Keskitetty pääsynhallinta hajautetussa järjestelmässä
Räsänen, Tapio (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052013693
https://urn.fi/URN:NBN:fi:amk-2025052013693
Tiivistelmä
Opinnäytetyössä tutkittiin, miten toteuttaa keskitetysti pääsynhallintaa mikropalveluympäristössä. Työssä käytiin läpi pääsynhallinnan haasteita mikropalveluympäristöissä ja tutkittiin käytössä olevia pääsynhallinta – ja arkkitehtuurimalleja pääsynhallinnan toteuttamiseen. Työssä tutkittiin myös käyttöoikeustunnisteiden käyttöä ja erilaisia työkaluja ja kehyksiä pääsynhallintamekanismien toteuttamiseksi toimeksiantajan järjestelmässä.
Toimeksiantaja on kehittämässä uusia mikropalveluarkkitehtuuria hyödyntäviä sovelluksia, joiden käyttöoikeuksien hallintaa haluttiin toteuttaa keskitetysti yhden palvelukokonaisuuden alta. Tämän takia nähtiin tarvetta tämän opinnäytetyön toteuttamiselle. Toimeksiantajan kehitettävässä järjestelmässä oli toteutettu osittain pääsynhallintaan liittyviä mekanismeja. Näiden mekanismien laajuus ei riittänyt kattamaan tulevien sovellusten hyvinkin tarkkarajaisia vaatimuksia pääsynhallintasääntöjen osalta. Tämän takia haluttiin tutkia erilaisia arkkitehtuuri- ja pääsynhallintamalleja sekä teknisiä ratkaisuja uusien hallintatyökalujen ja palvelujen toteuttamiseen.
Uuden järjestelmän arvona on helpottaa järjestelmän käyttöoikeuksien ylläpitoa keskittämällä hallintaa yksittäiseen palveluun ja parantamalla asiakaskokemusta. Kehitettävän järjestelmän tulisi mahdollistaa asiakasorganisaatioon kuuluvien käyttäjien itsenäinen luvittaminen olematta yhteydessä toimeksiantajaan.
Työn lopputuloksena päätettiin järjestelmän reunalle toteuttaa API-yhdyskäytävä karkeaan pääsynhallintaan. Lisäksi tulevaisuudessa toteutetaan erillinen valtuutuspalvelin järjestelmän palvelutasolle. Valtuutuspalvelimen ja pääsynhallintamekanismien toteuttamiseen päädyttiin hyödyntämään palveluverkkoa ja sivuvaunuja.
Toimeksiantaja on kehittämässä uusia mikropalveluarkkitehtuuria hyödyntäviä sovelluksia, joiden käyttöoikeuksien hallintaa haluttiin toteuttaa keskitetysti yhden palvelukokonaisuuden alta. Tämän takia nähtiin tarvetta tämän opinnäytetyön toteuttamiselle. Toimeksiantajan kehitettävässä järjestelmässä oli toteutettu osittain pääsynhallintaan liittyviä mekanismeja. Näiden mekanismien laajuus ei riittänyt kattamaan tulevien sovellusten hyvinkin tarkkarajaisia vaatimuksia pääsynhallintasääntöjen osalta. Tämän takia haluttiin tutkia erilaisia arkkitehtuuri- ja pääsynhallintamalleja sekä teknisiä ratkaisuja uusien hallintatyökalujen ja palvelujen toteuttamiseen.
Uuden järjestelmän arvona on helpottaa järjestelmän käyttöoikeuksien ylläpitoa keskittämällä hallintaa yksittäiseen palveluun ja parantamalla asiakaskokemusta. Kehitettävän järjestelmän tulisi mahdollistaa asiakasorganisaatioon kuuluvien käyttäjien itsenäinen luvittaminen olematta yhteydessä toimeksiantajaan.
Työn lopputuloksena päätettiin järjestelmän reunalle toteuttaa API-yhdyskäytävä karkeaan pääsynhallintaan. Lisäksi tulevaisuudessa toteutetaan erillinen valtuutuspalvelin järjestelmän palvelutasolle. Valtuutuspalvelimen ja pääsynhallintamekanismien toteuttamiseen päädyttiin hyödyntämään palveluverkkoa ja sivuvaunuja.