eIAM Glossary

: eIAM Glossary

This glossary contains the technical terms used in eIAM. Unfortunately, you will currently find different technical terms and designations for identical eIAM services in the web documentation. We are continuously working on standardising these to make it easier for you to understand and recognise connections.

FED-LOGIN and CH-LOGIN are two eIAM login procedures. The corresponding FAQs can be found here: FED-LOGIN FAQ and CH-LOGIN FAQ

As AGOV will become the new CH-LOGIN, you will also find the AGOV FAQ

Links to all instructions

CH-LOGIN

CH-LOGIN - Registration

Account management

Two-factor authentication management

Management of external identities (BYOI)

Further instructions

FED-LOGIN

AGOV help

AGOV Help (38 guides)

✘ ✎

eIAM Übersicht

eIAM Aperçu

eIAM Overview

eIAM ist ein Service des Standarddienstes IKT-Standarddienst Identitäts- und Zugangsverwaltung (IAM-Bund).

Die Marktleistung eIAM steuert den Zugriff auf Webanwendungen, native Mobile-Apps und Webservices der Bundesverwaltung und schützt diese vor unerlaubtem Zugriff.

eIAM föderiert die elektronischen Identitäten unterschiedlicher interner und externer Identitätsprovider zu Verbundsidentitäten zuhanden der Zielapplikationen und setzt die geforderte Authentisierungsstärke durch. eIAM ermöglicht den Single Sign-On (SSO) über mehrere Applikationen.

Optional kann eIAM den angeschlossenen Applikationen Aussagen zu den Berechtigungen der User übermitteln. Das sogenannte Accessmanagement (Zugriffsverwaltung).

: Identities in eIAM & Units, Profiles and Roles

eIAM est un service du service standard TIC Gestion des identités et des accès (IAM-Bund).

La prestation de marché eIAM gère l'accès aux applications web, aux applications mobiles natives et aux services web de l'administration fédérale et les protège contre tout accès non autorisé.

eIAM fédère les identités électroniques de différents fournisseurs d'identité internes et externes en identités composées à l'attention des applications cibles et impose la force d'authentification requise. eIAM permet l'authentification unique (SSO) sur plusieurs applications.

En option, eIAM peut transmettre aux applications connectées des informations sur les autorisations des utilisateurs. C'est ce qu'on appelle l'Accessmanagement (gestion des accès).

: Identities in eIAM & Units, Profiles and Roles

eIAM is a service of the standard service ICT Standard Service Identity and Access Management (IAM-Bund).

The eIAM market service controls access to the Federal Administration's web applications, native mobile apps and web services and protects them from unauthorised access.

eIAM federates the electronic identities of various internal and external identity providers into composite identities for the target applications and enforces the required level of authentication. eIAM enables single sign-on (SSO) across multiple applications.

Optionally, eIAM can provide the connected applications with information about the authorisations of the users. This is known as access management.

: Identities in eIAM & Units, Profiles and Roles

✘ ✎

eIAM Service Releases (SR-Plan)

Die Service Releases (SR) bringen jeweils einen neuen eIAM-Release mit Anpassungen und neuen eIAM Funktionalitäten.

Link auf weitere Informationen eIAM Service Release Plan

Les Service Releases (SR) apportent à chaque fois une nouvelle version d'eIAM avec des adaptations et de nouvelles fonctionnalités eIAM.

Lien vers plus d'informations eIAM Service Release Plan

The service releases (SR) each bring a new eIAM release with adjustments and new eIAM functionalities.

Link to further information eIAM Service Release Plan

✘ ✎

eIAM-Dossier (eIAM Integration neuer Applikationen)

Dossier eIAM (intégration eIAM de nouvelles applications)

eIAM dossier (eIAM integration of new applications)

Wenn Sie eine Applikation beschaffen, erstellen und nach eIAM integrieren wollen, ist die Eröffnung eines eIAM-Dossiers der erste Schritt, mit dem Sie sich für Ihre Applikation um das Thema Identitäts- und Accessmanagement kümmern. Im eIAM-Dossier werden Informationen erfasst, welche das Team eIAM benötigt um eine korrekte Beratung, Integration und nach Abschluss auch den Betrieb der Applikation sicherzustellen.

Link auf weitere Informationen Projektablauf und Steuerung

Si vous souhaitez acquérir, créer et intégrer une application selon eIAM, l'ouverture d'un dossier eIAM est la première étape par laquelle vous vous occupez de la gestion des identités et des accès pour votre application. Dans le dossier eIAM sont saisies les informations dont l'équipe eIAM a besoin pour assurer un conseil correct, l'intégration et, une fois terminée, l'exploitation de l'application.

Lien vers plus d'informations Déroulement du projet et contrôle

If you want to procure, create and integrate an application into eIAM, the first step is to open an eIAM dossier, which allows you to take care of identity and access management for your application. The eIAM dossier is used to record information that the eIAM team needs to ensure correct advice, integration and, after completion, operation of the application.

Link to further information [Project workflow and control: intprojektablauf]

✘ ✎

BTB (Bundestrustbroker)

BTB (Trustbroker de la Confédération )

BTB (Federal Trust Broker )

Der Bundestrustbroker BTB ist die Schaltzentrale von eIAM, über welche alle Authentisierungsanfragen und Authentisierungsergebnisse vermittelt werden.

Link auf weitere Informationen BTB

Le Trustbroker de la Confédération est le centre de commande d'eIAM, par lequel toutes les demandes d'authentification et les résultats d'authentification sont transmis.

Lien vers des informations supplémentaires BTB.

The Federal Trust Broker BTB is the control centre of eIAM, through which all authentication requests and authentication results are transmitted.

Link to further information BTB

✘ ✎

CI/CD (Continous Integration / Continous Deployment)

Alle Komponenten von eIAM, sowohl zentrale als auch kundenspezifische, werden sukzessive und gestaffelt auf die neue CI/CD (Continous Integration / Continous Deployment) Betriebsplattform migriert. Diese containerbasierte Betriebsplattform hilft uns eIAM besser zu skalieren und den Anforderungen bezüglich Integrationen und Weiterentwicklung im Service eIAM auch in der Zukunft nachzukommen.

Link auf weitere Informationen CI/CD

Tous les composants d'eIAM, aussi bien centraux que spécifiques aux clients, seront migrés successivement et de manière échelonnée vers la nouvelle plateforme d'exploitation CI/CD (Intégration continue / Déploiement continu). Cette plateforme d'exploitation basée sur des conteneurs nous aide à mieux faire évoluer l'eIAM et à répondre aux exigences d'intégration et de développement du service eIAM à l'avenir également.

Lien vers plus d'informations CI/CD

All eIAM components, both central and customer-specific, will be migrated successively and in stages to the new CI/CD (Continuous Integration / Continuous Deployment) operating platform. This container-based operating platform helps us to scale eIAM better and to meet the requirements for integration and further development in the eIAM service in the future.

Link to further information CI/CD

✘ ✎

RP-PEP (Secure Reverse Proxy)

Secure Reverse Proxy für Web Applikationen in den Netzen der Bundesverwaltung mit erhöhten Schutzanforderungen (z.B. SZ+ BIT). Der RP-PEP bildet den Zonenübergang und stellt sicher, dass nur Requests von berechtigten Benutzern an die Applikation in der Spezialzone gelangen. Für dieses Pattern ist zwingend die Bewirtschaftung mindestens einer grobgranularen Rolle (Applikation.ALLOW) im eIAM-AM Access Management erforderlich, welche den generellen Zugriff auf Ressource freigibt.

Link auf weitere Informationen Secure Reverse Proxy und Migration RP-PEP zu STS.

Secure Reverse Proxy pour les applications web dans les réseaux de l'administration fédérale avec des exigences de protection accrues (p. ex. SZ+ OFIT). Le RP-PEP constitue la transition de zone et garantit que seules les requêtes des utilisateurs autorisés parviennent à l'application dans la zone spéciale. Ce modèle nécessite impérativement la gestion d'au moins un rôle à granularité grossière (Applikation.ALLOW) dans l'eIAM-AM Access Management, qui autorise l'accès général à la ressource.

Lien vers des informations supplémentaires Secure Reverse Proxy et migration RP-PEP vers STS.

Secure reverse proxy for web applications in the networks of the Federal Administration with increased protection requirements (e.g. SZ+ BIT). The RP-PEP forms the zone transition and ensures that only requests from authorised users reach the application in the special zone. For this pattern, it is mandatory to manage at least one coarse-grained role (Application.ALLOW) in eIAM-AM Access Management, which releases general access to the resource.

Link to more information Secure Reverse Proxy and migration RP-PEP to STS.

✘ ✎

STS (Standard eIAM Implementierung)

STS (implémentation standard d'eIAM)

STS (Standard eIAM Implementation)

Web Applikationen, welche aufgrund ihrer Schutzanforderungen nicht in Netzen mit erhöhten Schutzanforderungen betrieben werden (z.B. SZ oder komplett ausserhalb der Netze der Bundesverwaltung), benötigen keinen RP-PEP. Solche Anwendungen föderieren direkt mit dem eIAM-Bundestrustbroker (BTB). In der Vergangenheit wurden Anwendungen über eine zusätzliche Föderationskomponente STS-PEP angebunden. Bestehende Anwendungen werden schrittweise auf das Integrationspattern ohne «STS-PEP» migriert.

Link auf weitere Informationen Migration RP-PEP zu STS.

Les applications web qui, en raison de leurs exigences de protection, ne sont pas exploitées dans des réseaux avec des exigences de protection accrues (p. ex. SZ ou complètement en dehors des réseaux de l'administration fédérale), n'ont pas besoin de RP-PEP. De telles applications se fédèrent directement avec l'eIAM-Bundestrustbroker (BTB). Dans le passé, les applications étaient connectées via un composant de fédération supplémentaire STS-PEP. Les applications existantes sont progressivement migrées vers le pattern d'intégration sans « STS-PEP ».

Lien vers plus d'informations Migration RP-PEP vers STS

Web applications that, due to their protection requirements, are not operated in networks with increased protection requirements (e.g. in the data centre or completely outside the Federal Administration networks) do not require an RP-PEP. Such applications federate directly with the eIAM-Bundestrustbroker (BTB). In the past, applications were connected via an additional federation component STS-PEP. Existing applications will be gradually migrated to the integration pattern without ‘STS-PEP’.

Link to further information Migration RP-PEP to STS.

✘ ✎

Root Account (RA)

In eIAM gibt es nur einen Root Account pro authentifizierte Identität eines Benutzers. In den Root Accounts werden die Stammattribute der Benutzers geführt.

Dans eIAM, il n'y a qu'un seul compte racine (root account) par identité authentifiée d'un utilisateur. Les attributs de base de l'utilisateur sont gérés dans les comptes racines.

In eIAM, there is only one root account per authenticated user identity. The root accounts contain the user's master attributes.

✘ ✎

Access Client (AC)

Ein Access Client ist ein dedizierter Arbeitsraum für die Rechtevergabe, optional unterteilbar in Units zwecks Delegation der Rechtevergabetätigkeiten in diesen nach intern oder extern. Der Schnitt eines Access Client ist dem Fach überlassen, der häufigste Schnitt ist 1 Verwaltungseinheit (Amt) = 1 Mandant. Für Grossprojekte oder Applikationen mit Middleware-Charakter kann die Formel 1 Mandant pro Grossprojekt resp. Middleware sinnvoll sein.

Un client d'accès est un espace de travail dédié à l'attribution des droits, qui peut éventuellement être divisé en unités afin de déléguer les activités d'attribution des droits en interne ou en externe. Le découpage d'un Access Client est laissé à l'appréciation du métier, le découpage le plus fréquent étant 1 unité administrative (office) = 1 mandant. Pour les grands projets ou les applications à caractère de middleware, la formule 1 mandant par grand projet ou middleware peut être judicieuse.

An access client is a dedicated workspace for assigning rights, which can optionally be subdivided into units for the purpose of delegating rights assignment activities in these units internally or externally. The cut of an access client is left to the specialist; the most common cut is 1 administrative unit (office) = 1 client. For large projects or applications with middleware character, the formula 1 client per large project or middleware can be useful.

✘ ✎

Access Account (AA)

In den Access Accounts werden den Benutzern Rechte für Zielapplikationen zugewiesen. Der Access Account fungiert somit als dedizierter Datenraum für Berechtigungen, meistens mit dem Fokus Amt (Access Client).

Dans les Access Accounts, les utilisateurs se voient attribuer des droits pour les applications cibles. L'Access Account fonctionne ainsi comme un espace de données dédié aux autorisations, le plus souvent en se concentrant sur le bureau (Access Client).

In the Access Accounts, users are assigned rights for target applications. The Access Account thus functions as a dedicated data room for authorisations, usually with a focus on the office (Access Client).

✘ ✎

Identitätsreferenz (Id-Ref)

Référence d'identité (Id-Ref)

Identity reference (Id-Ref)

Eine Identitätsreferenz ist ein Verweis oder auch Zeiger auf die eigentliche Identität eines Subjekts. eIAM arbeitet mit solchen Identitätsreferenzen. Hierbei wird die eigentliche Identität vom jeweiligen Provider der Identität administriert. Beispiele hierfür sind das Active Directory oder die Admin PKI, welche die Identitäten des Benutzers und die Authentisierungsmittel verwaltet.

Une référence d'identité est un renvoi ou un pointeur vers l'identité réelle d'un sujet. eIAM travaille avec de telles références d'identité. Dans ce cas, l'identité réelle est administrée par le fournisseur de l'identité. Active Directory ou l'Admin PKI, qui gère les identités des utilisateurs et les moyens d'authentification, en sont des exemples.

An identity reference is a pointer to the actual identity of a subject. eIAM works with such identity references. In this case, the actual identity is administered by the respective identity provider. Examples of this are the Active Directory or the Admin PKI, which manages the identities of the user and the means of authentication.

✘ ✎

IdP (Identitätsprovider)

IdP (fournisseur d'identité)

IdP (Identity Provider)

An den Standard Dienst eIAM angeschlossener Identity Provider. eIAM vermittelt von verschiedenen internen und externen Identitätsprovider (IdPs) Authentisierungsleistungen an Applikationen der Bundesverwaltung. Diese Identitätsprovider werden in drei Gruppen eingeteilt.

Interner IdP: FED-LOGIN
Externe Dritt-IdPs
- IdP Gruppe: "BYOI" (Bring Your Own Identity) z.B. AGOV das neue CH-LOGIN, Kantonale-IdPs, edu-ID u.a.
- IdP Gruppe: "Sektor-IdPs" z.B. HIN, ELCA, V-LOGIN u.a.

Fournisseur d'identité connecté au service standard eIAM. eIAM fournit des prestations d'authentification aux applications de l'administration fédérale par différents fournisseurs d'identité internes et externes (IdPs). Ces fournisseurs d'identité sont répartis en trois groupes.

IdP interne : FED-LOGIN
IdP tiers externes
- Groupe d'IdP : « BYOI » (Bring Your Own Identity) p.ex. AGOV le nouveau CH-LOGIN, IdP cantonaux, edu-ID et autres.
- Groupe d'IdP : « IdP de secteur », par ex. HIN, ELCA, V-LOGIN et autres.

Identity providers connected to the eIAM standard service. eIAM provides authentication services to Federal Administration applications from various internal and external identity providers (IdPs). These identity providers are divided into three groups.

Internal IdP: FED-LOGIN
External third-party IdPs
- IdP group: ‘BYOI’ (Bring Your Own Identity) e.g. AGOV das neue CH-LOGIN, cantonal IdPs, edu-ID etc.
- IdP group: ‘sector IdPs’ e.g. HIN, ELCA, V-LOGIN etc.

✘ ✎

SP (Service Provider)

Ein Service Provider (SP) ist eine Entität in einem föderierten Authentifizierungs- oder Autorisierungssystem, die Dienste oder Ressourcen bereitstellt und auf die Authentifizierungsinformationen eines Benutzers vertraut, die von einem Identity Provider (IdP) bereitgestellt werden.

Der SP verlässt sich auf den IdP, um festzustellen, ob ein Benutzer authentifiziert ist, und verwendet diese Informationen, um Zugriffsrechte auf Dienste oder Daten zu gewähren.

Un fournisseur de services (SP) est une entité dans un système fédéré d'authentification ou d'autorisation qui fournit des services ou des ressources et se fie aux informations d'authentification d'un utilisateur fournies par un fournisseur d'identité (IdP).

Le PS s'appuie sur l'IdP pour déterminer si un utilisateur est authentifié et utilise ces informations pour accorder des droits d'accès aux services ou aux données.

A Service Provider (SP) is an entity in a federated authentication or authorisation system that provides services or resources and trusts a user's authentication information provided by an Identity Provider (IdP).

The SP relies on the IdP to determine whether a user is authenticated and uses this information to grant access rights to services or data.

✘ ✎

Consistency-Checker

Mit der Aktivierung des Consistency-Checker werden nun alle Benutzer Stammdaten zwischen Root Account und Access Account, auch bei unabgeklärten elektronischen Identitäten, automatisch nachgeführt d.h. synchronisiert

Link auf weitere Informationen Consistency-Checker.

Avec l'activation du consistency-checker, toutes les données de base des utilisateurs sont automatiquement mises à jour, c'est-à-dire synchronisées, entre le compte racine et le compte d'accès, même en cas d'identités électroniques non clarifiées.

Lien vers des informations complémentaires Consistency-Checker.

When the Consistency Checker is activated, all users' master data between the root account and the access account is now automatically updated, even if the electronic identities have not been verified. This means that the data is synchronised

Link to further information Consistency Checker.

✘ ✎

QoA Konzept

QoA concept

Das QoA Konzept befasst sich mit den verschiedenen QoA Klassen und deren Definition und Einstufung. Dabei entspricht jede Authentifizierungsmethode (Credentials, mit oder ohne Zweitfaktor) genau einer definierten QoA Klasse.

Link auf weitere Informationen Qualität der Authentifizierung.

Le concept QoA traite des différentes classes QoA, de leur définition et de leur classification. Chaque méthode d'authentification (credentials, avec ou sans second facteur) correspond exactement à une classe QoA définie.

Lien vers des informations complémentaires Qualité de l'authentification.

The QoA concept deals with the different QoA classes and their definition and classification. Each authentication method (credentials, with or without a second factor) corresponds to exactly one defined QoA class.

Link to further information Quality of Authentication.

✘ ✎

Onboarding

Erstmalige Verwendung der Applikation für neue Endbenutzende.

Im Rahmen des Zugriffsantrags kann ein Nutzer für eine dedizierte Identität den Zugriff auf eine Fachapplikation beantragen. Sofern diese Identität im entsprechenden Accessmandanten noch nicht vorhanden ist, wird diese Identität dort angelegt und auf die Identität im entsprechenden IdP referenziert. Im Rahmen des Zugriffsantrags werden der Identität die für seine Arbeit in der Applikation benötigten Rollen zugewiesen.

Link auf weitere Informationen Erstmalige Verwendung der Applikation für neue User

Première utilisation de l'application pour les nouveaux utilisateurs finaux.

Dans le cadre de la demande d'accès, un utilisateur peut demander l'accès à une application métier pour une identité dédiée. Si cette identité n'existe pas encore dans le mandant d'accès correspondant, cette identité y est créée et référencée à l'identité dans l'IdP correspondant. Dans le cadre de la demande d'accès, les rôles nécessaires à son travail dans l'application sont attribués à l'identité.

Lien vers des informations complémentaires Première utilisation de l'application pour les nouveaux utilisateurs

First-time use of the application for new end users.

As part of the access request, a user can request access to a specialist application for a dedicated identity. If this identity does not yet exist in the corresponding access client, it will be created there and linked to the identity in the corresponding IdP. As part of the access request, the identity is assigned the roles required for its work in the application.

Link to further information [First-time use of the application for new users: interstmaligeverapp]

✘ ✎

AuthOnly (ohne eIAM-Accessmanagement)

AuthOnly ( sans gestion des accès eIAM)

AuthOnly (without eIAM access management)

Wie der Name schon sagt, handelt es sich beim Pattern "Authentication Only" um den Bezug von reinen Identitäts- und Authentisierungsinformationen durch die Applikation. Die Applikation verzichtet bei "Authentication Only" auf jegliche Art von Autorisierung und Identitätsbewirtschaftung in eIAM. Dies, weil die Applikation gar keine Autorisierung benötigt, oder die Autorisierung komplett selbst (ausserhalb von eIAM) regelt.

Das Pattern bietet sich an für Integrationen, welche nur Authentifizierung durch eIAM benötigen, jedoch keine Grobautorisierung und keine Bewirtschaftung von Identitäten in einem eIAM Access Mandanten. Aus diesem Grund ist «Authentication Only» nicht mit «eIAM RP-PEP» kombinierbar.

eIAM liefert im Anschluss an die erfolgreiche Authentifizierung des zugreifenden Subjekts als persistenten Identifier, die eIAM ID der Verbundidentität des Subjekts im Token. Dies im Gegensatz zu Integrationen mit Autorisierungsleistung, wo als persistenter Identifier die userExtId der Identitätsreferenz im Access Mandant verwendet wird. Dieser Unterschied ist zu beachten für den Fall, dass Applikationen untereinander Daten über das Subjekt austauschen sollen. In diesem Fall soll aufgrund der unterschiedlichen Identifier das Pattern "Authentication Only" nicht verwendet werden.

Das Integrationsmuster "Authentication Only" ist verfügbar für elektronische Identitäten der folgenden Identity Provider (IdP):

CH-LOGIN (inklusive BYOI Bundle)
FED-LOGIN

Comme son nom l'indique, le pattern « Authentication Only » consiste en l'obtention d'informations d'identité et d'authentification pures par l'application. Avec « Authentication Only », l'application renonce à toute forme d'autorisation et de gestion des identités dans eIAM. Ceci parce que l'application n'a pas besoin d'autorisation ou qu'elle règle elle-même l'autorisation (en dehors de l'eIAM).

Ce modèle convient aux intégrations qui ne nécessitent qu'une authentification par eIAM, mais pas d'autorisation globale ni de gestion des identités dans un mandant d'accès eIAM. Pour cette raison, « Authentication Only » ne peut pas être combiné avec « eIAM RP-PEP ».

Après l'authentification réussie du sujet accédant, eIAM fournit comme identifiant persistant l'ID eIAM de l'identité de l'association du sujet dans le jeton. Ceci contrairement aux intégrations avec prestation d'autorisation, où le userExtId de la référence d'identité dans le mandant d'accès est utilisé comme identifiant persistant. Cette différence doit être prise en compte dans le cas où des applications doivent échanger entre elles des données sur le sujet. Dans ce cas, le pattern « Authentication Only » ne doit pas être utilisé en raison des différents identifiants.

Le modèle d'intégration « Authentication Only » est disponible pour les identités électroniques des Identity Providers (IdP) suivants :[u :]

CH-LOGIN (y compris le bundle BYOI)

FED-LOGIN

As the name suggests, the ‘Authentication Only’ pattern involves the application obtaining only identity and authentication information. With ‘Authentication Only’, the application dispenses with any kind of authorisation and identity management in eIAM. This is because the application does not require any authorisation at all, or because the application itself handles the authorisation completely (outside of eIAM).

The pattern is suitable for integrations that only require authentication by eIAM, but no coarse authorisation and no management of identities in an eIAM Access client. For this reason, ‘Authentication Only’ cannot be combined with ‘eIAM RP-PEP’.

After the subject accessing the resource has been successfully authenticated, eIAM returns the eIAM ID of the subject's federated identity in the token as a persistent identifier. This is in contrast to integrations with authorisation, where the userExtId of the identity reference in the access client is used as the persistent identifier. This difference must be taken into account in the event that applications are to exchange data about the subject with each other. In this case, the ‘Authentication Only’ pattern should not be used due to the different identifiers.

The ‘Authentication Only’ integration pattern is available for electronic identities of the following identity providers (IdP):

CH-LOGIN (including BYOI Bundle)
FED-LOGIN

✘ ✎

MIO-Code (Mobile ID-Onboarding Code)

Wenn Sie einen MIO-Code (Mobile ID-Onboarding Code) von Ihrem Fachkontakt in der Bundesverwaltung erhalten haben, verwenden Sie diesen, um Ihre Mobile ID* mit der Bundesverwaltung (eIAM) zu verbinden.

Si vous avez reçu un code MIO (Mobile ID-Onboarding Code) de votre contact spécialisé au sein de l'administration fédérale, utilisez-le pour connecter votre Mobile ID* à l'administration fédérale (eIAM).

If you have received an MIO code (Mobile ID onboarding code) from your specialist contact in the Federal Administration, use it to link your Mobile ID* to the Federal Administration (eIAM).

✘ ✎

IDM-Rollen

IDM-Rôles

IDM Roles

IDM ist das zentrale Management-Tool für Verwaltung der IDM-Rollen, Mandanten, Organisationen, Fachapplikationen, Geschäfts- und Fachapplikationsrollen und die Benutzerdaten und Profil. In der IDM Datenbank sind die Daten abgelegt, die bei der Authentisierung und Autorisierung der Applikationszugriffe benötigt werden.

GKD (Gesamtkoordinator Dienst)
GKA (Gesamtkoordinatoren Amt)
BVA (Benutzerverwalter Applikation)

Link auf weitere Informationen IDM-Rollen

L'IDM est l'outil de gestion central pour l'administration des rôles IDM, des mandants, des organisations, des applications spécialisées, des rôles d'applications commerciales et spécialisées et des données et profils des utilisateurs. Les données nécessaires à l'authentification et à l'autorisation des accès aux applications sont stockées dans la base de données IDM. [u :]

GKD (Coordinateur général du service)

GKA (coordinateurs généraux du service)

BVA (Administrateur des utilisateurs de l'application)
Lien vers des informations supplémentaires IDM-Rollen

IDM is the central management tool for administering the IDM roles, clients, organisations, specialist applications, business and specialist application roles and the user data and profile. The data required for the authentication and authorisation of application access is stored in the IDM database.

GKD (overall service coordinator)
GKA (central office coordinators)
BVA (application user administrators)

Link to further information IDM roles

✘ ✎

Mitteilungsmanagement

Gestion de la communication

Communication management

Applikationsverantwortliche haben die Möglichkeit Meldungen (Information, Wartung oder Incident) für Ihre Applikationen einfach und mit grösstmöglicher Autonomie zu verwalten. Diese Meldungen werden dem End-Benutzer nach dem Öffnen der Fachapplikation URL angezeigt.

Link auf weitere Informationen Mitteilungsmanagement

Les responsables d'applications ont la possibilité de gérer les messages (information, maintenance ou incident) pour leurs applications de manière simple et avec la plus grande autonomie possible. Ces messages sont affichés à l'utilisateur final après l'ouverture de l'URL de l'application métier.

Lien vers plus d'informations Gestion des messages

Those responsible for applications can easily manage reports (information, maintenance or incident) for their applications with the greatest possible autonomy. These reports are displayed to the end user after opening the specialised application URL.

Link to further information Communication management

✘ ✎

FED-LOGIN Access App

Die FED-LOGIN Access App ist die einfachste und gleichzeitig sicherste Methode für Sie, wenn Sie mit einer Smartcard der Bundesverwaltung ausgerüstet sind und Sie sich am FED-LOGIN mit einem Gerät anmelden wollen, welches die Nutzung Ihrer Smartcard nicht unterstützt (zum Beispiel Smartphones, Tablets, PC ohne Smartcardleser, Mobile VDI). Die FED-LOGIN Access App Methode ermöglicht ein Login dessen Qualität die Anforderung der meisten eIAM integrierten Anwendungen der Bundesverwaltung erfüllt.

Link auf weitere Informationen FED-LOGIN Access App

La FED-LOGIN Access App est la méthode la plus simple et la plus sûre pour vous, si vous êtes équipé d'une carte à puce de l'administration fédérale et que vous souhaitez vous connecter à FED-LOGIN avec un appareil qui ne supporte pas l'utilisation de votre carte à puce (par exemple smartphones, tablettes, PC sans lecteur de carte à puce, VDI mobile). La méthode FED-LOGIN Access App permet un login dont la qualité répond aux exigences de la plupart des applications intégrées eIAM de l'administration fédérale.

Lien vers plus d'informations FED-LOGIN Access App

The FED-LOGIN Access App is the simplest and at the same time most secure method for you if you have a Federal Administration smartcard and you want to log in to FED-LOGIN using a device that does not support the use of your smartcard (e.g. smartphones, tablets, PCs without a smartcard reader, mobile VDI). The FED-LOGIN Access App method enables a login whose quality meets the requirements of most eIAM integrated applications of the Federal Administration.

Link to further information FED-LOGIN Access App

✘ ✎

MyAccount

eIAM Self-Service Webapplikation für Benutzerinnen und Benutzer der FED-LOGIN und CH-LOGIN Verfahren, um ihre persönlichen Benutzerprofildaten, die Login Faktoren (Credentials) wie Passwort und Login-Zweitfaktoren zu verwalten.

eIAM PROD Stage:
eIAM ABN Stage:
eIAM REF Stage:

Application web en libre-service eIAM pour les utilisateurs des procédures FED-LOGIN et CH-LOGIN, afin de gérer leurs données personnelles de profil d'utilisateur, les facteurs de connexion (credentials) comme le mot de passe et les facteurs secondaires de connexion.

eIAM PROD Stage :
eIAM ABN Stage :
eIAM REF Stage :

eIAM Self-Service Web application for users of the FED-LOGIN and CH-LOGIN procedures to manage their personal user profile data, login factors (credentials) such as password and login second factors.

eIAM PROD Stage:
eIAM ABN Stage:
eIAM REF Stage:

✘ ✎

eIAM-WSG (Web Services Gateway)

Die WS-Federation Schnittstelle unterstützt die Integration von Web Anwendungen basierend auf dem WS-Federation Standard. Für dieses Föderationsprotokoll bietet der eIAM-Web PEP definierte Schnittstellen an. Sie erstellt zu Handen der anfragenden Applikation ein Security Token im SAML Format und übermittelt es an diese. Dazu wird das WS-Federation Protokoll verwendet

Durch die von eIAM zur Verfügung gestellten Administrationswerkzeuge ist der Kunde in der Lage mit den verschiedenen Zugriffsrichtlinien (feingranularen Rollen) auch für Service Provider mit Web Services zu administrieren. Alle Autorisierungen für seine Applikation können an einem Ort (im IDM) modifiziert werden. Die Flexibilität für den Kunden wird somit erhöht und der Aufwand im Betrieb für das Web Service Gateway wird minimiert.

Link auf weitere Informationen Schnittstelle eIAM-WSG

L'interface WS-Federation supporte l'intégration d'applications web basées sur le standard WS-Federation. Pour ce protocole de fédération, l'eIAM-Web PEP propose des interfaces définies. Elle crée un jeton de sécurité au format SAML à l'attention de l'application demandeuse et le lui transmet. Le protocole WS-Federation est utilisé à cet effet.

Grâce aux outils d'administration mis à disposition par eIAM, le client est en mesure d'administrer les différentes directives d'accès (rôles à granularité fine) également pour les fournisseurs de services avec des services web. Toutes les autorisations pour son application peuvent être modifiées en un seul endroit (dans l'IDM). La flexibilité pour le client est ainsi augmentée et les dépenses d'exploitation pour la passerelle de services web sont minimisées.

Lien vers plus d'informations Interface eIAM-WSG

The WS-Federation interface supports the integration of web applications based on the WS-Federation standard. The eIAM-Web PEP offers defined interfaces for this federation protocol. It creates a security token in SAML format for the requesting application and transmits it to it. The WS-Federation protocol is used for this purpose.

The administration tools provided by eIAM enable customers to use the various access policies (fine-grained roles) to also administer service providers with web services. All authorisations for their application can be modified in one place (in the IDM). This increases flexibility for the customer and minimises the operational effort for the web service gateway.

Link to further information Interface eIAM-WSG

✘ ✎

eIAM-AM Benutzerwerwaltung

eIAM-AM Gestion des utilisateurs

eIAM-AM User Administration

Die Komponente eIAM-AM bildet einen Attribute Provider und erlaubt die Administration von Identitäten, Identitätsreferenzen, Berechtigungen und anderen für das Identity- und Accessmanagement nötiger Attributen. Diese Funktion wird von einem mandantenfähigen IDM System übernommen, welches die Partitionierung und Verwaltung über Datenräume erlaubt. eIAM-AM stellt einer Verwaltungseinheit (Amt oder Generalsekretariat) einen eigenen Access Mandanten für die Administration der Benutzerberechtigungen im eIAM zur Verfügung.

eIAM PROD Stage:
eIAM ABN Stage:
eIAM REF Stage:

Le composant eIAM-AM constitue un fournisseur d'attributs et permet l'administration des identités, des références d'identité, des autorisations et d'autres attributs nécessaires à la gestion des identités et des accès. Cette fonction est prise en charge par un système IDM multi-tenant qui permet le partitionnement et l'administration via des espaces de données. eIAM-AM met à disposition d'une unité administrative (office ou secrétariat général) son propre mandant d'accès pour l'administration des droits d'utilisateurs dans eIAM.

eIAM PROD Stage :
eIAM ABN Stage :
eIAM REF Stage :

The eIAM-AM component forms an attribute provider and allows the administration of identities, identity references, authorisations and other attributes necessary for identity and access management. This function is performed by a multi-client capable IDM system that allows partitioning and administration via data rooms. eIAM-AM provides an administrative unit (office or general secretariat) with its own access client for the administration of user authorisations in the eIAM.

eIAM PROD Stage:
eIAM ABN Stage:
eIAM REF Stage:

✘ ✎

Delegiertes Managment Applikationsmanagement

Gestion déléguée Gestion des applications

Delegated management Application management

as delegierte Management hat zum Ziel das Management der Berechtigungsvergabe zu dezentralisieren und dabei das Management dort hin zu leiten, wo auch das Know-how über Veränderungen vorhanden ist.

eIAM PROD Stage:
eIAM ABN Stage:
eIAM REF Stage:

La gestion déléguée a pour but de décentraliser la gestion de l'attribution des droits d'accès et de diriger la gestion là où se trouve le savoir-faire en matière de changement.

eIAM PROD Stage :
eIAM ABN Stage :
eIAM REF Stage :

The aim of delegated management is to decentralise the management of access rights assignment and to direct management to where the know-how about changes is available.

eIAM PROD Stage:
eIAM ABN Stage:
eIAM REF Stage:

✘ ✎

Autoprovisioning

Ziel des Autoprovisioning ist, dass eine im Enterprise-Kontext definierte Zielgruppe von Benutzer im Voraus erstellt und mit Basis Rechten (Fachapplikations- und Geschäftsrollen) versehen werden. Somit erfolgt eine vollautomatisierte Berechtigungsvergabe für eine oder mehrere Applikationen und die Benutzer können sich ohne weiteren administrativen Aufwand anmelden und arbeiten.

Link auf weitere Informationen Autoprovisionung

L'objectif de l'autoprovisioning est de créer à l'avance un groupe cible d'utilisateurs défini dans le contexte de l'entreprise et de lui attribuer des droits de base (rôles d'applications spécialisées et rôles commerciaux). Ainsi, l'attribution des droits pour une ou plusieurs applications est entièrement automatisée et les utilisateurs peuvent se connecter et travailler sans autre effort administratif.

Lien vers d'autres informations Autoprovisioning

The aim of autoprovisioning is to create a target group of users defined in an enterprise context in advance and to provide them with basic rights (technical application and business roles). This results in a fully automated assignment of authorisations for one or more applications, and users can log in and work without further administrative effort.

Link to further information Autoprovisioning

✘ ✎

eIAM ARQ (Access Request)

Die Applikation AccessRequest bietet den von eIAM geschützten Applikationen eine Web GUI Schnittstelle in Form einer Web Applikation an. Bei Applikationen innerhalb der Netze der Bundesverwaltung wird der Aufruf von eIAM-Access Request durch das Fehlen der grobgranularen Rolle automatisch ausgelöst. Applikationen ausserhalb der Netze der Bundesverwaltung müssen den eIAM-AccessRequest selber aufrufen.

Link auf weitere Informationen eIAM-AccessRequest

L'application AccessRequest offre aux applications protégées par eIAM une interface Web GUI sous la forme d'une application Web. Pour les applications à l'intérieur des réseaux de l'administration fédérale, l'appel d'eIAM-Access Request est automatiquement déclenché par l'absence de rôle granulaire grossier. Les applications en dehors des réseaux de l'administration fédérale doivent appeler elles-mêmes l'eIAM-AccessRequest.

Lien vers des informations supplémentaires eIAM-AccessRequest

The AccessRequest application offers applications protected by eIAM a web GUI interface in the form of a web application. For applications within the networks of the Federal Administration, the call of eIAM-Access Request is triggered automatically by the absence of the coarse-grained role. Applications outside the networks of the Federal Administration have to call eIAM-AccessRequest themselves.

Link to further information eIAM-AccessRequest

✘ ✎

eIAM Techuser

Managed Techuser Formulare
eIAM bietet die Nutzung und Einrichtung von «Managed Techuser» an. Die Techuser werden durch das Team von eIAM Operations gemäss den Bestellangaben des Kunden bereitgestellt und gemanagt.

Link auf weitere Informationen Managed Techuser Formulare

Formulaires Managed Techuser
eIAM propose l'utilisation et la mise en place de « Managed Techuser ». Les Techuser sont mis à disposition et gérés par l'équipe d'eIAM Operations selon les indications de commande du client.

Lien vers plus d'informations Managed Techuser Formulare

Managed Techuser forms
eIAM offers the use and setup of ‘Managed Techuser’. The Techuser are provided and managed by the eIAM Operations team according to the customer's order details.

Link to more information Managed Techuser forms

✘ ✎

Canary Mode (Testing)

Unterstützung von Testing mit eIAM
eIAM nutzt eine moderne Continuous Integration / Continuous Deployment-Infrastruktur, die ein Canary-Deployment der eIAM-Komponenten ermöglicht. Dadurch können zwei Release-Versionen parallel im Cluster betrieben werden. Standardmäßig werden alle Benutzeranfragen an die „aktive“ Release-Version weitergeleitet, um den Regelbetrieb nicht zu stören.
Damit Testverantwortliche Neuigkeiten und/oder Bugfixes in der "Canary" Release-Version ungestört testen können, müssen diese vor dem Login ein entsprechendes Canary-Cookie aktivieren.

Link auf weitere Informationen Testing im Canary Mode

Soutien du testing avec eIAM.
eIAM utilise une infrastructure moderne d'intégration continue / de déploiement continu qui permet un déploiement canary des composants eIAM. Cela permet d'exploiter deux versions de la release en parallèle dans le cluster. Par défaut, toutes les demandes des utilisateurs sont transmises à la version « active » de la release afin de ne pas perturber le fonctionnement normal.
Pour que les responsables des tests puissent tester les nouveautés et/ou les corrections de bugs dans la version « Canary » sans être dérangés, ils doivent activer un cookie Canary correspondant avant de se connecter.

Lien vers des informations supplémentaires Testing in Canary Mode

Support for testing with eIAM
eIAM uses a modern continuous integration / continuous deployment infrastructure that enables a canary deployment of the eIAM components. This allows two release versions to be operated in parallel in the cluster. By default, all user requests are forwarded to the ‘active’ release version so as not to disrupt normal operations.
To ensure that test managers can test news and/or bug fixes in the ‘Canary’ release version without interruption, they must activate a corresponding Canary cookie before logging in.

Link to further information [Testing in Canary Mode: canary]

✘ ✎

Testing ohne Autologon

Testing sans Autologon

Testing without Autologon

Autologon im Bundesnetz verhindern - Autologon Cookie
Mit dem Autologon-Cookie lässt sich dieser automatische Anmeldevorgang deaktivieren. Dadurch wird die Auswahl der für die Anwendung verfügbaren Identitätsprovider angezeigt, und der Login beim FED-LOGIN IdP wird nicht mehr automatisch per Kerberos (Active Directory Single-Sign-On) durchgeführt.

Link auf weitere Informationen Testing ohne Autologon

Désactiver l'autologon dans le réseau fédéral - Autologon Cookie
Le cookie Autologon permet de désactiver cette procédure de connexion automatique. Ainsi, la sélection des fournisseurs d'identité disponibles pour l'application est affichée et la connexion à l'IdP FED-LOGIN n'est plus effectuée automatiquement par Kerberos (Active Directory Single-Sign-On).

Lien vers plus d'informations Testing without Autologon

Prevent autologon in the Federal Network - autologon cookie
The autologon cookie can be used to disable this automatic login process. This displays the selection of available identity providers for the application, and the login to the FED-LOGIN IdP is no longer performed automatically via Kerberos (Active Directory Single Sign-On).

Link to further information [Testing without autologon: autologon]

✘ ✎

eIAM API-Schnittstellen (Application Programming Interface)

Interfaces API eIAM (Application Programming Interface)

eIAM API interfaces (Application Programming Interface)

Eine API-Schnittstelle (Application Programming Interface) ist eine definierte Möglichkeit, wie Softwareanwendungen miteinander kommunizieren können. APIs stellen eine Sammlung von Regeln und Protokollen bereit, die den Zugriff auf Funktionen oder Daten eines Systems ermöglichen, ohne dass die interne Implementierung offengelegt wird.

Der Einsatz der APIs mit eIAM erfolgt, wenn Sie nicht alle Informationen zur Laufzeit aus dem Authentisierungstoken lesen können und Sie Daten in ihrer Fachapplikation mit eIAM synchronisieren, bzw. auswerten müssen.

Von eIAM bereitgestellte APIs

API eIAM-AMW: API für die Benutzer- und Zugriffsverwaltung
API eIAM-LDS: LDAP-Zugriff auf das Verzeichnis der Benutzer und Rollen
API eIAM-RDM: adminPortal, Remote delegierte Verwaltung von Benutzern und Rollen

Une interface API (Application Programming Interface) est une manière définie de faire communiquer des applications logicielles entre elles. Les API fournissent un ensemble de règles et de protocoles qui permettent d'accéder aux fonctions ou aux données d'un système sans que l'implémentation interne ne soit divulguée.

L'utilisation des API avec eIAM se fait lorsque vous ne pouvez pas lire toutes les informations du jeton d'authentification au moment de l'exécution et que vous devez synchroniser ou évaluer les données dans votre application métier avec eIAM.

APIs fournies par eIAM

API eIAM-AMW : API pour la gestion des utilisateurs et des accès
API eIAM-LDS : Accès LDAP au répertoire des utilisateurs et des rôles
API eIAM-RDM : adminPortal, gestion déléguée à distance des utilisateurs et des rôles

An API interface (Application Programming Interface) is a defined way for software applications to communicate with each other. APIs provide a collection of rules and protocols that enable access to functions or data in a system without disclosing the internal implementation.

The APIs are used with eIAM when you cannot read all the information from the authentication token at runtime and you need to synchronise or evaluate data in your business application with eIAM.

APIs provided by eIAM

API eIAM-AMW: API for user and access management
API eIAM-LDS: LDAP access to the directory of users and roles
API eIAM-RDM: adminPortal, remote delegated administration of users and roles

✘ ✎

ePortal Plattform für Online-Services

ePortal Plateforme de services en ligne

ePortal platform for online services

Das ePortal ist eine Plattform für Online-Services der Bundesverwaltung mit direktem Zugriff für Bürgerinnen und Bürger, Unternehmen und Verwaltungen sowie interne Nutzer. Das ePortal ist bereits an eIAM angeschlossen ist.

ePortal PROD Stage:
ePortal ABN Stage:
ePortal REF Stage:

Le portail électronique est une plate-forme de services en ligne de l'administration fédérale avec un accès direct pour les citoyens, les entreprises et les administrations ainsi que les utilisateurs internes. L'ePortal est déjà connecté à eIAM.

ePortal PROD Stage :
ePortal ABN Stage :
ePortal REF Stage :

The ePortal is a platform for online services of the Federal Administration with direct access for citizens, companies and administrations as well as internal users. The ePortal is already connected to eIAM.

ePortal PROD Stage:
ePortal ABN Stage:
ePortal REF Stage:

✘ ✎

SSO/SLO (Single Sign-On / Single Logout)

Single Sign-On (SSO) und Single Logout (SLO) sind Funktionen, die Benutzern und IT-Systemen ermöglichen, die Authentifizierung und Abmeldung in einer föderierten Umgebung effizient zu verwalten. Beide Konzepte spielen eine wichtige Rolle bei der Verbesserung der Benutzererfahrung und der Sicherheit in einer verteilten Systemlandschaft.

Single Sign-On (SSO) ermöglicht es Benutzern, sich einmal zu authentifizieren und anschließend auf mehrere Anwendungen, Systeme oder Dienste zuzugreifen, ohne sich erneut anmelden zu müssen.

Single Logout (SLO) ermöglicht es Benutzern, sich einmal abzumelden, wodurch sie automatisch von allen verbundenen Anwendungen und Diensten abgemeldet werden.

Link auf weitere Informationen BTB: SSO/SLO Überblick

Le Single Sign-On (SSO) et lle Single Logout (SLO) sont des fonctions qui permettent aux utilisateurs et aux systèmes informatiques de gérer efficacement l'authentification et la déconnexion dans un environnement fédéré. Ces deux concepts jouent un rôle important dans l'amélioration de l'expérience utilisateur et de la sécurité dans un environnement système distribué.

Single Sign-On (SSO) permet aux utilisateurs de s'authentifier une fois et d'accéder ensuite à plusieurs applications, systèmes ou services sans avoir à se connecter à nouveau.

Single Logout (SLO) permet aux utilisateurs de se déconnecter une fois, ce qui les déconnecte automatiquement de toutes les applications et services connectés.

Lien vers plus d'informations BTB : SSO/SLO Aperçu

Single sign-on (SSO) and single logout (SLO) are functions that enable users and IT systems to efficiently manage authentication and logout in a federated environment. Both concepts play an important role in improving user experience and security in a distributed system landscape.

Single sign-on (SSO) allows users to authenticate once and then access multiple applications, systems or services without having to log in again.

Single logout (SLO) allows users to log out once, which automatically logs them out of all connected applications and services.

Link to more information BTB: SSO/SLO Overview

✘ ✎

VLP (Visuelle Login Prüfung)

VVC (Vérification visuelle de connexion )

VLV (Visual login verification)

Ziel dieser Webapplikation ist, dass natürliche Personen sich gegenseitig beweisen können, dass sie ein Login mit einer abgeklärten elektronischen Identität durchgeführt haben. Die Prüfung der Identitäten erfolgt visuell und kann von allen Teilnehmenden unter gemacht werden.

Link auf weitere Informationen Visuelle Login Prüfung

L'objectif de cette application web est de permettre aux personnes physiques de se prouver mutuellement qu'elles ont effectué un login avec une identité électronique vérifiée. La vérification des identités est visuelle et peut être effectuée par tous les participants.

Lien vers plus d'informations Vérification visuelle de connexion

The aim of this web application is to enable natural persons to prove to each other that they have carried out a login with a verified electronic identity. The verification of identities is done visually and can be done by all participants at VLV visual login verification.

Link to further information VLV visual login verification

✘ ✎

URL (Uniform Resource Locator)

Eine URL (Uniform Resource Locator) ist die vollständige Adresse, die auf eine Ressource im Internet verweist. Sie besteht aus verschiedenen Bestandteilen, die eine Ressource eindeutig identifizieren und angeben, wie darauf zugegriffen werden kann.

Link auf weitere Informationen URL

Une URL (Uniform Resource Locator) est l'adresse complète qui renvoie à une ressource sur Internet. Elle se compose de différents éléments qui identifient clairement une ressource et indiquent comment y accéder.

Lien vers des informations supplémentaires URL

A URL (Uniform Resource Locator) is the complete address that refers to a resource on the internet. It consists of various components that clearly identify a resource and indicate how it can be accessed.

Link to further information URL

✘ ✎

FQDN (Fully Qualified Domain Name)

Ein FQDN (Fully Qualified Domain Name) ist der vollständige und eindeutige Name eines Computers, Servers oder Geräts im Domain Name System (DNS). Ein FQDN gibt die genaue Position eines Objekts in der DNS-Hierarchie an und enthält alle relevanten Informationen, um es eindeutig zu identifizieren.

Aufbau eines FQDN:

Ein FQDN besteht aus mehreren Teilen, die durch Punkte (.) getrennt sind, und hat die folgende Struktur:

Hostname: Der Name des Geräts oder Servers (z. B. www, mail, ftp).
Subdomain (optional): Ein optionaler Teil, der die Hierarchie innerhalb einer Domain beschreibt (z. B. bit in bit.admin.ch).
Domain: Der Name der Hauptdomain (z. B. admin).
Top-Level-Domain (TLD): Der höchste Teil der Domain-Hierarchie, wie .ch, .com, .org, .swiss.

Beispiel: www.bit.admin.ch

Un FQDN (Fully Qualified Domain Name) est le nom complet et unique d'un ordinateur, d'un serveur ou d'un périphérique dans le système de noms de domaine (DNS). Un FQDN indique la position exacte d'un objet dans la hiérarchie DNS et contient toutes les informations pertinentes pour l'identifier de manière unique.

Structure d'un FQDN :

Un FQDN se compose de plusieurs parties séparées par des points (.) et a la structure suivante :

Nom d'hôte : Le nom de l'appareil ou du serveur (par exemple www, mail, ftp).
Sous-domaine (facultatif) : Une partie facultative qui décrit la hiérarchie au sein d'un domaine (par exemple, bit dans bit.admin.ch).
Domaine : Le nom du domaine principal (par exemple admin).
Domaine de premier niveau (TLD) : La partie la plus élevée de la hiérarchie du domaine, comme .ch, .com, .org, .swiss.
Exemple : www.bit.admin.ch

An FQDN (Fully Qualified Domain Name) is the complete and unique name of a computer, server or device in the Domain Name System (DNS). An FQDN indicates the exact position of an object in the DNS hierarchy and contains all the relevant information to identify it unambiguously.

Structure of an FQDN:

An FQDN consists of several parts separated by dots (.) and has the following structure:

Hostname: The name of the device or server (e.g. www, mail, ftp).
Subdomain (optional): An optional part that describes the hierarchy within a domain (e.g. bit in bit.admin.ch).
Domain: The main name of the domain (e.g. admin).
Top-level domain (TLD): The highest part of the domain hierarchy, such as.ch, .com, .org, .swiss.
Example: www.bit.admin.ch

✘ ✎

FIDO (Sicherheitsschlüssel)

FIDO (clé de sécurité)

FIDO (security key)

FIDO steht für Fast IDentity Online. Es handelt sich um mehrere offenen, lizenzfreien Standards und Protokolle der FIDO Alliance zur sicheren und benutzerfreundlicheren Authentifizierung im Internet. Es gibt verschiedene Implementierungen von FIDO, darunter FIDO U2F (Universal Second Factor) und FIDO2, die in modernen Webbrowsern und Plattformen weit verbreitet sind. Mithilfe der Protokolle ist eine Passwortlose Zwei-Faktor-Authentifizierung basierend auf der Public-Key-Kryptographie möglich.

Link auf weitere Informationen Security keys

FIDO est l'abréviation de Fast IDentity Online. Il s'agit de plusieurs normes et protocoles ouverts et libres de droits de l'Alliance FIDO pour une authentification plus sûre et plus conviviale sur Internet. Il existe plusieurs implémentations de FIDO, dont FIDO U2F (Universal Second Factor) et FIDO2, qui sont largement utilisées dans les navigateurs web et les plates-formes modernes. Ces protocoles permettent une authentification à deux facteurs sans mot de passe, basée sur la cryptographie à clé publique.

Lien vers des informations supplémentaires Security keys

FIDO stands for Fast IDentity Online. It is a set of open, royalty-free standards and protocols from the FIDO Alliance for secure and user-friendly authentication on the Internet. There are various implementations of FIDO, including FIDO U2F (Universal Second Factor) and FIDO2, which are widely used in modern web browsers and platforms. The protocols enable password-less two-factor authentication based on public-key cryptography.

Link to further information Security keys

✘ ✎

Mobile ID

Ein Mobiltelefon, mit einer Mobile ID fähigen SIM-Karte oder eSIM eines Schweizer Telekommunikationsanbieters.

Bitte beachten Sie, dass Mobile ID mit eSIM ausser von Swisscom von den meisten Schweizer Telekommunikationsanbietern nicht unterstützt wird. Erkundigen Sie sich bei Ihrem Anbieter, ob er Mobile ID auf eSIM unterstützt.

Un téléphone mobile équipé d'une carte SIM compatible avec Mobile ID ou d'une eSIM d'un opérateur de télécommunications suisse.

Veuillez noter qu'à l'exception de Swisscom, le Mobile ID avec eSIM n'est pas pris en charge par la plupart des opérateurs de télécommunications suisses. Renseignez-vous auprès de votre opérateur pour savoir s'il prend en charge Mobile ID sur eSIM.

A mobile phone with a SIM card or eSIM from a Swiss telecommunications provider that is capable of supporting Mobile ID.

Please note that Mobile ID with eSIM is not supported by most Swiss telecommunications providers, except for Swisscom. Check with your provider to see if they support Mobile ID on eSIM.

✘ ✎

Verifiable Credential

Der Term "Verifiable Credential", welcher häufig mit "Credential" abgekürzt wird, bezeichnet einen digitalen Nachweis, welcher für sich selbst sprechend ist (ein von einem Aussteller signierter Datensatz). Die Identität kann also duch vorweisen dieses "Verifiable Credentials" bewiesen werden (ohne Dritten). Credentials im Sinne von Verifiable Credentials können auch andere Aussagen enthalten. So enthält z.B. eine Wohnsitzbestätigung nicht die Aussage, um mich zu identifizieren, aber die Aussage, um zu wissen, wo denn die vermerkte Person wohnt.

Le terme « Verifiable Credential », souvent abrégé en « Credential », désigne une preuve numérique qui parle d'elle-même (un enregistrement de données signé par un émetteur). L'identité peut donc être prouvée par la présentation de ce « Verifiable Credential » (sans tiers). Les Credentials au sens de Verifiable Credentials peuvent également contenir d'autres déclarations. Par exemple, une confirmation de domicile ne contient pas la déclaration permettant de m'identifier, mais la déclaration permettant de savoir où habite la personne mentionnée.

The term ‘verifiable credential’, which is often abbreviated to ‘credential’, refers to a digital record that speaks for itself (a data set signed by an issuer). The identity can therefore be proven by presenting this ‘verifiable credential’ (without a third party). Credentials in the sense of verifiable credentials can also contain other statements. For example, a confirmation of residence does not contain the statement ‘to identify me’, but it does contain the statement ‘to know where the person named lives’.

✘ ✎

SAML (Security Assertion Markup Language)

Ein SAML-Token ist eine Datenstruktur, die in der Security Assertion Markup Language (SAML) definiert wird. Es dient zur Übertragung von Sicherheitsinformationen zwischen vertrauenswürdigen Entitäten (z. B. zwischen einem Identity Provider (IdP) und einem Service Provider (SP)) in einem föderierten Authentifizierungssystem.

Wichtige Merkmale eines SAML-Tokens

Format:
Ein SAML-Token ist ein XML-Dokument, das standardisierte Sicherheitsinformationen enthält. Diese Informationen werden als Assertions bezeichnet.
Inhalt:
Ein SAML-Token enthält typischerweise drei Arten von Assertions:
- Authentication Assertion: Bestätigt, dass der Benutzer authentifiziert wurde (inkl. Authentifizierungsmethode und Zeitstempel).
- Attribute Assertion: Übermittelt zusätzliche Informationen (Attribute) über den Benutzer, z. B. Name, E-Mail-Adresse oder Rollen.
- Authorization Decision Assertion: Beschreibt, ob ein Benutzer Zugriff auf eine Ressource hat, basierend auf vordefinierten Richtlinien.
Sicherheit:
- SAML-Tokens sind digital signiert, um die Integrität und Authentizität der Daten zu gewährleisten.
- Sie können verschlüsselt sein, um sensible Informationen zu schützen.

Anwendungsbereiche

Ein SAML-Token wird häufig in Single Sign-On (SSO)-Systemen verwendet, insbesondere in föderierten Identitätssystemen. Es ermöglicht einer Anwendung (Service Provider, SP), den Benutzer zu authentifizieren, ohne dass dieser seine Zugangsdaten direkt bei der Anwendung eingibt.

Beispiele:

Ein Benutzer möchte sich bei einem Cloud-Dienst (SP) anmelden.
Der SP leitet die Authentifizierungsanfrage an den Identity Provider (IdP) weiter.
Der IdP authentifiziert den Benutzer und erstellt ein SAML-Token mit den benötigten Informationen.
Das Token wird an den SP weitergeleitet, der die darin enthaltenen Daten validiert und dem Benutzer Zugriff gewährt.

Vorteile eines SAML-Tokens

Interoperabilität: Funktioniert über verschiedene Plattformen und Technologien hinweg.
Föderiertes Identitätsmanagement: Unterstützt die Zusammenarbeit zwischen Organisationen.
Erhöhte Sicherheit: Durch digitale Signaturen und optionale Verschlüsselung.
Benutzerfreundlichkeit: Erlaubt SSO, wodurch Benutzer sich nicht mehrfach anmelden müssen.

Un token SAML est une structure de données définie dans le Security Assertion Markup Language (SAML). Il sert à transmettre des informations de sécurité entre des entités de confiance (par exemple entre un fournisseur d'identité (IdP) et un fournisseur de services (SP)) dans un système d'authentification fédéré.

Caractéristiques importantes d'un jeton SAML

Format :
Un token SAML est un document XML qui contient des informations de sécurité standardisées. Ces informations sont appelées assertions.
Contenu :
Un token SAML contient typiquement trois types d'assertions :
- Authentication Assertion : Confirme que l'utilisateur a été authentifié (y compris la méthode d'authentification et l'horodatage).
- Attribute Assertion : Transmet des informations supplémentaires (attributs) sur l'utilisateur, par exemple son nom, son adresse électronique ou ses rôles.
- Authorization Decision Assertion : Décrit si un utilisateur a accès à une ressource, en fonction de politiques prédéfinies.
Sécurité :
- Les jetons SAML sont signés numériquement afin de garantir l'intégrité et l'authenticité des données.
- Ils peuvent être cryptés pour protéger les informations sensibles.

Domaines d'application

Un jeton SAML est souvent utilisé dans les systèmes d'authentification unique (SSO), notamment dans les systèmes d'identité fédérés. Il permet à une application (Service Provider, SP) d'authentifier l'utilisateur sans que celui-ci ne saisisse directement ses données d'accès auprès de l'application.

Exemples :

Un utilisateur souhaite se connecter à un service de cloud (SP).
Le SP transmet la demande d'authentification au fournisseur d'identité (IdP).
L'IdP authentifie l'utilisateur et crée un token SAML avec les informations requises.
Le jeton est transmis au SP, qui valide les données qu'il contient et accorde l'accès à l'utilisateur.

Avantages d'un token SAML

Interopérabilité : Fonctionne sur différentes plateformes et technologies.
Gestion fédérée des identités : Favorise la collaboration entre les organisations.
Sécurité accrue : Grâce aux signatures numériques et au cryptage optionnel.
Facilité d'utilisation : Permet le SSO, ce qui évite aux utilisateurs de se connecter plusieurs fois.

A SAML token is a data structure defined in the Security Assertion Markup Language (SAML). It is used to transfer security information between trusted entities (e.g. between an identity provider (IdP) and a service provider (SP)) in a federated authentication system.

Important features of a SAML token

Format:
A SAML token is an XML document that contains standardised security information. This information is referred to as assertions.
Contents:
A SAML token typically contains three types of assertions:
- Authentication Assertion: Confirms that the user has been authenticated (including authentication method and timestamp).
- Attribute Assertion: Provides additional information (attributes) about the user, such as name, email address or roles.
- Authorisation Decision Assertion: describes whether a user has access to a resource based on predefined policies.
Security:
- SAML tokens are digitally signed to ensure the integrity and authenticity of the data.
  They can be encrypted to protect sensitive information.

Areas of application

A SAML token is commonly used in single sign-on (SSO) systems, especially in federated identity systems. It enables an application (service provider, SP) to authenticate the user without the user entering their credentials directly into the application.

Examples:

A user wants to log in to a cloud service (SP).
The SP forwards the authentication request to the identity provider (IdP).
The IdP authenticates the user and creates a SAML token with the required information.
The token is forwarded to the SP, which validates the data contained in it and grants the user access.

Advantages of a SAML token

Interoperability: Works across different platforms and technologies.
Federated identity management: Supports collaboration between organisations.
Enhanced security: Through digital signatures and optional encryption.
Ease of use: Enables SSO, which means that users do not have to log in multiple times.

✘ ✎

OIDC (OpenID Connect)

OIDC basiert direkt auf dem OAuth 2.0-Protokoll und erweitert dieses um eine Schicht zur Benutzer-Authentifizierung. Dabei besteht der Zusammenhang wie folgt:

OAuth 2.0:
- Ein Framework für Autorisierung, das es Anwendungen erlaubt, im Namen eines Benutzers auf Ressourcen zuzugreifen, ohne die Zugangsdaten des Benutzers zu kennen.
- Beispiele: Zugriff auf die API eines Drittanbieters, wie Google Drive oder Twitter.
- Ergebnis: Zugriffstoken (Access Token), das den Zugriff auf Ressourcen ermöglicht.
OIDC:
- Baut auf OAuth 2.0 auf und ergänzt es um Authentifizierungsfunktionen, damit die Identität des Benutzers überprüft werden kann.
- Zusätzlich zu den Access Tokens führt OIDC das ID Token ein, das Informationen über den Benutzer (Claims) enthält, z. B. Name, E-Mail-Adresse oder eine eindeutige Benutzer-ID.
- Beispielanwendungen: Single Sign-On (SSO).

OIDC nutzt die Mechanismen von OAuth 2.0, um die Authentifizierung und Autorisierung in einem integrierten System zu kombinieren.

OIDC se base directement sur le protocole OAuth 2.0 et y ajoute une couche d'authentification de l'utilisateur. Le lien est le suivant :

OAuth 2.0 :
- Un cadre d'autorisation qui permet aux applications d'accéder à des ressources au nom d'un utilisateur sans connaître les données d'accès de l'utilisateur.
- Exemples : Accès à l'API d'un fournisseur tiers, comme Google Drive ou Twitter.
- Résultat : Jeton d'accès (Access Token) qui permet d'accéder aux ressources.
OIDC :
- S'appuie sur OAuth 2.0 et y ajoute des fonctions d'authentification afin de pouvoir vérifier l'identité de l'utilisateur.
- En plus des jetons d'accès, OIDC introduit le jeton d'identification qui contient des informations sur l'utilisateur (claims), par exemple le nom, l'adresse e-mail ou un ID utilisateur unique.
- Exemples d'applications : Single Sign-On (SSO).

OIDC utilise les mécanismes d'OAuth 2.0 pour combiner l'authentification et l'autorisation dans un système intégré.

OIDC is based directly on the OAuth 2.0 protocol and extends it with a layer for user authentication. The relationship is as follows:

OAuth 2.0:
- A framework for authorisation that allows applications to access resources on behalf of a user without knowing the user's credentials.
- Examples: Access to a third-party API, such as Google Drive or Twitter.
- Result: Access token that enables access to resources.
OIDC:
- Builds on OAuth 2.0 and adds authentication functions so that the user's identity can be verified.
- In addition to access tokens, OIDC introduces the ID token, which contains information about the user (claims), such as name, email address or a unique user ID.
- Example applications: single sign-on (SSO).

OIDC uses the mechanisms of OAuth 2.0 to combine authentication and authorisation in an integrated system.

✘ ✎

SAML vs. OAuth/OIDC Tokens

Vergleich der Token-Typen

SAML-Tokens sind XML-basiert und für föderierte Authentifizierung und SSO konzipiert.
OAuth 2.0 Tokens (z. B. Access Tokens, ID Tokens) sind typischerweise JSON-basiert und werden in modernen API-Szenarien verwendet.

SAML-Tokens sind besonders in traditionellen Unternehmensumgebungen verbreitet, während OAuth und OIDC in moderneren, API-gesteuerten Umgebungen bevorzugt werden.

Vergleich: JSON-basiert vs. XML-basiert

Merkmal	JSON-basiert (OAuth/OIDC)	XML-basiert (SAML)
Format	JSON	XML
Lesbarkeit	Einfacher, kompakter	Ausführlicher, schwerer zu lesen
Übertragungsgrösse	Kleiner	Grösser
Komplexität	Niedrig	Höher
Typischer Einsatz	Moderne APIs, Webanwendungen	Föderierte Authentifizierung in Unternehmenssystemen

JSON hat mehrere Vorteile:

Einfachheit: Es ist weniger komplex und kompakter als XML, was es besonders für Web- und API-Kommunikation geeignet macht.
Maschinen- und menschenlesbar: JSON kann leicht von Computern verarbeitet werden und ist gleichzeitig für Menschen verständlich.
Kompatibilität: JSON ist in nahezu allen modernen Programmiersprachen einfach zu verarbeiten.

Comparaison des types de jetons

Les jetons SAML sont basés sur XML et conçus pour l'authentification fédérée et le SSO.
Les tokens OAuth 2.0 (par exemple les tokens d'accès, les tokens d'identification) sont typiquement basés sur JSON et sont utilisés dans des scénarios d'API modernes.

Les tokens SAML sont particulièrement répandus dans les environnements d'entreprise traditionnels, tandis que OAuth et OIDC sont préférés dans les environnements plus modernes contrôlés par API.

Comparaison : basé sur JSON vs. basé sur XML

Caractéristique	Basé sur JSON (OAuth/OIDC)	Basé sur XML (SAML)
Format	JSON	XML
Lisibilité	Plus simple, plus compact	Plus détaillé, plus difficile à lire
Taille de transmission	Plus petit	Plus grand
Complexité	Faible	Plus élevé
Utilisation typique	API modernes, applications web	Authentification fédérée dans les systèmes d'entreprise

JSON présente plusieurs avantages :

Simplicité : Il est moins complexe et plus compact que XML, ce qui le rend particulièrement adapté à la communication web et API.
Lisible par les machines et les humains : JSON peut être facilement traité par des ordinateurs tout en étant compréhensible par les humains.
Compatibilité : JSON est facile à traiter dans presque tous les langages de programmation modernes

Comparison of token types

SAML tokens are XML-based and designed for federated authentication and SSO.
OAuth 2.0 tokens (e.g. access tokens, ID tokens) are typically JSON-based and used in modern API scenarios.

SAML tokens are particularly common in traditional enterprise environments, while OAuth and OIDC are favoured in more modern, API-driven environments.

Comparison: JSON-based vs. XML-based

Feature	JSON-based (OAuth/OIDC)	XML-based (SAML)
Format	JSON	XML
Readability	Simple, compact	Detailed, harder to read
Transfer size	Smaller	Larger
Complexity	Low	Higher
Typical use	Modern APIs, web applications	Federated authentication in enterprise systems

JSON has several advantages:

Simplicity: It is less complex and more compact than XML, which makes it particularly suitable for web and API communication.
Machine and human readability: JSON can be easily processed by computers and is also understandable for humans.
Compatibility: JSON is easy to process in almost all modern programming languages.

✘ ✎

SAML-Trace (Analyse Tool)

SAML-Trace (Outil d'analyse)

SAML-Trace (Analysis Tool)

Ein SAML Trace ist eine detaillierte Analyse des Datenflusses bei der Nutzung von SAML (Security Assertion Markup Language), insbesondere bei Authentifizierungs- und Autorisierungsvorgängen. Es zeigt alle Nachrichten und deren Inhalte, die zwischen den beteiligten Parteien ausgetauscht werden.

Der SAML-Trace dient zur Fehlerdiagnose und Sicherheitsprüfung. Mithilfe von Browser-Add-ons wie SAML-tracer (Firefox) oder Chrome Developer Tools können die Traces erstellt werden. Diese Tools protokollieren SAML-Requests, Responses und Redirects zwischen dem Browser, dem SP und dem IdP.

Link auf weitere Informationen Erstellen eines SAML-Trace

Une trace SAML est une analyse détaillée du flux de données lors de l'utilisation de SAML (Security Assertion Markup Language), en particulier lors des processus d'authentification et d'autorisation. Elle montre tous les messages et leur contenu qui sont échangés entre les parties concernées.

La trace SAML sert à diagnostiquer les erreurs et à vérifier la sécurité. Les traces peuvent être créées à l'aide de modules complémentaires de navigateur tels que SAML-tracer (Firefox) ou Chrome Developer Tools. Ces outils enregistrent les requêtes SAML, les réponses et les redirections entre le navigateur, le PS et l'IdP.

Lien vers plus d'informations Créer une trace SAML

A SAML trace is a detailed analysis of the data flow when using SAML (Security Assertion Markup Language), in particular for authentication and authorisation processes. It shows all messages and their contents that are exchanged between the parties involved.

The SAML trace is used for error diagnosis and security checks. Browser add-ons such as SAML-tracer (Firefox) or Chrome Developer Tools can be used to create the traces. These tools log SAML requests, responses and redirects between the browser, the SP and the IdP.

Link to further information Creating a SAML trace

✘ ✎

RP (Relying Party)

Eine Relying Party (RP) ist eine Entität in einem Identitätsmanagement- oder Authentifizierungskontext, die auf eine externe Identitätsquelle oder einen Identitätsanbieter (Identity Provider, IdP) vertraut, um Informationen über die Identität eines Benutzers zu erhalten. Die RP nutzt diese Informationen, um Zugang zu ihren Diensten oder Ressourcen zu gewähren.

Sprich, die Relying Party ist der "Verbraucher" der Identitätsinformationen, die von einem vertrauenswürdigen Identitätsanbieter bereitgestellt werden.

Un Relying Party (RP) est une entité dans un contexte de gestion d'identité ou d'authentification qui se fie à une source d'identité externe ou à un fournisseur d'identité (IdP) pour obtenir des informations sur l'identité d'un utilisateur. La RP utilise ces informations pour accorder l'accès à ses services ou ressources.

En d'autres termes, la partie relais est le « consommateur » des informations d'identité fournies par un fournisseur d'identité de confiance.

A relying party (RP) is an entity in an identity management or authentication context that trusts an external identity source or an identity provider (IdP) to obtain information about a user's identity. The RP uses this information to grant access to its services or resources.

In other words, the relying party is the ‘consumer’ of the identity information provided by a trusted identity provider.

✘ ✎

Realm

Im Kontext von Authentifizierung und Identitätsmanagement bezeichnet ein Realm eine abgegrenzte Sicherheits- oder Vertrauenseinheit, die spezifische Richtlinien und Ressourcen umfasst. Es dient zur Organisation von Identitäten, Authentifizierungsmechanismen und Autorisierungsregeln innerhalb eines bestimmten Systems oder Netzwerks.

Bedeutung von "Realm"

Identitätsdomäne:
- Ein Realm repräsentiert eine Sammlung von Benutzern, Gruppen oder Ressourcen, die von einer bestimmten Autorität (z. B. einem Identitätsanbieter) verwaltet werden.
- Innerhalb eines Realms gelten einheitliche Authentifizierungs- und Autorisierungsregeln.
Abgrenzung:
- Realms dienen zur logischen Trennung verschiedener Benutzer- oder Ressourcenbereiche. Beispielsweise kann ein Unternehmen mehrere Realms haben, um unterschiedliche Abteilungen oder Tochtergesellschaften zu trennen.
Vertrauensbereich:
- In Single Sign-On- oder Föderationsszenarien definiert ein Realm, welche Entitäten einander vertrauen. Zum Beispiel kann ein Realm festlegen, welche Identitätsanbieter mit welchen Relying Parties zusammenarbeiten dürfen.

Dans le contexte de l'authentification et de la gestion des identités, un Realm désigne une unité de sécurité ou de confiance délimitée qui comprend des politiques et des ressources spécifiques. Il sert à organiser les identités, les mécanismes d'authentification et les règles d'autorisation au sein d'un système ou d'un réseau donné.

Signification de « Realm »

Domaine d'identité :
- Un Realm représente un ensemble d'utilisateurs, de groupes ou de ressources gérés par une autorité spécifique (par exemple un fournisseur d'identité).
- A l'intérieur d'un Realm, les règles d'authentification et d'autorisation sont uniformes.
Délimitation :
- Les Realms servent à séparer logiquement différents domaines d'utilisateurs ou de ressources. Par exemple, une entreprise peut avoir plusieurs Realms pour séparer différents départements ou filiales.
Zone de confiance :
- Dans les scénarios d'authentification unique ou de fédération, un Realm définit quelles entités se font mutuellement confiance. Par exemple, un Realm peut définir quels fournisseurs d'identité peuvent travailler avec quelles Relying Parties.

In the context of authentication and identity management, a realm is a delineated security or trust unit that encompasses specific policies and resources. It is used to organise identities, authentication mechanisms and authorisation rules within a specific system or network.

Meaning of "realm"

Identity domain:
- A realm represents a collection of users, groups or resources managed by a specific authority (e.g. an identity provider).
- Within a realm, uniform authentication and authorisation rules apply.
Differentiation:
- Realms are used to logically separate different user or resource areas. For example, a company can have multiple realms to separate different departments or subsidiaries.
Trust area:

✘ ✎

Native Mobile Apps (für Entwickler)

Apps mobiles natives (pour les développeurs)

Native Mobile Apps (for developers)

Um die Entwicklung von nativen Mobile Apps (für iOS und Android) zu erleichtern und Best Practices einzuhalten, wurde jeweils eine Muster-App mit Quellcode bereitgestellt, die zeigt, wie die Anbindung an eIAM über OpenID Connect (OIDC) für iOS und Android erfolgt.

Link auf weitere Informationen eIAM für native Mobile Apps

Afin de faciliter le développement d'applications mobiles natives (pour iOS et Android) et de respecter les meilleures pratiques, un exemple d'application avec code source a été fourni pour chaque cas, montrant comment la connexion à eIAM se fait via OpenID Connect (OIDC) pour iOS et Android.

Lien vers plus d'informations eIAM pour les applications mobiles natives

To make it easier to develop native mobile apps (for iOS and Android) and to comply with best practices, a sample app with source code has been provided for each platform that shows how to connect to eIAM via OpenID Connect (OIDC) for iOS and Android.

Link to further information eIAM for native mobile apps

✘ ✎

Pentest

Was ist ein Penetration Test?
Beim sogenannten Pentesting (ausgeschrieben: Penetration Testing), wird untersucht, ob ein Computersystem sicher ist. Die Sicherheit ist gegeben, wenn ausschliesslich erlaubte Datenbearbeitungen durch dafür berechtigte Personen oder Drittsysteme möglich sind. Für das Pentesting werden Fachpersonen beauftragt und dabei mit den Informationen zu Architektur und Codierung des Systems ausgestattet. Diese Fachpersonen überprüfen, ob das System unberechtigte Zugriffe zuverlässig verhindert, indem sie unberechtigte Zugriffe auszuführen versuchen und dies mit den aktuellen Werkzeugen potentieller echter Angreifer.

Wenn eIAM integrierte Applikationen mit einem Pentest auf die Sicherheit geprüft werden, dann gibt es oftmals auch Findings, welche mit eIAM zusammenhängen.

Link auf weitere Informationen eIAM Findings-Hinweise für Pentests von Applikationen

Qu'est-ce qu'un test d'intrusion ?
Un test d’intrusion (en anglais : penetration test) consiste à vérifier si un système informatique est sûr. La sécurité est garantie lorsque seules les personnes habilitées ou seuls les systèmes tiers peuvent traiter les données autorisées. Lors d’un test, des spécialistes sont mandatés et reçoivent à cette fin les informations sur l’architecture et le codage du système. Ils vérifient si le système empêche de manière fiable les accès non autorisés en tentant de trouver des vulnérabilités exploitables avec les outils dont disposent actuellement les attaquants potentiels.

Lorsque la sécurité des applications intégrées à l'eIAM est vérifiée à l'aide d'un pentest, il y a souvent aussi des constatations liées à l'eIAM.

Lien vers d'autres informations eIAM Findings-Indications pour les pentests d'applications.

What is a penetration test?
Pentesting (in full: penetration testing) determines whether a computer system is secure. Security is assured if only authorised persons or third-party systems are able to process data. For pentesting, specialists are commissioned and provided with information on a system's architecture and coding. These specialists check whether the system reliably prevents unauthorised access by attempting to gain unauthorised access using the latest tools available to potential real attackers.

When eIAM integrated applications are tested for security with a pentest, there are often findings that are related to eIAM.

Link to further information eIAM findings for pentesting applications