Identity federation networks, process and discovery

Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

School of Electrical Engineering | Master's thesis
Checking the digitized thesis and permission for publishing
Instructions for the author

Authors

Date

2011

Department

Automaatio- ja systeemitekniikan laitos

Major/Subject

Automaation tietotekniikka

Mcode

AS-116

Degree programme

Language

en

Pages

x + 72 + liitt. (+3)

Series

Abstract

A current industry trend is to extend internal, web-based services to external customers and trading partners. Authentication of users and identity management presents a challenge. In identity federation, organizations manage their own users but they are part of a federation network in which the members are connected with trust relationships. Within the network end users are always authenticated at their home organizations and identities are transferred to other organizations in a secure way. This allows for single sign-on between services in different organizations and secure identity management. In this thesis, patterns of federation networks and issues involved in establishing the networks are studied. Federation process models for two common use cases are introduced. The process of determining a user's home organization, when accessing a service in a different organization, is presented in detail. Services in a federation network typically need to be able to direct a user to their home organization to authenticate before service access. Two most suitable solutions for the problem of identity provider discovery for two use cases are analysed and implemented in the Ubilogin SSO product. These solutions are also compared to other implementations.

Yhä useammat yritykset tarjoavat sisäisiä, web-pohjaisia palveluitaan myös ulkoisille käyttäjille ja toisille yrityksille. Haasteena on käyttäjien tunnistaminen ja käyttäjätilien hallinta. Identiteettien federoidussa pääsynhallinnassa pidetään käyttäjien hallinta heidän omissa organisaatioissaan, mutta organisaatioiden välille luodaan luotettu verkosta. Verkoston sisällä käyttäjät ohjataan tunnistautumaan omaan kotiorganisaatioonsa ja identiteetit välitetään turvallisesti muiden organisaatioiden palveluille. Tämä mahdollistaa kertakirjautumisen eri organisaatioiden palveluiden välillä ja käyttäjien turvallisen hallinnan. Tässä työssä on tutkittu yllä mainittujen luottamusverkostojen malleja sekä niiden luomiseen liittyviä haasteita. Työssä on esitelty kaksi yleistä käyttötapausta, joiden luontiin esitellään prosessimallit. Lisäksi työssä on etsitty tapoja selvittää käyttäjän kotiorganisaatio, kun hän on kirjautumassa toisen organisaation palveluun. Palvelun täytyy ohjata käyttäjä tunnistautumaan omaan kotiorganisaatioonsa ennen hyväksymistä palveluun pääsystä. Kaksi parasta ratkaisua käyttäjän kotiorganisaation hakuun analysoitiin ja toteutettiin Ubilogin SSO tuotteeseen vaadittuihin käyttötapauksiin. Näitä ratkaisuja on verrattu muihin toteutuksiin.

Description

Supervisor

Koskinen, Kari

Thesis advisor

Seilonen, Ilkka
Uber, Keith

Keywords

identity, identiteetti, authentication, tunnistaminen, federation, federointi, discovery, pääsynhallinta, single sign-on, luottamusverkosto, SAML, kertakirjautuminen, SAML

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-2020122358417

Collections

[dipl] Sähkötekniikan korkeakoulu / ELEC