SIMULASI PENERAPAN SSO DENGAN TEKNOLOGI SAML PADA UNIVERSITAS UJIAN PENDADARAN PROGRAM STUDI TEKNIK INFORMATIKA FUAD FAUZI (3085111054) 5 OKTOBER 2015 – UNIVERSITAS TEKNOLOGI YOGYAKARTA
SIMULASI PENERAPAN SSODENGAN TEKNOLOGI SAML
PADA UNIVERSITASUJIAN PENDADARAN PROGRAM STUDI TEKNIK INFORMATIKA
FUAD FAUZI (3085111054)
5 OKTOBER 2015 – UNIVERSITAS TEKNOLOGI YOGYAKARTA
PENDAHULUAN
Poin Pendahuluan:
• Organisasi Akademik, misal: Universitas
• Menerapkan Sistem Informasi Terintegrasi
• Sistem yang berjalan lebih dari dua sistem
• Setiap sistem membutuhkan otentikasi dan identifikasi pengguna
• Banyak sistem banyak otentikasi & identifikasi (login) one-by-one username & password
• Pengguna merasa sukar menghafal banyak password cari-cari alternatif?
• Solusi yang mudah, aman, dan andal dibutuhkan SSO & SAML
RUMUSAN MASALAH
• Bagaimana mendesain portal SSO yang bertugas melakukan otentikasi dan identifikasi yang sesuai dengan sebuah universitas berteknologi website.
• Bagaimana keamanan data dapat terjamin selama otentikasi berlangsung.
BATASAN MASALAH
• Sistem ini berfokus pada proses otentikasi dan identifikasi melalui aplikasi berbasis website.
• Tidak dibahas tentang physical security, social engineering, offline attack, trojan, dan virus dalam pengunaan purwarupa portal SSO.
• Sistem yang dibangun tidak utuh, hanya sebatas purwarupa.
TUJUAN PENELITIAN
Terciptanya purwarupa portal SSO yang dapat digunakan oleh universitas sebagai solusi otentikasi dan identifikasi pengguna di lingkungan sistem informasi yang terintegrasi.
MANFAAT PENELITIAN
Membuat sebuah rancangan purwarupa portal SSO pada sebuah universitas yang dapat melayani otentikasi dan identifikasi pengguna terhadap aplikasi/sistem yang mungkin digunakan.
SISTEMATIKA PENULISAN
• Bab I : Pendahuluan
• Bab II : Landasan Teori
• Bab III : Metode Penelitian
• Bab IV : Analisis & Perancangan Sistem
• Bab V : Implementasi
• Bab VI : Penutup
TEORI: KAJIAN HASIL PENELITIAN
• Wang, Rui (2012)
Banyak vendor aplikasi menyediakan layanan SSO, seperti Facebook atau Google. Sudahkah kita dapat merasa aman saat menggunakannya?
• Patil (2013)
Dasar penerapan SSO, keuntungan, dan kerugian penggunaan SSO.
• Wang, Shane(2012)
Komparasi WebSSO menggunakan Microsoft Live ID, OpenID, dan SAML 2.0.
TEORI: SSOMechanism whereby a single action of user authentication and authorization canpermit a user to access all comuters adsystems where he has access permission, without the need to enter multiplepasswords. (The Open Group, 1997)
TEORI: SSO PATIL (2013) & DOVER (2014)
PRO
• Mengurangi beban pengguna satu sandi saja
• Meningkatkan jaminan keamanan
• Meningkatkan kinerja pegawai
• Penekanan biaya pada pos tertentu IT
• Mengurangi resiko pengguna terblokir
KONTRA
• Perlu standar & budaya keamanan yang baik
• Investasi tambahan yang tidak terduga IT
• Persoalan legal dan standarisasi
TEORI: SAML (OASIS, 2005)
Framework berbasis XML yang ditujukan agar sistem dapat saling bertukar informasi userauthentication, hak akses, dan informasi lain yang dibutuhkan.
Versi
• November 2002 1.0
• September 2003 1.1
• April 2005 2.0
TEORI: KELEBIHAN SAML (OASIS, 2005)
Platform Neutrality
Loose couplingdirectories
Improved onlineexperience for
end user
Reduceadministrative
cost
Risktransference
TEORI: KOMPONEN SAML (OASIS, 2005)
• Assertion
• Authentication
• Attribute
• Authorization Decision
• Protocol Request – Response
• Binding
• Profiles
METODOLOGI WATERFALL
Pengumpulan Data
•Studi Pustaka
Analisis Sistem
•Sistem Lama
•Sistem Baru
Perancangan Sistem
•Sistem
•Basisdata
•Antarmuka
Implementasi
Pengujian (BB)
ANALISIS & PERANCANGAN (HAL. 35 – 63)
IMPLEMENTASI
PENUTUP
SIMPULAN
• Perancangan, Implementasi, dan Pengujian telah dilakukan.
• Pengamanan data dengan metode MD5 dan Base64, encoding paket SAML, dan penggunaan SSL serta HTTPS
• WebSSO dengan SimpleSAMLphp
• SimpleSAMLphp digunakan sebagai SP
SARAN
• Diperlukan pengujian white box
• Diperlukan sertifikat SSL yang verified dan trusted
• Perlu asesmen rutin
FITUR BELUM SELESAI/DILAKUKAN
• Implementasi SSL & HTTPS
• Implementasi Base64 untuk mengamankan sesi dengan token yang random dan dapat ditranslasiberdasarkan kunci (salt) tertentu
• Pengiriman notifikasi/komunikasi melalui email
Asynchronous Login