Samenvatting

Tegenwoordig zitten er steeds meer mensen op internet. Zij ervaren het storend als er niet vanuit hun verwachtingen handelingen automatisch gebeuren. Authentiseren (inloggen) is een van deze handelingen. Om de gebruiksvriendelijkheid te vergroten, willen organisaties websites aan elkaar koppelen; zodat er voor toegang tot alle websites van een organisatie, gebruikers maar een keer hoeven te authentiseren.

Om ervoor te zorgen dat de websites goed blijven functioneren, is het belangrijk dat websites werken met de juiste digitale identiteit van een gebruiker. Dit kan mogelijk worden gemaakt door van een gebruiker, de persoonlijke gegevens van verschillende websites aan elkaar te koppelen. Zo wordt er effectief een Federated Identity gerealiseerd. Het voordeel van het gebruiken van een Federated Identity is dat een gebruiker altijd beschikt over de juiste digitale identiteit voor de website waar de gebruiker zich op dat moment bevindt. Zo kan worden bereikt dat een gebruiker zich maar één keer hoeft te authentiseren, om vervolgens van alle websites die een organisatie aan elkaar heeft gekoppeld, gebruik te maken. Dit word Cross-Domain-SSO genoemd. Er is echter een probleem betreffende sessie management wat zich voordoet bij Cross-Domain-SSO, namelijk dat websites geen gebruik kunnen maken van eigen sessie cookies. Dit komt omdat websites geen toegang hebben tot de cookies van een andere website, waardoor het niet mogelijk is voor een website om te achterhalen of de gebruiker een geldige sessie heeft op een andere website.

Het eerder genoemde probleem kan worden opgelost met behulp van SAML. SAML is een XML standaard welke is opgesteld door OASIS. De standaard definieert hoe securityinformatie op een veilige manier kan worden uitgewisseld tussen componenten. Dit maakt het mogelijk om websites op te splitsen in twee componenten namelijk een authentiserend component, identity provider (IDP) genoemd, en een service aanbiedend component, service provider (SP) genoemd. Een website krijgt dan de rol van een SP en zal worden ontheven van de taal om gebruikers te authentiseren, deze taak neemt de IDP op zich. Het is mogelijk voor de IDP om zich op een ander domein te bevinden dan een website. Het is ook mogelijk dat meerdere SP's vertrouwen op de authenticatie claims van dezelfde IDP. Zo wordt Cross-Domain-SSO mogelijk gemaakt.

Doordat SAML veilig en tegelijkertijd erg flexibel is, is het een populaire standaard waardoor er veel frameworks beschikbaar zijn die het ondersteunen. Voor deze opdracht is het Java Open Single Sign On (JOSSO) framework uitgekozen om te evalueren of het mogelijk is om een Federated Identity oplossing in de praktijk te realiseren. Dit is gedaan middels het realiseren van een proof of concept (POC). Hieruit kwam naar voren dat de Model Driven Development (MDD) aanpak van het JOSSO framework ingezet kan worden om, op een veilige manier en binnen zeer korte tijd, Federated Identity oplossingen te realiseren. Doordat het framewwork gebaseerd is op SAML kunnen IDP's en SP's van andere leveranciers gebruikt worden in een oplossing, mits deze ook SAML compliant zijn. In een poging om specifieke eisen te vervullen, bleek dat het framework nog verschillende bugs bevatte. Mocht er voor gekozen worden het framework in de praktijk in gebruik te gaan nemen, zal er contact opgenomen moeten worden met de organisatie die JOSSO heeft ontwikkeld om tot een oplossing te komen.