Trustbroker de la Confédération (BTB)

A partir de l'automne 2022, eIAM est progressivement passé de machines virtuelles à l'infrastructure de conteneurs de l'OFIT. Avec ces déménagements, la fonctionnalité des trustbrokers d'eIAM, qui étaient responsables de la médiation des identités et des attributs, a été migrée vers le développement propre à eIAM appelé Bundestrustbroker (BTB). Cette infrastructure de conteneurs avec le BTB apporte les avantages suivants :

Quelles sont les exigences fonctionnelles couvertes par le BTB actuel?

  • Remplacement des Trustbrokers eIAM existants, qui sont basés sur Microsoft ADFS et fonctionnent sur des machines virtuelles.
  • Fonctionnalité de portail pour la pré-authentification, appelée Home Realm Discovery (HRD), afin que l'utilisateur puisse sélectionner des FI (héritée d'ADFS).
  • Possibilité de filtrer, de transformer et d'enrichir les attributs des fournisseurs de revendications avec des données d'autorisation et d'autres données d'autorisation nécessaires (reprises d'ADFS).
  • Nouveau : prend en charge le single sign-on/ single log-out entre plusieurs parties confidentielles sur la base des politiques SSO/SLO et du propre suivi de session.
  • Nouveau : possibilité d'une fonctionnalité de pré-autorisation, par exemple lorsque des rôles d'accès nécessaires manquent lors de l'onboarding.
L'introduction de la fonctionnalité PEP sur le BTB a permis de simplifier l'architecture eIAM pour les intégrations eIAM standard, car il n'est plus nécessaire d'avoir des PEP dédiés.

Quelles sont les exigences techniques auxquelles répond le BTB actuel?

  • Il fonctionne sur une plateforme de conteneurs pour faciliter l'instanciation, le rollover et l'évolutivité (Kubernetes, en particulier le cluster CCP OFIT Atlantica ccp05).
  • il prend en charge Canary Deployment pour vérifier les modifications avant qu'elles n'affectent les utilisateurs (les testeurs peuvent ainsi vérifier les nouvelles versions via les cookies avant qu'elles ne soient publiées)
  • Alignement de la pile technologique sur les standards de l'OFIT afin d'optimiser les travaux de maintenance de la plateforme (Java, Spring-Boot, Opensaml, Angular)
  • développement et configuration au moyen de l'approche GitOps (cadre opérationnel), c'est-à-dire une installation complète et compréhensible dans l'OFIT Bitbucket
  • Liens GitHub: trustbroker.swiss

Déploiement du BTB pour les applications

Le BTB a été déployé et activé de manière proactive avec la version de service Syrah le 08.01.2023. En développant ainsi le trustbroker fédéral en tant que composant de fédération pour l'eIAM, nous avons posé les jalons pour l'avenir. Nous avons éliminé les dépendances technologiques et réduit la complexité de l'architecture eIAM. En même temps, nous avons permis au composant de rester en forme pour les exigences futures importantes.

Les applications intégrées à eIAM ont ensuite été progressivement transférées vers l'infrastructure de conteneurs BTB et CI/CD. Cette migration a été transparente pour toutes les applications et n'a pas été perturbée. Elle a été achevée fin du 1er trimestre 2024.

Lien vers les informations sur sur la plateforme d'automatisation eIAM : eIAM Automation et AQ