OpenID Connect Basic OP — Konformitäts-Selbsttest
Unabhängiger Nachweis, dass der OpenID Connect Provider (OP) von CodeB Sovereign Communications jeden Test des OpenID Foundation Basic OP Certification Profile besteht, Testsuite-Version 5.2.0, ausgeführt am 2026-07-18 durch den von der OIDF gehosteten Konformitätsharness.
Testplan abgeschlossen 2026-07-18
Alle 35 Tests bestanden · 0 Fehler · 0 Warnungen
Selbsttest-Ergebnis, nicht das OpenID Certified™-Zeichen. Diese Ergebnisse wurden von der Konformitätssuite der OpenID Foundation erzeugt, gehostet unter
certification.openid.net. Sie sind für sich allein kein Nachweis einer formalen Zertifizierung — nur Einträge auf der
Liste der zertifizierten OpenID-Implementierungen tragen dieses Zeichen. Diese Seite bescheinigt, dass genau der OIDC-OP, der in jedem CodeB-Tenant-Deployment ausgeliefert wird, die Basic OP-Suite ohne Warnungen komplett durchläuft. Die formale Zertifizierungseinreichung steht auf der
Roadmap.
Zusammenfassung
| Bereich | Was geprüft wurde | Ergebnis |
| Discovery | .well-known/openid-configuration-Struktur, Algorithmus-Deklarationen, Endpunkt-URLs | Bestanden |
| Authorization-Endpunkt | redirect_uri-Whitelist, response_type, PKCE, state, nonce-Roundtrip | Bestanden |
| Token-Endpunkt | Authorization-Code-Austausch, client_secret_basic + client_secret_post, Code-Einmalverwendung, Refresh-Token-Rotation | Bestanden |
| ID-Token | Signatur (RS256), iss/aud/exp/iat/sub, at_hash, c_hash, nonce, auth_time | Bestanden |
| UserInfo-Endpunkt | GET, POST-Body, POST-Header; Scope-zu-Claim-Mapping (profile / email / phone / address) | Bestanden |
| Prompt / max_age / id_token_hint | Silent SSO, erzwungene Reauthentifizierung, subjektgebundene Hints, spec-konforme login_required-Fehler | Bestanden |
| Request Object (unsigniert) | OIDC Core 6.1 — im JWT übergebene Parameter überlagern äußere Query-Parameter; state / nonce / redirect_uri-Routing | Bestanden |
| Locales / display / acr_values / login_hint | Akzeptanz und Echo optionaler Parameter gemäß OIDCC-3.1.2.1 | Bestanden |
| Sicherheit gegen Code-Wiederverwendung | Wiederholte Nutzung eines Authorization-Codes invalidiert alle im ersten Austausch geprägten Tokens (RFC 6749 §4.1.2) | Bestanden |
Nachweise
Drei unabhängige Nachweispfade — jeder einzeln genügt, um den Test auf Ihrer eigenen Infrastruktur zu reproduzieren.
Live OIDF-Plan (Read-Only)
certification.openid.net » Plan RRxhrmgabfcym
Signierter privater Link, gültig bis 2029-05-19. Öffnet die OIDF-gehostete Plan-Detailansicht mit jedem einzelnen Testlauf.
Zertifizierungspaket (ZIP)
oidcc-basic-certification-test-plan · 1,8 MB
OIDF-generiertes Bündel: Plan-Metadaten, JSON- und HTML-Logs pro Test sowie JWS-Signaturen über jedes Log zur manipulationssicheren Prüfung.
OIDC-OP Feature-Referenz
Endpunkte, Algorithmen, Erweiterungen
Was der OP exponiert: Discovery, JWKS, /authorize, /token, /userinfo, /revoke, /introspect, /end_session, JWT-Bearer, id_token_hint.
Test-Aufschlüsselung — 35 Tests, alle bestanden
Nach Bereich gruppiert. Jeder Test schloss mit Status PASSED ab; drei davon erforderten zusätzlich einen Screenshot-Upload, damit der OIDF-Harness den Vorgang interaktiv abschließen konnte (das OP-seitige Ergebnis war bereits grün).
Discovery + Kernprotokoll (5)
| Testname | Ergebnis |
| oidcc-server | Bestanden |
| oidcc-server-client-secret-post | Bestanden |
| oidcc-alternate-happy-flow | Bestanden |
| oidcc-response-type-missing | Bestanden |
| oidcc-ensure-registered-redirect-uri | Bestanden |
Authorization-Request-Behandlung (7)
| Testname | Ergebnis |
| oidcc-ensure-post-request-succeeds | Bestanden |
| oidcc-ensure-request-with-unknown-parameter-succeeds | Bestanden |
| oidcc-ensure-request-with-acr-values-succeeds | Bestanden |
| oidcc-ensure-request-with-valid-pkce-succeeds | Bestanden |
| oidcc-ensure-request-without-nonce-succeeds-for-code-flow | Bestanden |
| oidcc-ensure-request-object-with-redirect-uri | Bestanden |
| oidcc-unsigned-request-object-supported-correctly-or-rejected-as-unsupported | Bestanden |
Prompt, max_age, id_token_hint (7)
| Testname | Ergebnis |
| oidcc-prompt-none-logged-in | Bestanden |
| oidcc-prompt-none-not-logged-in | Bestanden |
| oidcc-prompt-login | Bestanden |
| oidcc-max-age-1 | Bestanden |
| oidcc-max-age-10000 | Bestanden |
| oidcc-id-token-hint | Bestanden |
| oidcc-login-hint | Bestanden |
Scopes und UserInfo (8)
| Testname | Ergebnis |
| oidcc-scope-profile | Bestanden |
| oidcc-scope-email | Bestanden |
| oidcc-scope-phone | Bestanden |
| oidcc-scope-address | Bestanden |
| oidcc-scope-all | Bestanden |
| oidcc-userinfo-get | Bestanden |
| oidcc-userinfo-post-body | Bestanden |
| oidcc-userinfo-post-header | Bestanden |
Claims, Locales, Display (5)
| Testname | Ergebnis |
| oidcc-claims-essential | Bestanden |
| oidcc-claims-locales | Bestanden |
| oidcc-ui-locales | Bestanden |
| oidcc-display-page | Bestanden |
| oidcc-display-popup | Bestanden |
Refresh + Code-Reuse-Sicherheit (3)
| Testname | Ergebnis |
| oidcc-refresh-token | Bestanden |
| oidcc-codereuse | Bestanden |
| oidcc-codereuse-30seconds | Bestanden |
Wie lässt sich das reproduzieren?
- Legen Sie in der OIDC-Clients-Verwaltung Ihres eigenen CodeB-Tenants einen Client an mit Authentifizierung
client_secret_basic, response_type code und der OIDF-Harness-Callback-URL https://www.certification.openid.net/test/a/<alias>/callback.
- Registrieren Sie einen kostenlosen Account bei certification.openid.net, erstellen Sie einen Plan vom Typ „OpenID Connect Core: Basic Certification Profile“ und tragen Sie die Discovery-URL Ihres OP sowie die Client-Zugangsdaten ein.
- Lassen Sie alle 35 Tests laufen. Drei (
prompt-login, max-age-1, ensure-registered-redirect-uri) erfordern einen interaktiven Screenshot-Upload — das Verhalten des OP ist vorher bereits grün; der Upload dient nur dazu, dass der OIDF-Harness das Ticket schließt.
- Laden Sie das Zertifizierungspaket-ZIP über die Plan-Detailseite herunter und vergleichen Sie die
results-Arrays pro Test mit dem oben verlinkten JSON-Bündel.
Fahrplan zum OpenID Certified™-Zeichen
Das Bestehen der Konformitätssuite ist Schritt eins. Der vollständige Weg zur Aufnahme in die Liste der zertifizierten Implementierungen der OpenID Foundation lautet:
- Erledigt — Basic OP-Profil, Discovery- + static_client-Variante, Zero-Warnings-Lauf auf dem OIDF-Harness.
- Nächstes — dieselbe Suite gegen die vom Profil zulässigen zusätzlichen Varianten (dynamische Client-Registrierung, PAR, form_post Response-Mode) laufen lassen und die Pläne archivieren.
- Dann — die Plan-IDs und Zertifizierungsgebühr über das Verfahren auf openid.net/certification/instructions/ bei der OpenID Foundation einreichen. Die Listung erscheint typischerweise innerhalb von ein bis zwei Wochen nach Einreichung.
- Ebenfalls geplant — HAIP 1.0-Verifier-Zertifizierung für die EU-Wallet- / OpenID4VP-Seite (separat verfolgt auf der Seite HAIP-Implementierungshinweise).
Details zum Testlauf
| Testsuite | Konformitätssuite der OpenID Foundation · Version 5.2.0 |
| Zertifizierungsprofil | Basic OP |
| Planname | oidcc-basic-certification-test-plan |
| Plan-ID | RRxhrmgabfcym |
| Variante | server_metadata=discovery, client_registration=static_client, client_auth_type=client_secret_basic, response_type=code, response_mode=default |
| Plan gestartet | 2026-07-18 10:57:12 UTC |
| Tests | 35 gesamt |
| Fehler | 0 |
| Warnungen | 0 |
| Geprüfter OP | CodeB Sovereign Communications OIDC-Provider — derselbe OP-Binärstand, der in jedem CodeB-Tenant ausgeliefert wird, zum Zeitpunkt des Tests auf Produktionsinfrastruktur. |
Letzte Aktualisierung 2026-07-18. Verwandte Seiten:
OIDC-Funktionen ·
API-Referenz ·
HAIP 1.0-Hinweise ·
Credential Provider v2