Identity federation using shibboleth identity provider

Abstract

The employer of this thesis is a global company called KPMG. In addition to KPMG’s primary accounting services, the company has also expanded its expertise to the field of information security. The purpose of this thesis was to construct an environment for KPMG to showcase identity federation solutions, using Shibboleth Identity Provider. The research method used in this thesis is constructive and it is based on a real life use case. Some of the references used in this thesis are from the environment that was built, while most of the facts are based on scientific articles and studies Objective was to use Shibboleth Identity Provider software, because it is used by many major organisations as a foundation of their identity federation services. This thesis covers the basic steps of establishing an identity federation environment, as well as discusses the different options and viewpoints for choosing a specific platforms or software. Identity federation stands for the means and standards of transferring user related information from one security domain to another through an interface such as a web browser, allowing companies or organisations to separate user authentication to a separate service. The purpose of adapting an identity federation system is to achieve economic benefits, better user experience and enhance information security. In conclusion, the identity federation environment that was built is a very generic and has room for future improvements. However, it demonstrates and describes its primal purpose of transferring user identifying information across different systems.

Opinnäytetyön toimeksiantajana on globaali yritys nimeltään KPMG. Alunperin ainoastaan tilintarkastuspalveluita tarjoava KPMG on sittemmin laajentanut repertuaariaan kattamaan myös tietoturvapalveluita. Opinnäytetyön tarkoituksena oli rakentaa KPMG:lle ympäristö, jolla voidaan esitellä identiteetin federoinnin ominaisuuksia. Identiteetin federointi voidaan ilmaista myös termillä luottamusverkko. Opinnäytetyön tutkimusmenetelmä on konstruktiivinen ja se perustuu tosielämän käyttötapaukseen. Osa lähteistä on suoraan peräisin rakennetusta ympäristöstä, mutta suurin osa tiedosta perustuu moniin eri tieteellisiin artikkeleihin ja tutkielmiin. Tarkoituksena on käyttää Shibboleth Identity Provider ohjelmistoa, koska monet suuret yritykset käyttävät sitä luottamusverkkojen pohjana. Opinnäytetyö kattaa luottamusverkon luomisen periaatteet, sekä esittelee erilaisia vaihtoehtoja ja näkökulmia tiettyjen ohjelmistojen tai alustojen valitsemisien tueksi. Luottamusverkolla tarkoitetaan tapoja ja standardeja, joilla siirretään käyttäjään liittyvää tietoa eri tietoturvaympäristöstä toiseen, mahdollistaen sen, että organisaatiot tai yritykset voivat erottaa käyttäjän tunnistamisen erilliseksi palveluksi. Luottamusverkoilla tavoitellaan taloudellisia hyötyjä, parempaa käyttäjäkokemusta, sekä parannetaan tietoturvaa. Lopputulemana on se, että opinnäytetyönä rakennettu ympäristö on hyvin geneerinen ja siihen jää kehittämisen varaa. Joka tapauksessa, se toteuttaa sen perustavanlaatuisen tarkoituksensa, eli onnistuu välittämään käyttäjän tunnistamiseen liityvää tietoa paikasta toiseen.