PK-yrityksen kertakirjautumisen toteuttaminen

Abstract

Työ käsittelee kertakirjautumista ja sen toteuttamiseen yleisesti käytettyjä menetelmiä ja standardeja. Kertakirjautuminen (Single Sign-on) on menetelmä, jossa käyttäjä pääsee yhden tunnistautumisen jälkeen useaan erilliseen järjestelmään tai palveluun kirjautumatta uudestaan. Sen tarkoituksena on tarjota käyttäjälle mahdollisimman laaja pääsy niihin palveluihin (esim. tuntikirjaus-, projektinhallinta- ja toiminnanohjausjärjestelmään), joihin hän on oikeutettu pääsemään yhdellä kirjautumisella.

Ensimmäinen osa keskittyy teoriaan ja jälkimmäisessä osassa esitetään työssä tehty kertakirjautumistoteutus. Insinöörityön teoriaosuus (luvut 1-2) käsittelee kertakirjautumista yleisesti. Kertakirjautuminen voidaan jakaa kahteen eri ryhmään: selainkertakirjautuminen (Web SSO) ja kertakirjautuminen työasemapohjaisiin sovelluksiin (ESSO, Enterprise Single sign-on). Tässä työssä keskitytään pääasiassa selainkertakirjautumiseen. Kertakirjautumisen hyötyihin lukeutuvat esimerkiksi salasanojen määrän vähentyminen, käyttökokemuksen paraneminen, järjestelmänylläpitäjien työmäärän pienentyminen ja käyttäjähallinnan kustannusten laskeminen. Kertakirjautumisen toteuttamiseen yleisesti käytettyjä menetelmiä ja standardeja ovat esimerkiksi SAML (Security Assertion Markup Language), Kerberos ja luottamusliitäntäpohjainen kertakirjautuminen. Tunnistautumisen osalta työ keskittyy tunnistusmenetelmiin ja vahvaan tunnistamiseen.

Jälkimmäinen osa (luvut 3-4) esittelee työssä tehdyn kertakirjautumisen suunnitelman ja teknisen toteutuksen. Työssä toteutettu kertakirjautumisjärjestelmä on suunniteltu niin, että se on sopiva PK-yritysten käyttöön. Se on pyritty suunnittelemaan myös niin, että se pystyy mukautumaan yrityksen sisäisen arkkitehtuurin muutoksiin mahdollisimman vähin muutoksin. Järjestelmien riippuvuuksia toisistaan on pyritty minimoimaan. Kertakirjautumisen toteuttamiseen käytettiin erillistä pääsynhallintatuotetta (NetIQ Access Manager).

Työ on tehty Spellpoint Oy:lle. Spellpoint on identiteetin- ja pääsynhallintaan (IAM, Identity and Access Management) erikoistunut IT-palveluyritys, joka työllistää noin 25 henkilöä. Spellpoint on toiminut identiteetin- ja pääsynhallinnan parissa jo 16 vuotta.

This thesis focuses on the field of SSO (single sign-on). SSO is a method for accessing multiple services with just a one login and one credentials.

The first part of this thesis focuses on the theory of SSO and the second part introduces the design and implementation of an SSO system suitable for small and medium sized companies. SSO can be divided in two different groups: Web SSO and ESSO (Enterprise single sign-on). This thesis focuses on Web SSO. The benefits of Single sign-on includes reduction in the number of credentials, improvement of user experience, reduction of administrative tasks and costs related to user accounts. Commonly used standards and methods to implement SSO are also presented in the study. These standards and methods include SAML (Security Assertion Markup Language), Kerberos and federation based SSO.

The study also introduces the design and implementation of the SSO implementation created in this project. The SSO implementation is designed so that it is suitable for use by small and medium sized companies. It has also been designed to be as adaptive as possible to the architectural changes of the company’s internal architecture. Dependencies between systems have been minimized. The implementation was made with a separate Access Manager product (NetIQ Access Manager).

The study was done for Spellpoint Oy. Spellpoint is an IT services company specialized in the field of IAM (Identity and Access Management). Currently Spellpoint employs 25 employees. The company has been in the field of IAM for a 16 years.