Release Notes / Kundeninformation Gamaret 20. März 2022
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Release Notes / Kundeninformation
Gamaret
20. März 2022
eIAM Gamaret Release Notes
März 2022
Dokumentengeschichte
Version Datum Änderung Autor(en)
0.1 13.01.2022 Initialversion Lukas Scheuner
0.2 13.02.2022 Anpassungen Lukas Scheuner
1.0 18.03.2022 Finale Anpassungen Lukas Scheuner
FED-LOGIN 2.0
Geprüft durch
Version Datum Prüfung durch Bemerkung
1.0 18.03.2022 Michael Misteli
Freigegeben durch
Version Datum Freigabe durch Unterschrift
1.0 18.03.2022 Michael Misteli / Stefan
Minder
Standarddienst eIAM | 2
eIAM Gamaret Release Notes
März 2022
Inhaltsverzeichnis
1 Zweck des Dokumentes .......................................................................................................................................... 4
2 Der eIAM Service ..................................................................................................................................................... 5
3 eIAM Infrastruktur und die –Nutzung ..................................................................................................................... 8
3.1 Projekte in eIAM ............................................................................................................................................ 9
4 Release Notes Gamaret......................................................................................................................................... 10
4.1 FED-LOGIN 2.0 ........................................................................................................................................... 10
4.2 BYOI zusätzlicher IdP ...................................................................................................................................11
4.3 Re-Login Button .......................................................................................................................................... 12
4.4 MobileID für CH-Login ................................................................................................................................ 12
Standarddienst eIAM | 3eIAM Gamaret Release Notes
März 2022
1 Zweck des Dokumentes
Die Release Notes (RN) berichten über die Erweiterungen, sowie neuen Funktionalitäten und Änderungen des
Standarddienstes eIAM gemäss Roadmap DTI (bis 12.2020 ISB).
Einführend soll für den Erstleser in Kapitel 2 der eIAM-Service kurz erklärt werden. Kapitel 3 gibt aktuell Auskunft
über die eIAM Infrastruktur und die eIAM-Nutzung, Kapitel 4 über die geplanten Inhalte der kommenden Releases.
Den gesamte Release Plan eIAM finden Sie auf der Kundenplattform BIT:
https://intranet.bit.admin.ch/bit_kp/de/home/governance/lifecycle-release-management/lrm.html
Die effektiven Release Notes sind ab Kapitel 4 zu finden und geben hauptsächlich eine Übersicht der realisierten
Funktionalitäten und kundenrelevanten Informationen im vorliegenden Release «Chasselas».
Der Leistungserbringer BIT erfasst die, für die Lieferobjekte zu erbrigenden Lieferungen, in ihrem JIRA System un-
ter dem Jira-Projektnamen EIAM.
Bitte beachten Sie, dass Termine für die Fertigstellung von Dokumentationen und Konzepten sich in der Regel auf
das Ende einer Release Periode beziehen und nichts mit den einzelnen Release Zeitpunkten (Release Terminen) für
Funktionalitäten zu tun haben.
Folgende Termine gelten für den Release Gamaret:
REF: 15. Februar 2022
ABN: 2. März 2022
PROD: 20. März 2022
Weitere Informationen zu eIAM und Release Notes (laufende Aktualisierung) finden Sie unter:
www.eiam.admin.ch/releasenotes
Folgende Termine gelten für den nächsten Release Freiburger:
REF: 19. April 2022
ABN: 4. Mai 2022
PROD: 22. Mai 2022
Standarddienst eIAM | 4eIAM Gamaret Release Notes
März 2022
2 Der eIAM Service
eIAM ist das zentrale Zugriffs- und Berechtigungssystem der Bundesverwaltung für Webapplikationen und native
Mobile Apps (vgl. hierzu www.eiam.admin.ch).
GENERELLE FUNKTIONSWEISE VON eIAM
Webapplikationen und native Mobile-Apps, welche elektronische Identitäten benötigen, müssen diese bei eIAM
beziehen, indem Sie über SAML2.0, OpenID Connect, OpenID Connect OAuth2 oder WS-Federation an eIAM an-
geschlossen werden. WS-Federation ist nur erhältlich, wenn die Applikation im BIT betrieben wird. Die Bezugs-
pflicht ist im Marktmodell geregelt.
eIAM übermittelt den so angeschlossenen Applikationen (Zielapplikationen) Referenzen zu internen und externen
Anbietern von elektronischen Identitäten sog. Identitätsprovidern (IdPs), damit die Applikation die User wiederer-
kennen kann. Werden abgeklärte elektronische Identitäten eingesetzt, können nebst der Wiedererkennung Aussa-
gen mit definierter Verlässlichkeit zu Identitätseigenschaften der User gemacht werden.
Optional kann eIAM den angeschlossenen Applikationen Aussagen zu den Berechtigungen der User übermitteln
(sogenanntes Accessmanagement mit Units, Profilen, Rollen und Attributen).
Die generelle Funktionsweise wird auch im eIAM-Instruktionsvideo erklärt.
Leistung 1: Vermittlung von elektronischen Identitäten
eIAM vermittelt den angeschlossenen Webapplikationen und nativen Mobile-Apps (Zielapplikationen) Referenzen
zu elektronischen Identitäten von internen und externen Identitätsprovidern, für die Gesamtheit des entstehenden
Zusammenschlusses (Verbunds) wird der Begriff Föderation verwendet.
Leistung 2: Bereitstellung von eigenen elektronischen Identitäten (interne Identitätsprovider CH-LOGIN, SG-PKI,
Kerberos, MDM)
eIAM stellt die elektronische Identität für Bürgerinnen, Bürger und Vertreter der Wirtschaft im In- und Ausland zur
Verfügung. CH-LOGIN-Identitäten gibt es in selbstregistrierter (unabgeklärter) und abgeklärter Qualität (siehe CH-
LOGIN LOA3).
SG-PKI (mit Smartcard): Des Weiteren sind in eIAM die elektronischen Identitäten aus der SG-PKI (Swiss Govern-
ment Public Key Infrastructure) einsetzbar, dies für Mitarbeitende der Bundesverwaltung und SG-PKI-Affiliierter.
Kerberos: Die elektronischen Identitäten der Mitarbeitenden der Bundesverwaltung können in dedizierten bundes-
internen Netzen von den Zielapplikationen alternativ (anstelle der Smartcard-Zertifikatsquelle) als Kerberos-
Tickets bezogen werden. Diese Bezugsart resultiert in einer Herabstufung der deklarierten Verlässlichkeit der so
vermittelten subjektidentifizierenden Eigenschaften.
FED-LOGIN ohne Smartcard: Nutzung der elektronischen Identitäten aus der SG-PKI durch die Mitarbeitenden der
Bundesverwaltung ohne Smartcard/Kerberos (ab 2021). FED-Login wurde vorher auch als „BV-Login“ bezeichnet.
FED-LOGIN wurde mit dem Release Pinot Noir im Oktober 2021 erfolgreich umgesetzt, und wird für sämtliche
Bundesmitarbeiter sichtbar, sobald die erste Fachapplikation aktiviert wird. Dies wird GEVER sein. Dies geschieht
zu einem noch offenen Zeitpunkt im 2022. Fachapplikationen, welche in der Vorproduktion (REFERENZ und AB-
NAHME) bereits im Q4 2021 am BETA-Testing des neuen FED-LOGIN teilnehmen wollen, können sich beim eIAM-
Standarddienst eIAM | 5eIAM Gamaret Release Notes
März 2022
Team melden (Kontakt: Michael Misteli BIT). Im 2022 wird, an einem noch zu definierenden Termin, die PROD für
alle Fachapplikationen auf den neuen FED-LOGIN umgestellt. Über diese Umstellung wird in einer separaten Kun-
denkommunikation informiert.
MDM: Eine Vermittlung der elektronischen Identitäten der Mitarbeitenden der Bundesverwaltung ohne Einsatz
einer Smartcard bietet auch der Citrix Secure Hub, welcher im Rahmen des Mobile Device Management (MDM)
der Bundesverwaltung auf iOS-Geräten in einer Sandbox zum Einsatz kommt. Webapplikationen die im Web
browser dieser Sandbox (Citrix Secure Web Browser) laufen sowie native Mobile-Apps in dieser Sandbox können
automatisch mit diesen Identitätsinformationen versorgt werden, so dass die Mitarbeitenden kein Login durchfüh-
ren müssen.Es ist also der Zutritt zur Sandbox ansich, abgewickelt durch die lokalen Mechanismen der iOS-Geräte,
welcher als Berechtigungsnachweis für die automatischen, unsichtbaren In-Sandbox-Authentisierungen gilt. Diese
Bezugsart resultiert in einer Herabstufung der deklarierten Verlässlichkeit der so vermittelten subjektidentifizieren-
den Eigenschaften.
Leistung 3: Durchführung von Logins mit unterschiedlichen Credentials
Aus den Leistungen 1 und 2 resultiert, dass nicht die Zielapplikationen selber die Logins (Benutzeranmeldungen)
durchführen, sondern eIAM selber, respektive ein angeschlossener externer Identitätsprovider. Dies ist ein wichti-
ger Sicherheitsaspekt der Föderation zwischen Identitätsprovider, eIAM und Zielapplikationen: Das Login wird im-
mer auf der Infrastruktur des Anbieters der elektronischen Identität durchgeführt. Welche Identitätsprovider und
welche Identitätsqualitäten eine Zielapplikation akzeptiert, wird in eIAM pro Zielapplikation eingestellt. Die für eine
Zielapplikation zugelassenen Identitätsqualitäten definieren, welche Credentials einsetzbar sind. Für abgeklärte
Identitäten sind mTAN-Versand und Authenticator Apps nicht genügend, es müssen Vasco-Tokens oder wie be-
schrieben Zertifikate (auf Zertifikatsträgern wie Smartcard, USB-Stick, SIM-Karte (=Mobile ID)) eingesetzt werden.
Für die Logins betreffend der im eIAM-Kontext internen Identitätsprovider, kommen folgende Credentials (Sicher-
heitsmerkmale) zum Einsatz: Passwort, mTAN-Versand (international, SMS und Festnetz), Authenticator Apps,
Vasco-Tokens, Zertifikate auf SIM-Karten (sog. Mobile ID) und Zertifikate auf Zertifikatsträgern wie Smartcards
und der Citrix Secure Hub auf iOS-Geräten. Der Mobile ID-Einsatz ist nur für Mitarbeitende der Bundesverwaltung
vorgesehen, dies ab Ende 2020. Die Vasco-Tokens werden national und international eingesetzt für abgeklärte
Identitäten für Personen, welche keinen Zugang zur SG-PKI haben.
Leistung 4: Selbstregistrierung
Der eIAM-eigene Identitätsprovider CH-LOGIN bietet elektronische Identitäten an, welche kostenlos weltweit
durch Selbstregistrierung durch die Benutzenden erworben werden können. Ob eine Zielapplikation solche selbst-
registrierten elektronischen Identitäten akzeptiert, und wenn ja, ob sofort nach der Selbstregistrierung ohne manu-
elle Freischaltung durch einen Verantwortlichen, wird in eIAM pro Zielapplikation eingestellt (vgl. dazu den nächs-
ten Abschnitt "Onboardingverfahren").
Leistung 5: Onboardingverfahren
Der Begriff Onboarding beschreibt den Prozess, der dazu führt, dass ein User mit seiner elektronischen Identität
eine Zielapplikation benutzen kann.
Übliche Onboardingverfahren mittels eIAM sind:
A. Autoenrolment: Login (oder Selbstregistrierung, falls noch keine elektronische Identität vorhanden) mit an-
schliessend sofortiger Verfügbarkeit der Zielapplikation (sog. Autoenrolment im Silentmode).
B. Zugriffsantrag*: Login (oder Selbstregistrierung, falls noch keine elektronische Identität vorhanden) mit an-
schliessendem Zugriffsantrag. Erst nach Freigabe durch einen vordefinierten Verantwortlichen kann der User in
der Zielapplikation arbeiten.
Standarddienst eIAM | 6eIAM Gamaret Release Notes
März 2022
C. Einladung*: Dem Benutzer wird automatisch via eIAM per E-Mail oder manuell über einen anderen Versandka-
nal ein einmalig verwendbarer Code (sogenannter Onboarding-Code) zugestellt. Login (oder Selbstregistrierung,
falls noch keine elektronische Identität vorhanden) mit anschliessender Eingabe des Onboardingcodes; daraus
folgt die sofortige Verfügbarkeit der Zielapplikation. Die Einladungen werden über das delegierte Management,
siehe Leistung 6, generiert. EDEF kann hier eingesetzt werden (Verfügbar im Verlauf des Jahres 2022).
D. Vorprovisionierung: Die Benutzer werden aus Quellsystemen im Voraus eingelesen (z. B. Inhaber einer elektroni-
schen Identität der SG-PKI). Die Vorprovisionierung ist im eGovernment-Kontext mit Bürgerinnen, Bürgern und
Wirtschaftsvertretern keine Option.
*Es gibt Applikationen, die Zugriffsantrag und oder Einladung autonom abwickeln. In diesem Fall soll für eIAM die
Einstellung "A. Autoenrolment" vorgenommen werden.
Leistung 6: Delegiertes Management
Das delegierte Management von eIAM erlaubt das delegieren von definierten Teilen der Benutzerverwaltung für
eine oder mehrere Zielapplikationen an Organisationseinheiten innerhalb und ausserhalb der Bundesverwaltung.
Dazu wird in eIAM eine sogenannte Unit eröffnet, welche die delegierte Organisationseinheit repräsentiert und
dieser Unit wird mindestens ein delegierter Manager der delegierten Organisationseinheit zugeteilt. Der delegierte
Manager kann nun selbständig arbeiten, User onboarden, vgl. dazu das Onboarding-Verfahren C. Einladung und
User berechtigen, vgl. dazu das Accessmanagement von eIAM.
Leistung 7: Accessmanagement (Berechtigungssystem)
Während dem der Bezug der elektronischen Identitäten über eIAM Pflicht ist (vgl. Marktmodell), ist der Einsatz des
Accessmanagements von eIAM optional. Das heisst, Berechtigungen wie Rollen und Attribute können auch an-
derswo, z. B. in der Zielapplikation oder einer Middleware, vergeben werden oder, was häufig gemacht wird, ge-
mischt verortet, grobgranular in eIAMs Accessmanagement, feingranular in der Zielapplikation.
Im Accessmanagement von eIAM können die Berechtigungen über Units, Profile, Rollen und Attribute modelliert
werden.
Leistung 8: BYOI (Bring Your Own Identity), Multi-Unit, Multi-Profile und Multi-ID
Ein und dieselbe elektronische Identität kann in eIAM für mehrere Zielapplikationen, mehrere Firmenkontexte
(Units) und mehrere Profile in einer Zielapplikation verwendet werden, eIAM zeigt entsprechend Unit- und Pro-
filauswahlen an. Dabei können natürliche Personen, ausgenommen Bundesmitarbeitende, eine auf dem Markt er-
worbene elektronische Identität verwenden (BYOI), wenn diese für eIAM zugelassen ist. Zukünftig können auch
mehrere elektronische Identitäten zu einer Repräsentanz (Verbundsidentität) zusammengeschlossen werden (so-
genanntes ID-Linking).
BYOI wurde mit dem Release Pinot Noir (Produktion Oktober 2021) ausgerollt. Laufend werden neue BYOI IdPs
hinzugefügt und eIAM informiert entsprechend darüber.
Standarddienst eIAM | 7eIAM Gamaret Release Notes
März 2022
3 eIAM Infrastruktur und die –Nutzung
Der eIAM-Service ist ein VK3-Standarddienst der Bundesverwaltung, bzw. der DTI/BK mit dem leistungserbringer
BIT. Die aktuellen 1 Zahlen von eIAM sind wie folgt:
• Integrierte Lösungen: +500, aller Departe-
mente, 5-15 zusätzliche pro Monat
• Anzahl Logins / Tag: ca. 400'000 / Tag (Re-
kord: 30. August 2021. 505'244)
• Anzahl Identitäten: ca. 1.3 Mio. , ca. 1’000-
3'000 zusätzliche pro Tag.
• Teamgrösse eIAM 2: ca. 75 MA
Durch die starke Nutzung von eIAM, ca. 50-100% Wachstum jedes Jahr wurde die Teamorganisation und –grösse
in den letzten Monaten stark verändert, bzw. den wachsenden Anforderungen angepasst. Auch die veränderte
Methodologie auf SAFe hat grosse Veränderungen mit sich gebracht. So wurden die Entwicklungsteams (Develo-
ppment-Teams) getrennt, Integration und Consultingteams auseinander genommen und ein übergreifendes
«Platform-Team» gegründet.
Der letzte Schritt wird die Integration von ePortal/PAMS in das eIAM-Team darstellen. Hier verbleiben die Entwick-
ler und Business Analysten, Tester und weitere in der DIP-Organisation, werden aber mit dem eIAM-Team Syner-
gien bilden.
Sollten Sie anfragen oder Anliegen haben zu eIAM, ePortal oder PAMS können Sie sich an folgende Stellen oder
Personen wenden:
Neu Anforderungen an eIAM: Stefan Minder DTI/BK, Serviceverantwortlicher föderati-
ves IAM (BO-eIAM)
Betriebliche Fragen: eIAM-Platform-Team:
eiam-operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM Platformteam)
Integration von neuen Lösungen: eIAM-Integration-Team:
eIAM-Integrations@bit.admin.ch
Danny Rothe BIT (PO eIAM Integration)
Allgemeine Fragen, Mgmt-Fragen oder Beschwerden: Michael Misteli BIT, Serviceverantwortlicher eIAM / Pro-
jektleiter (BO-eIAM)
1
Stand September 2021
2
Ohne ePortal/PAMS
Standarddienst eIAM | 8eIAM Gamaret Release Notes
März 2022
3.1 Projekte in eIAM
Service Releases / Security Patches
Der eIAM-Service plant 4-5 Service Releases pro Jahr. Hier werden neue Funktionen hinzugefügt, kundenspezifi-
sche Bedürfnisse erfüllt, das Layout verbessert und erweitert oder Fehler behoben. Security Patches werden an
diesen Service Releases eingespielt, teilweise auch zu anderen Zeitpunkten, wenn es sich um einen Emergency
Patch handelt. Ein Service Release wird allermeist an einem Sonntag installiert, was aber heute bedeutet, dass
eIAM für ca. 2 Stunden nicht verfügbar ist. Mit dem laufenden Projekt «Zero Downtime» wird sich dies ändern.
Project Zero Downtime / Bundes Trustbroker
Unter anderem hat das Projekt folgende Ziele:
• Service Releases unterbruchsfrei zu installieren – wann und so häufig wie immer!
• Kontinuierliches und andauerndes Testen der Infrastruktur und so ein konstanter Healthcheck
• Unterbruchsfreies Ressourcenmanagement
• Ersatz des legacy Trustbrokers, Verfügung von neusten Protokollen und Anschlussarten
Geplant ist, dass im 2022 erste Kunden auf die Zero Downtime Infrastruktur migriert werden und im Laufe des Jah-
res 2023 die gesamte eIAM Infrastruktur «Zero Downtime» betreibbar ist. Mit dem Projekt Campus wird das Pro-
jekt «Zero Downtime» in mit einer Georedundanz erweitert.
Der neue Bundes Trustbroker ist in Entwicklung und wird in das Projekt Zero Downtime integriert. Beide Projekte
sind gegenwärtig in der Entwicklung.
Monitoring
Das «interne» Monitoring ermöglicht dem eIAM Platform-Team schon heute online die wichtigsten Daten und In-
formationen unserer eIAM-Infrastruktur einzusehen und bei Bedarf zu reagieren. Ein «externes» Monitoring wurde
für den ersten Kunden (ASTRA) umgesetzt. Hier kann ein Kunde die wichtigsten Daten und Informationen wie bei-
spielsweise Anzahl von paralellen Sessons seiner Infrastruktur, bzw. von eIAM online einsehen.
Sollten Sie sich für diese Anwendung interessieren wenden Sie sich bitte an den BIT-Serviceverantwortlicher eIAM.
Bitte beachten Sie, dass hier Kenntnisse auf Kundenseite in Monitoring und Splunk von sehr grossem Vorteil ist.
ePortal/PAMS
Das ePortal, bzw. PAMS wurde von DIP-Teams entwickelt und ist heute im produktiven Gebrauch. Mit der Einfüh-
rung der Marktleistung «ePortal» und der Überführung der Verantwortung in das eIAM-Team können sich Kunden
seit Herbst 2021 für entsprechende Anliegen an den BIT Serviceverantwortlichen eIAM wenden.
Standarddienst eIAM | 9eIAM Gamaret Release Notes
März 2022
4 Release Notes Gamaret
4.1 FED-LOGIN 2.0
Der Rollout vom FED-LOGIN 2.o wurde an den SR Gamaret geknüpft (separate Kundeninformation) und ist für die
meisten Applikationen mit dem Rollout verfügbar.
Das FED-LOGIN 2.0 beinhaltet die Authentifizierungsarten der heutigen IdP-Cert (Login mit Smartcard), IdP-Kerb
(Login mit Kerberos) und FED-LOGIN 0.9 (alter FED-LOGIN) und zusätzlich ermöglicht es den Internetzugriff auf
Fachapplikation ohne Smartcard-Authentifizierung mit den folgenden Authentifikationsmethoden:
• MobileID als Zweitfaktor und entspricht LoA 3 und QoA strong.
• User-ID, Passwort mit dem Zweitfaktor mTAN und entspricht LoA 2 und QoA normalverified.
• User-ID, Passwort mit dem Zweitfaktor Authenticator App und entspricht LoA 2 und QoA normalverified.
Da die bestehenden IdP-Cert, IdP-Kerb und FED-LOGIN 0.9 im Laufe des 2022 rückgebaut werden, muss vorgän-
gig eine Migration auf FED-LOGIN 2.0 durchgeführt werden.
Wichtige Änderungen:
• Mit dem Einsatz des FED-LOGIN 2.0 wird nun das Claim «http://schemas.eiam.ad-
min.ch/ws/2013/12/identity/claims/admindir/dn» nicht mehr an die Relying Parties geliefert.
• Beim Zugriff via mVDI erscheint eine Fehlermeldung, dass die Smartcard nicht ausgelesen werden kann.
Für das Login muss der Button «alternativer Login» selektiert werden, um z.B. mit MobileID das Login
durchzuführen. Die Funktionalität ist in keiner Weise beeinträchtig.
Falls Sie Hilfe benötigen, wenden Sie sich bitte an die FED-LOGIN Helpline:
Helpline-FED-LOGIN@bit.admin.ch
Standarddienst eIAM | 10eIAM Gamaret Release Notes
März 2022
4.2 BYOI zusätzlicher IdP
Mit dem Release soll ein zusätzlicher BYOI IDP in die Liste der IdPs aufgenommen werden. Dies ist der IdP «GE
eID» vom Kanton Genf. Aktuell läuft hier noch die technische Integration vom IdP und darum ist dieser IdP aktuell
auf PROD noch deaktiviert.
Standarddienst eIAM | 11eIAM Gamaret Release Notes
März 2022
4.3 Re-Login Button
Damit sich ein Benutzer direkt nach einem Logout wieder in die Fachapplikation einloggen kann, gibt es neu wie-
der den «Erneut einloggen» Butten auf dem Logout Screen. Dieser Button erleichter die Navigation falls man sich
direkt wieder einloggen möchten, zum Beispiel wenn der Benutzer eine Aktion in der Fachapplikation vergessen
hat oder etwas an der Fachapplikation getetstet wird. Der Button ist auf allen Umgebungen REF, ABN und PROD
verfügbar.
Wichtig: Der Button ist per Default eingeschaltet. Falls der Button auf dem Logout Screen nicht gewünscht ist, bitte
mit dem Integrationsteam Kontakt aufnehmen: eIAM-Integrations@bit.admin.ch
4.4 MobileID für CH-Login
Künftig wird die MobileID (www.mobileid.ch) auch für CH-Login Benutzer (eGov) verfügbar sein. Dies hat den Vor-
teil, dass eGov Benutzer neben dem Vasco Token ein weiteres starkes Authentisierungsmittel nutzen können. Auf
der anderen Seite ist dies für Betreiber von Fachapplikationen interessant da der Benutzerkreis von starken abge-
klärten Identitäten erweitert wird.
Aktuell ist dieses Feature bzw. die Registrierung der MobileID auf dem MyAccount noch deaktiviert.
Standarddienst eIAM | 12Sie können auch lesen
