Keskitetyn tunnistautumisen liittäminen osaksi Yksa-järjestelmää

Abstract

Tämän opinnäytetyön tavoitteena oli suunnitella ja toteuttaa keskitetyn tunnistautumisen liittäminen osaksi tämän opinnäytetyön toimeksiantajan kehittämää Yksa arkiston- ja kokoelmanhallintajärjestelmää. Opinnäytetyön aluksi selvitettiin mitä sähköinen identiteetti teoriassa tarkoittaa ja miten se toimii osana identiteetin- ja pääsynhallinnan toimintaa. Työssä jaettiin pääsynhallinta kahteen osaan, autentikointiin sekä autorisointiin, joista kummatkin esiteltiin helposti ymmärrettävien esimerkkien avulla. Identiteetinja pääsynhallinnan käsittelyn jälkeen opinnäytetyössä tutustuttiin keskitettyyn identiteettiin ja siihen liittyvään identiteetinhallintaan. Työssä käytiin läpi keskitetyn identiteetinhallinnan tarjoamat useat hyödyt sekä haitat. Tässä työn vaiheessa esiteltiin myös esimerkkitapausten avulla claims-pohjainen autentikointi, johon tämän opinnäytetyön käytännön tekninen toteutus perustui. Käytännön teknisessä toteutuksessa palveluntarjoajana toimi Yksan käyttämä Access Manager -pääsynhallintajärjestelmä. Identiteetintarjoajaksi valittiin Microsoftin Active Directory Federation Services -federaatiopalvelu, joka käyttää Microsoftin Active Directory -käyttäjähakemistoa. Opinnäytetyön käytännön teknisen toteutuksen ensimmäinen osa keskittyi pääsynhallinnanjärjestelmän ja identiteetintarjoajan luottamussuhteen luomiseen. Opinnäytetyössä käytiin vaiheittain läpi pääsynhallintajärjestelmän konfigurointi sekä opinnäytetyön kannalta oleellinen osa identiteetintarjoajan konfiguroinnista. Pääsynhallintajärjestelmän konfiguroinnin jälkeen opinnäytetyössä esiteltiin keskitettyä tunnistautumista hyödyntävän kirjautumistoiminnallisuuden kehittäminen Yksa-järjestelmään. Tämän toteutuksen yhteydessä esiteltiin myös Yksan käyttämän käyttäjänhallinnan logiikkaa sekä laajennettiin sitä koskemaan myös keskitetyn tunnistautumisen kautta kirjautuvia käyttäjiä. Opinnäytetyö saavutti tavoitteensa ja työn lopputuloksena Yksa-järjestelmään syntyi valmis keskitettyä tunnistautumista hyödyntävä kirjautumistoiminnallisuus. Tämä kirjautumistoiminnallisuus voidaan tarvittaessa vaivattomasti integroida toimeksiantajan asiakkaiden käyttämiin identiteetinhallintajärjestelmiin, mikäli niistä löytyy tähän tarkoitukseen sopiva infrastruktuuri.

The objective of this thesis was to implement a working federated authentication solution as an additional feature for the Yksa service. Yksa is an in-house SaaS solution developed by the thesis commissioner specializing in records and archive management. The first part of this thesis introduced the theory behind digital identity and how it worked as a part of identity and access management. This report covered different parts of access management such as authentication and authorization with easy to understand examples. After that, the focus shifted towards federated identity and authentication. This report explained the many advantages and disadvantages that implementing federated identity would bring to a service. Then the report moved on to explain Claims Based Authentication, which is what the actual implementation of the thesis was based on. The implementation of the thesis used Access Manager as the service provider which was already used as an access management solution in the Yksa service. As for the identity provider, Microsoft Active Directory Federation Services which used the Microsoft Active Directory as its user store, was chosen. The first part of the implementation in this report focused on creating a trust relationship between the service provider and the identity provider. This report followed the steps needed to configure the access management solution used in Yksa and the most relevant parts of the identity provider configuration. After that, this report introduced the actual implementation of the login system supporting federated authentication in the Yksa service. This report also explained some of the logic behind Yksa’s user management solution and how it was extended so that it could support federated users. This thesis managed to reach its objective, and as a result of the thesis, Yksa got a login system supporting federated authentication. The resulting login functionality can be easily enabled for any of the commissioner’s clients if they were to need it and had the necessary infrastructure in place.