1

IMPLEMENTASI TEKNOLOGI SINGLE SIGN ON DI LINGKUNGAN TEKNIK INFORMATIKA ITS

Deden Ade Nurdeni – Wahyu Suadi, S.Kom., M.Kom.

Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS), Surabaya, 60111, Indonesia

E-mail: deden_and@yahoo.com

Abstrak Perkembangan teknologi komputer dewasa ini

sangat pesat, terlebih lagi ketika ditemukannya teknologi jaringan komputer dan internet. Seiring dengan perkembangan internet, banyak dibangun sistem yang bersifat real-time dan online, yang memungkinkan seseorang dapat mengaksesnya dari mana saja dan mendapatkan informasi terkini. Sistem tersebut dibangun sendiri – sendiri (stand alone) dan banyak yang membutuhkan user identity yang unik agar dapat mengakses sistem tersebut.

Jurusan Teknik Informatika mempunya berbagai macam aplikasi web based dalam menunjang aktivitas akademiknya, seperti web berbagai macam praktikum, web kuliah virtual, web monitoring TA, web perpustakaan digital dan web perkuliahan. Semua akses ke aplikasi-aplikasi tersebut masing-masing merlukan otentikasi user yang unik untuk seorang mahasiswa atau user. Hal ini menyebabkan user akan melakukan proses login berkali-kali.

Teknologi Single Sign On memberikan kemudahan kepada user untuk proses otentikasi. User hanya perlu melakukan satu kali login untuk mengakses semua aplikasi yang ada. Teknologi ini memerlukan satu buah user identity yang unik untuk seorang user yang disimpan dalam sebuah credential store. Otentikasi dari semua aplikasi yang ada diatur oleh sebuah server otentikasi (Central Authentication Services) yang menangani validasi dan authorisasi user identity yang tersimpan dalam server yang menyimpan informasi user tersebut. Server Otentikasi ini memberikan sebuah karcis atau Services Ticket ke browser user di sisi client jika identitas user sama dengan identitas user di server database. Ticket Services ini digunakan browser untuk mengakses aplikasi lain yang memerlukan otentikasi tanpa melakukan login kembali.

Kata Kunci : Single Sign-On, otentikasi, user

identity. Central Authentication Services, security

1. Pendahuluan Perkembangan Teknologi Informasi yang begitu

cepat ditunjang dengan berbagai penemuan dan inovasi telah membawa banyak perubahan dalam kehidupan manusia. Semakin banyak hal dan aspek dalam kehidupan yang menggunakan IT untuk menjalankan roda aktivitasnya.

Dampaknya adalah banyak aplikasi yang dibuat oleh programmer untuk berbagai macam keperluan untuk menunjang produktivitas dan efektivitas kerja. Salah satu implementasi aplikasi tersebut adalah aplikasi web based dengan berbagai fungsionalitasnya.

Diambil sebagai contoh, Institut Teknologi Sepuluh Nopember (ITS) khususnya jurusan Teknik Informatika memiliki layanan aplikasi untuk civitasnya yang sangat kompleks, untuk dapat mengakses sistem layanan aplikasi tersebut, harus melewati sebuah proses autentifikasi yang berbeda-beda pada setiap aplikasi. Dari sini akan timbul kesulitan untuk mengelola login tersebut jika seorang pengguna memiliki login yang berbeda-beda untuk setiap sistem aplikasi, dengan demikian seseorang harus menghapalkan banyak username dan password.

Oleh karena itu diperlukan suatu sistem portal, yang dapat mengintegrasikan seluruh layanan aplikasi ini dan mengelola proses autentifikasi pada masing-masing sistem layanan, menjadi satu proses autentifikasi. Proses autentifikasi pada sistem yang terintegrasi ini memerlukan sebuah sistem tambahan yang menjadi penghubung antara sistem integrator dan sistem layanan aplikasi. Sistem inilah yang menangani seluruh proses autentifikasi pada masing-masing sistem layanan aplikasi, yang biasa dikenal dengan sistem Single Sign-On (SSO). 2. Single Sign On (SSO)

Teknologi Single-sign-on (sering disingkat menjadi SSO) adalah teknologi yang mengizinkan pengguna jaringan agar dapat mengakses sumber daya dalam jaringan hanya dengan menggunakan satu akun pengguna saja. Teknologi ini sangat diminati, khususnya dalam jaringan yang sangat besar dan bersifat heterogen (di saat sistem operasi serta aplikasi yang digunakan oleh komputer adalah berasal dari banyak vendor, dan pengguna dimintai untuk mengisi informasi dirinya ke dalam setiap platform yang berbeda tersebut yang hendak diakses oleh pengguna). Dengan menggunakan SSO, seorang pengguna hanya cukup melakukan proses autentikasi sekali saja untuk mendapatkan izin akses terhadap semua layanan yang terdapat di dalam jaringan.[2]

Keuntungan sebuah system menggunakan SSO adalah sebagai berikut : • Mengurangi tingkat kejenuhan user dalam

penggunaan password. • Mengurangi waktu yang digunakan untuk

memasukkan password kembali untuk sebuah identitas yang sama.

• Dapat mendukung otentikasi konvensional seperti Windows Credential.

• Mengurangi biaya IT seiring dengan berkurangnya user yang meminta bantuan mengenai hal otentikasi yagn dalam hal ini adalah permaslah di username atau password

2

• Keamanan di semua level akses baik masuk maupun keluar system.[2]

3. Public Key Infrastructure (PKI) dalam SSO PKI dengan basis SSO memungkinkan proses

kriptografi public key untuk mengidentifikasi user. User membuat sertifikat digital. Sertifikat digital adalah sebuh “kartu kredit” elektronik yang memuat data credential user ketika melakukan aktifitas otentikasi pada website. Sertifikat ini diatur oleh Certification Authority (CA). CA terdiri dari nama, serial number, tanggal expired, salinan sertifikat pemegang public key (digunakan untuk mengenkripsi pesan dan tanda tangan digital), dan tanda tangan digital untuk otorisasi sertifikat sehingga user dapat memverifikasi bahwa sertifikat itu benar. Beberapa sertifikat digital memenuhi standar X.509. Sertifikat digital ini dapat disimpan di registry sehingga pada saat proses otentikasi user dapat mencari public key user lain.

PKI dalam sistem Single Sign-On memerlukan sebuah Directory Services, seperti LDAP (Ligtweight Directory Access Protocol). LDAP akan dijelaskan pada sub bab setelah ini. LDAP menyimpan informasi pribadi user dalam direktori dan memerlukan public key. Direktori ini mungkin juga berisi daftar sertifikat yang sudah expired dan akan dibuang.

Private key merupakan sekumpulan string bit yang panjang, biasanya dalam format Base64. Private key harus dijaga dengan aman, setelah seorang hacker mendapatkan private key, mereka dapat bertindak sebagai pemilik dari private key. Biasanya, private key disimpan di perangkat keras seperti USB, atau smart-card. Private key harus dilindungi oleh sebuah pass-phrase, untuk memastikan bahwa hanya yang memiliki private key yang dapat menggunakannya.

Gambar 1 menunjukkan sistem PKI dalam SSO. Ketika seorang user mencoba untuk mengakses sebuah remote resource, maka user tersebut akan menciptakan sebuah request, termasuk sertifikat digital dirinya (berisi public key) dan menandainya dengan private key. Request diterima oleh server yang sebelumnya telah terhubung dengan server LDAP untuk memverifikasi public key dari user tersebut benar. Pada tahap ini memungkinkan penyerang mengganggu paket di jaringan, dan dapat melakukan serangan reply attack. Untuk alasan ini server mengirim tanda kepada klien dengan semacam puzzle yang sederhana, hanya pemilik dari private key akan dapat mengirim kembali jawaban dari tanda tersebut.[3]

Gambar 1 Ilustrasi PKI dalam SSO

4. Lightweight Directory Access Protocol (LDAP) LDAP (Light Weight Directory Access Protocol)

adalah sebuah protokol yang mengatur mekanisme pengaksesan layanan direktori (Directory Service) yang dapat digunakan untuk mendeskripsikan banyak informasi seperti informasi tentang people, organizations, roles, services dan banyak entitas lainnya. LDAP menggunakan model client-server, dimana client mengirimkan identifier data kepada server menggunakan protokol TCP/IP dan server mencoba mencarinya pada DIT (Directory Information Tree) yang tersimpan di server. Bila di temukan maka hasilnya akan dikirimkan ke client tersebut namun bila tidak maka hasilnya berupa pointer ke server lain yang menyimpan data yang di cari. Gambar 2 menunjukkan model dari struktur sebuah directory. Secara prinsip struktur database pada suatu directory service adalah hierarki seperti yang di tunjukkan pada gambar di atas. Suatu directory service akan memiliki item yang di jadikan sebagai root. Untuk sebuah titik root, secara umum di tunjukkan dengan suatu attribut dc (Domain Component) atau o (Organization) mungkin juga ou (Organization Unit). Kemudian pada titik daun (leaf) biasanya akan berisi item dengan attribut uid (User ID) ataupun cn (Common Name). Directory service biasanya menyimpan informasi dalam bentuk struktur tree yang dinamakan Directory Information Tree (DIT).[4]

Gambar 2 Model directory

5. Perancangan Sistem Server SSO

Dengan pendekatan Broker, dalam sistem SSO ini akan dibangun sebuah server otentikasi yang selanjutnya kami sebut dengan istilah Central Authentication Server Informatika ITS (CASIF-ITS) yang berfungsi untuk melakukan otentikasi dan otorisasi user serta memberikan ticket elektronik atau Services Ticket (ST) ke client. Dengan tiket ini user dapat melakukan akses ke beberapa aplikasi yang masing-masing memerlukan otentikasi user, ST mempermudah user karena tidak perlu melakukan proses login disetiap aplikasi karena proses login hanya dilakukan satu kali ketika mengakses aplikasi yang pertama. Manajemen data user yang digunakan dalam sistem ini menggunakan struktur internal dari LDAP directory yang dihandle oleh sebuah server LDAP. Dengan struktur directory ini setiap identitas user dimasukkan dalam entry directory berdasar pada level aksesnya.

3

Untuk menjaga keamanan data, sistem ini menggunakan protokol Transport Layer Security (TSL) untuk komunikasi antar server CASIF-ITS dan server LDAP serta ntuk komunikasi antara client dan server CASIF-ITS.

Gambar 3 Arsitektur System CASIF-ITS

Gambar 3 diatas menunjukkan overview utama sistem CASIF-ITS yang akan dibangun. Dari arsitektur diatas sistem ini terdiri dari beberapa bagian: • User : dalam hal ini adalah civitas akademik

teknik Informatika ITS yang akan mengakses aplikasi web based (1).

• Aplikasi : aplikasi web based yang membutuhkan otentikasi dan otorisasi user untuk aksesnya. Oleh karena itu user harus melakukan proses login terlebih dahulu. Dalam sistem ini proses otentikasi user semua dihandle oleh CASIF-ITS server, maka aplikasi langsung meredirrect ke CASIF-ITS bila user belum terotentikasi (2).

• Otentikasi dan Pemberian Services Ticket: Otentikasi dan pemberian service ticket ke client ditangani oleh server CASIF-ITS, user akan memasukkan user credential berupa username dan password (3).

• Management User : informasi dari proses login diatas akan diotentikasi dengan meng-queri user-identity yang ada di server LDAP (4). Jika valid, server LDAP anak memberitahukan ke server CASIF-ITS(5). Selanjutnya CASIF-ITS akan meredirrect kembali ke aplikasi dengan menyertakan service tiket kepada user (6). Tiket ini akan memberitahukan ke aplikasi bahwa user telah terotentikasi dan tidak perlu melakukan proses logi lagi ketika mengakses Aplikasi yang lain.

Pada tahapan selanjutnya setelah user melakukan proses login ke CASIF-ITS server dan mendapat tiket ke aplikasi pertama, maka user akan melakukan akses ke aplikasi lain dengan browser yang sama sebelum browser tersebut ditutup dan sebelum melakukan logout dari CASIF-ITS. Pada kasus ini, user tidak perlu melakukan otentikasi lagi karena sudah mempunya credential user dan tiket yang tersimpan dalam cookie browser yang digunakan user. Namun secara backend system akan meredirect ke server

CASIF-ITS untuk melakukan proses validasi user dan tiket. Gambar 4 adalah diagram alir dari system CASIF-ITS beserta contoh akses URL yang terjadi dalam lingkungan sistem ini.

Gambar 4 Diagram CASIF-ITS

6. Perancangan aplikasi client

Gambar 5 Model implementasi aplikasi client

Aplikasi disini adalah beberapa aplikasi website

dimana seorang user mempunyai hak akses disemua aplikasi tersebut tetapi masing-masing dari aplikasi memerlukan otentikasi dan otorisasi user. Overview dari aplikasi sistem ini digambarkan pada gambar 5.

4

Aplikasi yang akan dibangun memiliki lingkungan pengembangan sebagai berikut: 1. Aplikasi A

Aplikasi ini dibangun berada dalam lingkungan opensource yakni menggunakan web server dan bahasa pemrograman yang free sekaligus banyak digunakan dalam pembangunan aplikasi website di kampus Teknik Informatik. - Web Server : Apache2 - Bahasa pemrograman : PHP5 - Database : MySQl 5.0 2. Aplikasi B

Aplikasi ini berada dalam lingkungan Microsoft dengan teknologi website nya. - Server : IIS 5.0 - Bahasa Pemrograman : ASP.Net dengan C# - IDE : Visual Studio 2005 - Framework :Microsoft.Net

Framework3.0 Gambar 6 dibawah menunjukkan aplikasi yang berada pada lingkungan SSO CASIF-ITS.

Gambar 6 Model otentikasi Aplikasi dengan sistem SSO CASIF-ITS

7. Model Security Perancangan security dari system SSO CASIF-

ITS dengan menggunakan protoko Hypertext Transfer Protocol Secure (HTTPS) dalam komunikasi server CASIF-ITS dengan aplikasi client dalam lingkungan SSO CASIF-ITS. Server CASIF-ITS menggunakan layer security Security Socket Layer (SSL) dengan membangun self signed certificate dibagian server serta menyakinkan semua client yang berada dalam lingkungan CASIF-ITS ini dapat berkomunikasi secara secure dengan sertifikat tersebut.

Gambar 7 Model security sistem CASIF-ITS

Koneksi secure SSL terjadi diantara aplikasi client dengan server CASIF-ITS ketika proses otentikasi. Sedangkan komunikasi antara Server CASIF-ITS dengan LDAP server berada pada lingkungan yang secure karena user tidak diijinkan melakukan komunikasi langsung ke server LDAP. Gambar 7 menunjukkan model arsitektur sistem keamanan CASIF-ITS. 8. Uji Coba Server CASIF-ITS (stand alone)

Gambar 8 adalah snapshoot dari halaman login server CASIF-ITS yang langsung kita akses di URL utamanya. URL dari CASIF-ITS.

Gambar 8 Halaman login CASIF-ITS

Selanjutnya kita mempunyai sebuah user ujicoba dengan nama user “deden” dengan password “rahasia” yang tersimpan dalam struktur directory di LDAP server. Dengan username dan password tersebut kita akan melakukan login. 9. Uji Coba Aplikasi

Sekenario pertama adalah dengan akses aplikasi website PHP. Aplikasi ini mempunyai URL : http://10.151.31.234/CAS102/web.php , jika kita mengakses situs ini untuk pertama kali yang artinya belum mendapatkan ticket, maka kita akan diredirect ke halaman login CASIF-ITS dengan tambahan query string dari URL aplikasi PHP. Gambar 9 menunjukkan redirect ke CASIF-ITS.

Gambar 9 Halaman login CASIF-ITS dari aplikasi PHP

5

Proses selanjutnya adalah user akan melakukan proses otentikasi dengan memasukkan username dan password. Jika berhasil maka user akan diredirect kembali ke URL aplikasi yang dituju diawal dengan mendapatkan parameter response sebuah baris ticket. Halaman utama dari aplikasi PHP ini akan mendapatkan username dari user yang berhasil melakukan otentikasi. Gambar berikut adalah halaman aplikasi PHP setelah user berhasil melakukan otentikasi.

Gambar 10 Halaman utama aplikasi PHP sekenario

pertama Sekenario kedua adalah ketika user telah berhasil

melakukan otentikas dan sukses di aplikasi PHP maka user akan mencoba mengakses aplikasi lainnya dalam hal ini aplikasi di lingkungan ASP.Net dengan menggunakan browser yang sama dan tanpa melakukan logout terlebih dahulu.

Gambar 11 menunjukkan halaman utama dari aplikasi ASP.Net langsung dapat ditampilkan tanpa melakukan otentikasi ke server CASIF-ITS terlebih dahulu. URL dari aplikasi ASP.Net adalah http://10.151.32.181:4528/dotNet/Default.aspx . Pada sekenario kedua ini, username langsung dapat ditampilkan dan URL dari halaman ASP.Net mendapatkan response barisan deret ticket yang berbeda dari aplikasi PHP.

Gambar 11 Halaman utama apliasi ASP.Net sekenario

kedua

10. Uji Coba Performa Server CASIF-ITS

10.1 Skenario Pertama

Uji coba server dengan mengirimkan thread request sejumlah 1, 10, 50, 100, 200, 300 dan 500 buah secara bersamaan dalam satu waktu. Hal ini mensimulasikan ketika user melakukan akses ke aplikasi yang berada dilingkungan CASIF-ITS secara bersamaan. Berikut table hasilnya. Akses ke URL https://10.151.31.234/CASIF-ITS/login?service=http://10.151.31.234/CAS102/web.p

hp

Tabel 1 Tabel response time server CASIF-ITS sekenario pertama

Dalam table 1 diatas waktu rata-rata adalah waktu respon rata-rata server dalam merespon request, waktu minimal adalah waktu terkecil yang dibutuhkan menyeselsaikan satu request dan waktu maksimal adalah waktu terlama server melakukan respon. Respon error adalah prosentase jumlah respon yang error dari server CASIF-ITS. Hal ini menunjukkan kelemahan server dalam menangani beban request yang overload dalam waktu yang bersamaan.

10.2 Skenario Kedua

Sekenario kedua dengan memberikan beban request ke server CASIF-ITS dengan format waktu delay 0.05 detik untuk setiap kali request. Sekenario kedua mempunyai jumlah user uji coba yang sama dengan sekenario pertama yaitu 1, 10, 50, 100, 200, 300 dan 500 user dengan menakses URL https://10.151.31.234/CASIF-ITS/login?service=http://10.151.31.234/CAS102/web.php . Berikut adalah table hasil response time server CASIF-ITS untuk sekenario kedua.

user Waktu (milisecond) respon error (%)

rata-rata minimal maksimal 1 40 40 40 0

10 255 167 587 0

50 1536 1028 2025 0

100 264 13 3048 0

200 332 14 3005 0

300 1423 13 6334 0

500 1508 13 18967 0 Tabel 2 Tabel response time server CASIF-ITS

sekenario kedua

user Waktu (milisecond) respon error (%)

rata-rata minimal maksimal 1 35 35 35 0

10 186 135 282 0

50 974 283 2065 0

100 4211 918 11283 0

200 8022 3 21110 14

300 9200 3 22771 4

500 8066 3 33281 43,80

6

Dari table 2 diatas dapat diketahui tidak ada response error dari server karena server dapat melakukan respon dengan baik dari setiap request. Gambar 12 dan 13 beriut adalah grafik dari hasil diatas.

Gambar 12 Grafik respons rata-rata CASIF-ITS

sekenario pertama

Gambar 13 Grafik respon rata-rata CASIF-ITS

sekenario kedua

11. Uji Query Coba Server LDAP Uji coba sekenario pada server LDAP

menggunakan mekanisme dan metode yang sama dengan uji coba pada server CASIF-ITS. JMeter akan melakukan uji coba server LDAP dengan model request search susunan directory

11.1 Skenario Pertama Sekenario pertama adalah dengan melakukan

request search ke server sejumlah 1, 10, 50, 100, 200, 300 dan 500 request. Request search directory dengan alamat cn=admin,dc=ncc,dc=its-sby,dc=edu. Tabel 3 dibawah menunjukkan hasil response time pada ujicoba sekenario pertama

user Waktu (milisecond) respon error (%) rata-

rata minimal maksimal 1 2 2 2 0

10 8 2 25 0

50 62 6 302 0

100 41 6 311 0

200 29 2 481 0

300 26 1 228 0

500 422 0 1719 0,2 Tabel 3 Tabel response time server LDAP

sekenario pertama

11.2 Skenario Kedua Sekenario pertama adalah dengan melakukan

request search ke server sejumlah 1, 10, 50, 100, 200, 300 dan 500 request dengan format delay 0,05 second setiap request. Request search directory dengan alamat cn=admin,dc=ncc,dc=its-sby,dc=edu.

user Waktu (milisecond) respon error (%)

rata-rata minimal maksimal 1 1 1 1 0

10 7 1 24 0

50 34 3 172 0

100 9 1 236 0

200 26 1 714 0

300 11 1 1839 0

500 2 1 45 0 Tabel 4 Tabel response time server LDAP

sekenario kedua

Tabel 4 menunjukkan hasil response time server LDAP, server dapat dengan baik menyelesaikan thread respon dari user. Pada gambar 14 dan gmabar 15 dibawah menunjukkan grafik dari response time rata-rata uji coba server.

Gambar 14 Grafik respon server LDAP sekenario

pertama

Gambar 15 Grafik respon server LDAP sekenario

kedua

12. Kesimpulan Dari hasil pengamatan selama perancangan,

implementasi, dan proses uji coba sistem yang dilakukan, dapat diambil kesimpulan sebagai berikut : 1. Sistem CASIF-ITS berhasil mengimplementasi

teknologi Single Sign On aplikasi web site dengan model pendekatan berbasis Broker di lingkungan Teknik Informatika ITS.

7

2. Aplikasi-aplikasi client di lingkungan SSO CASIF-ITS dapat dikembangkan dalam lingkungan platform yang berbeda.

3. Self Signed Certificate dapat digunakan dalam membangun koneksi secure dengan protokol HTTPS di sistem SSO CASIF-ITS.

4. Leighweight Directory Access Protocol (LDAP) dapat digunakan sebagai pusat manajemen user sistem SSO.

5. Response time dari server ke client meningkat berbanding dengan meningkatnya jumlah user yang mengakses server dalam waktu yang bersamaan.

6. Beberapa response error dari server terjadi ketika server diakses 200 atau lebih user dalam waktu yang bersamaan.

13. Saran

Berikut adalah beberapa saran untuk pengembangan sistem Single Sign On pada masa yang akan datang. 1. Untuk lebih menjaga keamanan data, komunikasi

client server menggunakan koneksi secure SSL dengan menggunakan sertifikat yang Thrusted dari Certificate Authory bukan hanya sekedar self signed certificate.

2. Sistem ini belum memiliki manajemen Otorisasi user disetiap level hak akses karena user hanya memiliki satu buah hak akses untuk itu perlu dikembangkan metode pembagian hak akses user yang berbeda di setiap aplikasi yang berbeda.

14. Daftar Pustaka [1] Allen Adam,. 2003, BSc(Hons) Networks

and Communications. [2] Hursti Jani., 1997, Single Sign On.

Department of Computer Science Helsinki University of Technology

[3] Munir, Rinaldi., 2006, Kriptografi. Penerbit Informatika Bandung

[4] Sukmana Ratdhian C., 2006, Pengenalan LDAP. <URL http://ratdix.wordpress.com> Diakses tanggal 02-06-2009

[5] Wikipedia <URL : http://en..wikipwdia.org/single-sign-on > Diakses tanggal 02-06-2009.

[6] Wikipedia <URL : http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol > Diakses tanggal 02-06-2009.