Identity information transfer and federation on Ubilogin Authentication Server
Loading...
URL
Journal Title
Journal ISSN
Volume Title
School of Science |
Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.
Authors
Date
2010
Major/Subject
Tietokoneverkot
Mcode
T-110
Degree programme
Language
en
Pages
72
Series
Abstract
Increasing number of user accounts and segmentation of user identity information into separate identity silos is becoming problematic both for users and service providers. Identity federation is a way to mitigate this problem, by enabling single sign-on between services and identity information sharing between identity silos. In this thesis we examine four specific identity federation scenarios and present a number of use cases for each and we lay out an evaluation criteria for the use cases. Then Ubilogin, a federated single sign-on system by Ubisecure Solutions, is evaluated against the requirements of each use case and a number of possible models for improving the system are analyzed. Especially pseudonym support and federation partner discovery are discussed and changes recommended. Also two different models for handling the external federation links, direct federation and central IDP proxy, are analyzed and central proxy is found to be a useful model in many situations. The changes were implemented by a group including the author and the new version of Ubilogin is evaluated again against the use case criteria. Also a new tool called Federation Manager is introduced and is found to be useful in simplifying handling of the certain use cases.Yhä lisääntyvät käyttäjätilit ja käyttäjätietojen segmentoituminen eri identiteettisiiloihin on kasvava ongelma sekä käyttäjille että palveluntarjoajille. Identiteettien federointi lievittää näitä ongelmia mahdollistamalla kertakirjautumisen palvelusta toiseen ja käyttäjätietojen jakamisen identiteettisiilojen välillä. Tässä työssä tutkitaan neljää identiteettien federointiskenaariota ja esitetään käyttötapauksia kuhunkin liittyen. Lisäksi esitetään evaluaatiokriteerit käyttötapauksia varten. Sen jälkeen evaluoidaan Ubilogin -kertakirjautumispalvelin näitä kriteereitä vasten ja mahdollisia malleja järjestelmän parantamiseksi analysoidaan. Erityisesti pseudonyymitukea ja federaatiopartnerien valintaa tutkitaan ja muutoksia ehdotetaan. Myös kahta ulkoisten federaatiolinkkien hallintamallia, suorafederointi ja keskitetty tunnistusvälipalvelin, analysoidaan ja keskitetty tunnistusvälipalvelin todetaan hyödylliseksi malliksi monissa tilanteissa. Suositellut muutokset toteutettiin ryhmässä johon myös kirjoittaja kuului ja uusi Ubilogin-versio evaluoidaan uudelleen käyttötapausten kriteerejä vasten. Myös uusi työkalu nimeltään Federation Manager esitellään ja todetaan hyödylliseksi tiettyjen käyttötapausten yksinkertaistamisessa.Description
Supervisor
Aura, TuomasThesis advisor
Tarkoma, SasuKari-Koskinen, Yrjö
Keywords
SAML, SAML, single sign-on, kertakirjautuminen, identity, identiteetti, federation, federointi