Identity information transfer and federation on Ubilogin Authentication Server

Loading...
Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

School of Science | Master's thesis

Date

2010

Major/Subject

Tietokoneverkot

Mcode

T-110

Degree programme

Language

en

Pages

72

Series

Abstract

Increasing number of user accounts and segmentation of user identity information into separate identity silos is becoming problematic both for users and service providers. Identity federation is a way to mitigate this problem, by enabling single sign-on between services and identity information sharing between identity silos. In this thesis we examine four specific identity federation scenarios and present a number of use cases for each and we lay out an evaluation criteria for the use cases. Then Ubilogin, a federated single sign-on system by Ubisecure Solutions, is evaluated against the requirements of each use case and a number of possible models for improving the system are analyzed. Especially pseudonym support and federation partner discovery are discussed and changes recommended. Also two different models for handling the external federation links, direct federation and central IDP proxy, are analyzed and central proxy is found to be a useful model in many situations. The changes were implemented by a group including the author and the new version of Ubilogin is evaluated again against the use case criteria. Also a new tool called Federation Manager is introduced and is found to be useful in simplifying handling of the certain use cases.

Yhä lisääntyvät käyttäjätilit ja käyttäjätietojen segmentoituminen eri identiteettisiiloihin on kasvava ongelma sekä käyttäjille että palveluntarjoajille. Identiteettien federointi lievittää näitä ongelmia mahdollistamalla kertakirjautumisen palvelusta toiseen ja käyttäjätietojen jakamisen identiteettisiilojen välillä. Tässä työssä tutkitaan neljää identiteettien federointiskenaariota ja esitetään käyttötapauksia kuhunkin liittyen. Lisäksi esitetään evaluaatiokriteerit käyttötapauksia varten. Sen jälkeen evaluoidaan Ubilogin -kertakirjautumispalvelin näitä kriteereitä vasten ja mahdollisia malleja järjestelmän parantamiseksi analysoidaan. Erityisesti pseudonyymitukea ja federaatiopartnerien valintaa tutkitaan ja muutoksia ehdotetaan. Myös kahta ulkoisten federaatiolinkkien hallintamallia, suorafederointi ja keskitetty tunnistusvälipalvelin, analysoidaan ja keskitetty tunnistusvälipalvelin todetaan hyödylliseksi malliksi monissa tilanteissa. Suositellut muutokset toteutettiin ryhmässä johon myös kirjoittaja kuului ja uusi Ubilogin-versio evaluoidaan uudelleen käyttötapausten kriteerejä vasten. Myös uusi työkalu nimeltään Federation Manager esitellään ja todetaan hyödylliseksi tiettyjen käyttötapausten yksinkertaistamisessa.

Description

Supervisor

Aura, Tuomas

Thesis advisor

Tarkoma, Sasu
Kari-Koskinen, Yrjö

Keywords

SAML, SAML, single sign-on, kertakirjautuminen, identity, identiteetti, federation, federointi

Other note

Citation