Tutkielmassa selvitetään keskitetyn tunnistautumispalvelun toteuttamista palveluperustaisten arkkitehtuurien mukaisissa web-sovellusympäristöissä. Painopisteenä ovat sovellusympäristöt, joissa ollaan siirtymässä palveluperustaisiin arkkitehtuureihin. Tutkielmassa käytetään esimerkkinä tällaisesta ympäristöstä Kapsi Internet-käyttäjät ry:n jäsenhallintatyökaluja, joiden tunnistautuminen muutetaan keskitetyn tunnistautumispalvelun tehtäväksi.
Ensimmäiseksi tutkielmassa esitellään web-sovellusten kehitys varhaisista CGI-ohjelmista kohti palveluperustaisten arkkitehtuurien mukaisia web-sovelluksia ja esitellään tunnistautumisen tarpeet tällaisissa arkkitehtuureissa sekä käydään läpi turvallisuuden osatekijöitä ja tavallisia tunnistautumiseen liittyviä ongelmia web-sovelluksissa. Seuraavaksi hahmotellaan tunnistautumisongelman ratkaisuun tarkoitettu keskitetty tunnistautumispalvelu sekä pohditaan sen etuja ja haittoja verrattuna nykyisin yleisesti käytettyihin tunnistautumismekanismeihin.
Sitten tutkitaan tunnistautumispalvelun ja web-sovelluksen väliseen rajapintaan käytettäviä protokollia (SAML, OpenID ja OAuth) ja esitellään OAuth-protokollaa käyttävä Kapsin web-sovellusarkkitehtuuri. Esitetyn arkkitehtuurin etuja ja haittoja sekä sen soveltamista muihin vastaaviin ympäristöihin tutkitaan myös. Arkkitehtuurin laajentamista keskitettyyn pääsynvalvontaan ja kertakirjautumiseen pohditaan tutkielman loppupuolella. Lopuksi pohditaan ulkoisen tunnistautumispalvelun käyttöä, esimerkkinä käytetään Facebookin tarjoamaa tunnistautumisrajapintaa.
ACM Computing Classification System (CCS):
Security and privacy → Authentication
Security and privacy → Web application security
Information systems → Web applications
Applied computing → Service-oriented architectures
