Configurable single-sign-on for a multi-tenant platform

Thumbnail Image

Files

master_Rönkkö_Leevi_2025.pdf (1.05 MB)

URL

Journal Title

Journal ISSN

Volume Title

School of Science | Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2025-07-29

Department

Major/Subject

Security and Cloud Computing

Mcode

Degree programme

Master's Programme in Computer, Communication and Information Sciences

Language

en

Pages

64

Series

Abstract

Federated identity systems have become a staple in the realm of modern web technologies during the 2010s and 2020s. Social, commercial and enterprise services alike, have found value in the ability to use a single set of credentials to authenticate to multiple web services. While such systems rely mostly on the same protocols to implement federated identity, their needs are often very different. This master's thesis was written in collaboration with Rescomms Ltd. Its goal was to implement configurable external identity provider authentication for Rescomms' "My Work", a multi-tenant SaaS platform, where single users could have access to multiple tenants' data. As part of the research, a literature review was conducted to study the interaction between such multi-tenan systems and federated identity management, along with best practices for SSO implementation and the user experience challenges that are common for SSO systems as a whole. Following the literature review, a solution was designed and implemented. Finally, the solution was evaluated on its accordance with Rescomms' and its customers' requirements along with the findings of the literature review. The solution was deemed fit for production use, though it continues to evolve based on customer feedback and developing needs in the future. My Work's identity model allows individual users to have employee profiles across multiple customer organizations. This created challenges when implementing tenant-configurable authentication, as an external identity provider configured by one customer organization cannot necessarily authenticate a user for accessing data belonging to other customer organizations. Compromises had to be made at the expense of the multi-tenant user experience to guarantee information security.

Yhteisen käyttäjätunnistuksen järjestelmät ovat vakiintuneet merkittäväksi osaksi modernien verkkoteknologioiden kirjoa 2010- ja 2020-luvuilla. Niin sosiaaliset, kaupalliset kuin yrityspalvelutkin ovat hyötyneet mahdollisuudesta käyttää yksiä tunnuksia kirjautumisessa useisiin eri verkkopalveluihin. Vaikka nämä palvelut tukeutuvat samoihin protokolliin yhteisen tunnistuksen toteuttamisessa, niiden tarpeet ovat usein hyvin erilaisia. Tämä diplomityö on toteutettu yhteistyössä Rescomms Oy:n kanssa. Sen tavoitteena oli toteuttaa konfiguroitava yhteisen tunnistuksen järjestelmä Rescommsin "Oma Työ" -alustalle. Alustalla on useita asiakasorganisaatioita, ja poikkeuksellisesti yhdellä järjestelmän käyttäjällä voi olla pääsy useamman asiakkaan tietoihin. Osana diplomityötä, toteutettiin kirjallisuuskatsaus, jossa selvitettiin asiakkaiden välillä jaetun alustan vuorovaikutusta yhteisen tunnistuksen kanssa, kertakirjautumistoteutusten parhaita käytäntöjä, sekä niiden käyttäjäkokemushaasteita. Kirjallisuuskatsauksen jälkeen suunniteltiin ja toteutettiin kertakirjautumisratkaisu Oma Työ -alustalle. Lopulta ratkaisua arvioitiin sen osalta, kuinka hyvin se täytti Rescommsin ja asiakkaiden vaatimukset sekä oli linjassa kirjallisuuskatsauksen havaintojen kanssa. Työn tuloksena toteutettu identiteettijärjestelmä todettiin soveltuvaksi tuotantokäyttöön, ja sen kehitystyö jatkuu asiakaspalautteen ja tulevaisuuden vaatimusten perusteella. Oma Työ -alustan identiteettimalli, joka sitoo yhden käyttäjän työntekijäsuhteisiin mahdollisesti useassa asiakasorganisaatiossa, havaittiin ongelmalliseksi. Asiakkaan konfiguroimaa tunnistautumismetodia ei voida aina käyttää luvittamaan pääsyä kaikkien käyttäjään sidottujen työntekijäsuhteiden tietoihin. Usean työntekijäsuhteen omaavien käyttäjien kokemuksessa oli tehtävä kompromisseja asiakkaiden välisen tietoturvan takaamiseksi.

Description

Supervisor

Suoranta, Sanna

Thesis advisor

Svan, Lauri

Keywords

single-sign-on, SAML2.0, OpenID Connect, OAuth 2.0, multi-tenant, authentication, identity management, IdM

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202508196481

Collections

[dipl] Perustieteiden korkeakoulu / SCI