Implementação de controle de acesso federado baseado em atributos para ambientes de nuvem Apache CloudStack

Abstract

Este trabalho tem como objetivo desenvolver uma solução para o Apache CloudStack que permita a recepção de atributos dos provedores de identidade durante o processo de Single Sign-On via SAML, incorporando-os ao controle de acesso. Conceitos relacionados à gestão de identidade e computação em nuvem são levantados e contextualizados. Então, o fluxo de autenticação SAML presente no Apache CloudStack é diagramado e uma especificação é criada para estender o processo de controle de acesso, permitindo a criação automática de contas e usuários inexistentes. Funcionalidades existentes são reaproveitadas para possibilitar o mapeamento dos atributos recebidos do IdP para uma estrutura pré-definida. São realizadas adaptações para manter a compatibilidade com o comportamento prévio do sistema. Por fim, a solução é implementada e testada. A solução aqui desenvolvida abre caminho para futuras inovações e melhorias na integração entre o Apache CloudStack e provedores de identidade, além de no seu próprio processo de autorização interno.

This bachelor's thesis aims to develop a solution for Apache CloudStack that allows receiving attributes from identity providers during the SAML Single Sign-On process, incorporating them to access control. Concepts related to identity management and cloud computing are raised and contextualized. Then, current SAML authentication flow is diagrammed. A specification is created to extend the access control process, allowing for automatic creation of non-existing users and accounts. Existing functionalities are reused to allow for the attributes received from the IdP to be mapped to a pre-defined structure. Adaptations are made to maintain compatibility to the system previous behavior. Finally, the solution is implemented and tested. The developed solution makes room for future innovations and improvements in the integration of Apache CloudStack and identity providers, on top of its own internal authorization process.