Authenticating users through a Security Token Service : Translation of user credentials

Abstract

The motivation for this thesis is to inspect the process of translating a type of credential to another. The main focus lies on converting a username and password combination to an X.509 certificate. The components involved in this process, a client, and a Security Token Service that is responsible for the translation, are presented thoroughly. The scope of this thesis also includes development of the client software. The development of the client began in the summer 2012, as part of the author's summer student work for Helsinki Institute of Physics at the European Or ganization for Nuclear Research (CERN). The work is based on extensive studies of modern standards used in web services and current research.

This thesis work shows how the process of token translation can be accomplished. The path of theory that leads to the end result is also described. The code library that constitutes the client software, was extended with additional functionality, and parts of it was released to the community. The conclusions are, that translation of security tokens can be used as a tool to improve the usability of web services, while still taking into account various security aspects. Token translation can also be of use especially in large organizations, to authenticate users from other trusted organizations, and in this way allow for collaboration and sharing of resources between different parties.

Avsikten med detta examensarbete är att undersöka processen av att omvandla en typ av autentiseringsinformation till en annan. Huvudsakligen behandlas fallet där en kombination av ett användarnamn och ett lösenord omvandlas till ett certifikat (X.509). Programvaran som är involverad i detta, en klient samt tjänsten som utfärdar konverterade identitetsuppgifter (Security Token Service), presenteras noggrant. I detta slutarbete ingår även vidareutveckling av programvaran för klienten. Utvecklandet av klienten påbörjades sommaren 2012, som en del av författarens arbetspraktik för Helsinki Institute of Physics vid European Organization for Nuclear Research (CERN). Teorin baserar sig på studier av de moderna standarder som används i webbtjänster samt på aktuell forskning.

Slutarbetet visar hur autentiseringsinformation kan omvandlas från en form till en annan. I detta ingår en omfattande presentation av teorin som lägger grunden till denna process. Som resultat av detta har även det programbibliotek, som ligger till grund för klienten, utökats med stöd för en annan typ av autentiseringsinformation. Delar av detta bibliotek har även gjorts tillgängliga för allmänheten. Slutsatserna är att omvandling av autentiseringsinformation kan användas som ett verktyg för att förbättra webbtjänsters användarvänlighet, även så att säkerheten beaktas. Inom stora organisationer är det även möjligt att autentisera användare från främmande, förtrogna organisationer genom denna teknik och på så vis främja samarbete samt gemensam användning av resurser.

Opinnäytteen tarkoitus on tutkia käyttäjätietojen muuntamista muodosta toiseen verkkopalvelun avulla. Pääaiheena on käyttäjätunnuksen ja salasanan kääntäminen varmennemuotoon (X509). Ohjelmisto jonka avulla prosessi toteutetaan koostuu asiakasohjelmasta sekä (muunnettuja) käyttäjätietoja myöntävästä verkkopalvelusta (Security Token Service) joita työssä kuvataan tarkasti. Asiakasohjelmaa laajennettiin lopputyön osana. Asiakasohjelmiston kehitys aloitettiin kesällä 2012, osana kirjoittajan työharjoittelua Helsinki Institute of Physicsin teknologiaohjelmassa European Organization for Nuclear Researchissa (CERN). Teoriapuoli perustuu standardeihin joita käytetään verkkopalveluissa sekä ajankohtaiseen tutkimukseen.

Työ näyttää miten tunnistautumistietoja voi muuttaa yhdestä muodosta toiseen. Tähän sisältyy kattava esittely teoriasta johon muuntamisprosessi perustuu. Asiakasohjelma on myös laajennettu tukemaan toisentyyppistä tunnistatumistieoa. Osia ohjelmakirjastosta on julkaistu avoimelle yhteisölle. Lopputulos ovat, että käyttäjätietojen muuntamista voi käyttää työkaluna parantamaan verkkopalvelujen käyttäjäystävällisyyttä, myös niin, että tietoturva huomioidaan. Suurten organisaatioiden sisällä on tämän tekniikan avulla myös mahdollista tunnistaa käyttäjiä vieraista, luotettavista organisaatioista. Näin yhteistyö ja resurssien yhteiskäyttö helpottuu.