der zertifizierten Implementierungen der OpenID Foundation lautet:

  1. Erledigt — Basic OP-Profil, Discovery- + static_client-Variante, Zero-Warnings-Lauf auf dem OIDF-Harness.
  2. Nächstes — dieselbe Suite gegen die vom Profil zulässigen zusätzlichen Varianten (dynamische Client-Registrierung, PAR, form_post Response-Mode) laufen lassen und die Pläne archivieren.
  3. Dann — die Plan-IDs und Zertifizierungsgebühr über das Verfahren auf openid.net/certification/instructions/ bei der OpenID Foundation einreichen. Die Listung erscheint typischerweise innerhalb von ein bis zwei Wochen nach Einreichung.
  4. Ebenfalls geplant — HAIP 1.0-Verifier-Zertifizierung für die EU-Wallet- / OpenID4VP-Seite (separat verfolgt auf der Seite HAIP-Implementierungshinweise).

Details zum Testlauf

TestsuiteKonformitätssuite der OpenID Foundation · Version 5.2.0
ZertifizierungsprofilBasic OP
Plannameoidcc-basic-certification-test-plan
Plan-IDRRxhrmgabfcym
Varianteserver_metadata=discovery, client_registration=static_client, client_auth_type=client_secret_basic, response_type=code, response_mode=default
Plan gestartet2026-07-18 10:57:12 UTC
Tests35 gesamt
Fehler0
Warnungen0
Geprüfter OPCodeB Sovereign Communications OIDC-Provider — derselbe OP-Binärstand, der in jedem CodeB-Tenant ausgeliefert wird, zum Zeitpunkt des Tests auf Produktionsinfrastruktur.

Letzte Aktualisierung 2026-07-18. Verwandte Seiten: OIDC-Funktionen · API-Referenz · HAIP 1.0-Hinweise · Credential Provider v2