OpenIG SSO Authentication Implementation for Web Portal Timi Kohonen Thesis Degree programme in Information Technology 2013 Tiivistelmä Päivämäärä Tietojenkäsittelyn koulutusohjelma Tekijä tai tekijät Ryhmä tai Timi Kohonen aloitusvuosi 2010 Opinnäytetyön nimi Sivu- ja Kertakirjautumisen toteutus OpenIG:n avulla verkkopalveluun liitesivumäärä Case: Trusteq Ohjaaja tai ohjaajat Petri Hirvonen – Haaga-Helia Saila Suvanto – Trusteq OY Tämä työ tutkii kertakirjautumisen toteuttamista Redmine verkkopalveluun OpenIG:n avulla, joka haluttiin suojata käyttäjien tunnistamiseen ja valtuuttamiseen käytettävällä Security Assertion Markup Language -standardilla. Opinnäytetyössä keskitytään erityisesti OpenIG-tuotteeseen ja sillä toteutettavaan Federaatioon eli luottamusverkostoon. OpenIG on avoimen lähdekoodin edustapalvelin, jota voidaan hyödyntää erilaisissa tunnistautumiseen liittyvissä ratkaisuissa. OpenIG asennetaan aina kohde web-sovelluksen edustapalvelimeksi. Opinnäytetyön tehtävänä on selvittää miten OpenIG soveltuu tietoturvajärjestelmiin erikoistuneen yrityksen käyttöön. Työ tehtiin itsenäisenä projektina ja toteutettiin virtuaaliympäristössä, jossa OpenIG asennettiin toimimaan Trusteq Connect - tunnistautumispalvelun ja Redmine web-sovelluksen kanssa. Työn ensimmäinen puolisko keskittyy projektin motivaatioon, sekä työssä käytettävään termistöön. Siinä käydään läpi myös työssä käytettäviä ohjelmia ja sovelluksia. Jälkimmäisessä osassa esitellään OpenIG sekä sillä toteutettu projekti, joka keskittyy kehityspuolella tehtyihin määrityksiin ja esittelee myös työssä tarvittavat konfiguraatiot. Lopussa olevista liitteistä löytyy tietoa liittyen tehtyihin asennustoimenpiteisiin. Informaatioteknologiassa toteutettavat täysin uudet projektit ovat haasteellisia ja tarkkoja aikatauluja voi olla hankala arvioida uusia tuotteita kokeiltaessa. OpenIG osoittautui toimivaksi tuotteeksi ja sen avulla toteutettu Federaatio-malli saatiin valmiiksi suunnitellussa aikataulussa. Projektista saatuja tuloksia voidaan mahdollisesti hyödyntää myös tulevaisuudessa. Asiasanat OpenIG, Federaatio, Kertakirjautuminen, SAML, Tunnistautuminen Date of presentation Degree programme in Information Technology Author(s) Group or year of Timi Kohonen entry 2010 The title of thesis Number of report OpenIG SSO Authentication Implementation for web portal pages and Case: Trusteq attachment pages Advisor(s) Petri Hirvonen – Haaga Helia Saila Suvanto – Trusteq OY This thesis studies Open Identity Gateway (OpenIG) Single Sign-On authentication implementation for Redmine web portal secured with Security Assertion Markup Language. The focus of the study is in the OpenIG product and Federation that was implemented by using the gateway. The OpenIG is an open source high-performance reverse proxy server. The product has credential replay and session management functionality and it is always configured to operate as a reverse proxy server for the target web application. The motivation of the study was to discover how suitable OpenIG is for the use of information security company. The work was implemented as an independent project. The OpenIG was configured to operate with the Trusteq Connect authentication service and Redmine web application. The first part of the thesis focuses to the motivation of the work. The major concepts, applications and software are also included there. The last part introduces OpenIG and the project that was implemented by using it. The project focus is on the development environment and it presents configurations that were made. The appendices in the end contain information about the configurations. Completely new projects are challenging in the information technology industry and it is very difficult to compose accurate schedules for them. The OpenIG product proved to be a working Federation tool and the project was implemented within the prescribed time limit. The project results may offer some benefits in the future. Key words OpenIG, Federation, Single Sign-On, SAML, Authentication Table of contents 1 Introduction ........................................................................................................................... 1 2 Motivation and Case introduction ...................................................................................... 3 2.1 Starting Point ................................................................................................................. 3 2.2 Use Case ......................................................................................................................... 4 2.3 Defining Project ............................................................................................................ 5 2.4 Equipment and Software ............................................................................................. 5 3 Theoretical concepts ............................................................................................................. 6 3.1 Federation ...................................................................................................................... 6 3.1.1 Security Sockets Layer (SSL) ........................................................................... 7 3.1.2 Extensible Markup Language (XML) ............................................................ 8 3.1.3 Security Assertion Markup Language (SAML) ............................................ 8 3.1.4 Service Provider and Identity Provider ......................................................... 8 3.1.5 WS-Federation .................................................................................................. 9 3.1.6 Shibboleth .......................................................................................................... 9 3.2 VirtualBox .................................................................................................................... 10 3.3 CentOS ......................................................................................................................... 10 3.4 Redmine ....................................................................................................................... 10 3.5 Trusteq Connect ......................................................................................................... 11 4 OpenIG product .................................................................................................................. 12 4.1 Open Identity Gateway ............................................................................................. 12 4.2 ForgeRock ................................................................................................................... 14 4.3 OpenIG Core and Configuration ............................................................................ 14 4.3.1 Exchange & Dispatcher ................................................................................. 15 4.3.2 Chain, Handlers and Filters ........................................................................... 16 4.3.3 Services and Federation ................................................................................. 18 5 Project implementation ...................................................................................................... 21 5.1 VirtualBox and CentOS ............................................................................................. 21 5.2 Tomcat and Java ......................................................................................................... 23 5.3 OpenIG.war ................................................................................................................ 24 5.4 Config.json ................................................................................................................... 25 5.5 Federation Service ...................................................................................................... 26 5.6 RedminUserFilter ....................................................................................................... 29 5.7 Testing and debugging ............................................................................................... 30 6 Conclusion ............................................................................................................................ 32 References .................................................................................................................................. 34 Appendices ................................................................................................................................ 37 7.1 Create a new empty virtual machine ........................................................................ 37 7.2 VirtualBox Snapshots ................................................................................................ 38 7.3 VirtualBox Install Guest Additions ......................................................................... 38 7.4 The Ethernet Controller path ................................................................................... 38 7.5 OpenIG Federation.war - trunk ............................................................................... 39 7.6 OpenIG config.json ................................................................................................... 40 7.7 RedmineUserFilter.java (Secret) ............................................................................... 45 1 Introduction The purpose of this thesis was to discover OpenIG product and its functionality for the use of information security enterprise