BTB SSO Gruppen

BTB – Übersicht zu Single Sign-On (SSO) und Single Logout (SLO)

Begrifflichkeiten:

  • BTB: Bundestrustbroker
  • SSO: Single Sign-On
  • SLO: Single Logout
  • QoA: Quality of Authentication (Infolink)
Diese Dokumentation beschreibt die SSO- und SLO-Funktionalitäten des Bundestrustbrokers (BTB) sowohl aus technischer Perspektive als auch aus Sicht der Endanwender und Applikationsverantwortlichen.

SSO (Single Sign-On)

Das BTB-SSO erlaubt die Bildung sogenannter SSO/SLO-Gruppen. Eine solche Gruppe besteht aus vertrauenswürdigen Anwendungen, die gemeinsam die einmalige Authentifizierung eines Benutzers nutzen. Nach erfolgreichem Login bei einer Anwendung innerhalb der Gruppe ist kein weiterer Login erforderlich.

Eigenschaften von SSO/SLO-Gruppen:

  • Eine Anwendung kann jeweils nur genau einer SSO/SLO-Gruppe zugeordnet werden; die Gruppen sind dabei disjunkt.

  • Innerhalb einer Gruppe müssen alle Anwendungen denselben Identity Provider (IdP) sowie denselben minimalen Quality-of-Authentication-Level (QoA) verwenden.
    Unterschiedliche IdPs oder abweichende QoA-Level führen dazu, dass eine erneute Authentifizierung erforderlich ist – auch wenn bereits eine SSO-Sitzung über den BTB besteht.

  • Beim Wechsel von einer Anwendung zur anderen innerhalb der Gruppe werden die Rollenmitgliedschaften erneut aus dem Ziel-Mandanten ausgelesen. So wird sichergestellt, dass die zweite Applikation ein korrektes Token mit den passenden Rolleninformationen erhält.

  • Anwendungen dürfen unterschiedliche Föderationsprotokolle (z. B. SAML, OIDC) verwenden.

  • Anwendungen müssen nicht im gleichen Access-Mandanten geführt werden.

Legacy PEP SSO (nicht BTB-basiert):

Bei Anwendungen, die über denselben Policy Enforcement Point (PEP) betrieben werden, kann eine eigenständige SSO-Funktionalität implementiert werden.

Einschränkung: Ein Step-Up* innerhalb der Session ist nicht möglich. Alle beteiligten Anwendungen müssen denselben (einheitlichen) QoA-Level voraussetzen.

* Step-Up Authentication bezeichnet eine erneute Authentifizierung des Clients mit erhöhtem QoA-Level, sofern dieser für den Zugriff auf bestimmte Anwendungen erforderlich ist.

SLO (Single Logout)

Die Funktion Single Logout (SLO) sorgt für einheitliches Abmelden innerhalb der gesamten SSO-Session.

Auslöser für einen Logout:

  • Aktives Abmelden über einen Logout-Button
  • Schließen aller Browserfenster
  • Erreichen der Session-Laufzeit:
    • 12 Stunden bei aktiver Sitzung
    • 2 Stunden bei Inaktivität

Logout-Verhalten:

  • Beim Logout wird ein SLO-Request an alle beteiligten Anwendungen der SSO-Gruppe geschickt.
  • Alle Anwendungen müssen in der Lage sein, diesen Logout-Request zu verarbeiten und entsprechend zu reagieren (bei Anwendungen wie Easygov gab es diesbezüglich technische Probleme).

Anforderungen an Anwendungen

Damit eine Applikation in eine SSO/SLO-Gruppe integriert werden kann, müssen folgende Anforderungen erfüllt sein:
  • Unterstützung von Login, Logout und Re-Login mit den konfigurierten IdPs und dem festgelegten minimalen QoA-Level.
  • Implementierung eines funktionalen Logout-Buttons mit entsprechender Logout-Logik.
  • Fähigkeit, SLO-Requests korrekt zu empfangen und zu verarbeiten.
  • Gewährleistung, dass beim Sprung zwischen Applikationen die Rollenmitgliedschaften korrekt neu ausgelesen werden.

Bestellprozess & Governance

  1. Bestellung einer neuen SSO/SLO-Gruppe
    • Der PL-Kunden/Partner füllt das offizielle Formular (Link im eIAM-Dossier) aus und lädt es im entsprechenden eIAM-Dossier hoch.
    • Die Genehmigung durch alle betroffenen ISBOs ist durch den PL-Kunden/Partner einzuholen.
    • Die Zusammensetzung der Gruppe (Teilnehmende Applikationen) wird durch den PL-Kunden/Partner definiert.
    • Der Applikationsverantwortliche muss die korrekte Funktionalität (SSO & SLO) sicherstellen und testen.

  2. Aufnahme einer Applikation in eine bestehende SSO/SLO-Gruppe
    • Gleiches Verfahren wie bei der Neuanlage:
      • Formular ausfüllen und im Dossier ablegen
      • Genehmigung durch relevante ISBO(s)
    • eIAM INT kann unterstützend bei der Identifikation relevanter ISBOs und Gruppenmitglieder helfen, jedoch liegt die Verantwortung weiterhin beim PL-Kunden/Partner.
    • Applikationsverantwortliche müssen sicherstellen, dass die Integration reibungslos funktioniert.

  3. Entfernung einer Applikation aus einer bestehenden Gruppe
    • Kein neues Formular erforderlich.
    • Die betroffenen Stellen (eIAM INT, ISBOs, Applikationsverantwortliche) müssen informiert werden.
    • Technische Korrektheit der verbleibenden Gruppenmitglieder muss sichergestellt bleiben.

Kostenfolgen für Kunden

  • Die Realisierung von SSO innerhalb eines gemeinsamen Fully Qualified Domain Names (FQDN) (z. B. www.gate.bit.admin.ch) ist Teil der Standardimplementierung (Remedy CRQ).
  • Für SSO über mehrere FQDNs hinweg ist ein kostenpflichtiges Consulting nach Aufwand erforderlich.

Nutzungsinformationen für Endanwender (FAQ)

Kann ich meine aktiven SSO-Sitzungen einsehen? ▼
×

Nein, dies ist derzeit nicht vorgesehen.

Wie vermeide ich die Teilnahme an einer SSO/SLO-Sitzung? ▼
×

Verwenden Sie einen anderen Browser oder ein Inkognito-/Privatfenster, um eine neue, unabhängige Session zu starten.

Ich möchte CH-LOGIN verwenden, werde aber automatisch mit FED-LOGIN eingeloggt? ▼
×

Nutzen Sie ein Inkognito-Fenster oder einen privaten Browser auf einem Nicht-Bundesgerät, um Session-Cookies und automatisierte Weiterleitungen zu vermeiden.