eIAM Web GUI CH-LOGIN Selbstregistrierung
Der CH-LOGIN IdP bietet den Benutzern von Applikationen die den Service eIAM benutzen einen Identity Provider für die Authentifizierung mittels Benutzername und Passwort. Optional kann für eine stärkere Authentifizierung zusätzlich ein SMS-Code als zweiter Faktor verwendet werden. Die Nutzer des CH-LOGIN können sich selbst registrieren um diesen IdP für die Wiedererkennung ihrer behaupteten Identität zu nutzen. Dieser IdP wird hauptsächlich für eGov Benutzer verwendet, da diese in der Regel über kein stärkeres Authentifizierungsmittel verfügen die der Service eIAM unterstützt.CH-LOGIN Selbstregistration Beschreibung
Falls die Applikation eine erweiterte Selbstregistrierung für Benutzer anbieten will, bei welchem der Benutzer zusätzliche Angaben machen soll, so MUSS sie im Service eIAM für das Anlegen der Identität des Benutzers die Selbstregistration des CH-LOGIN IdP verwenden. Die Applikation darf anschliessend an die Selbstregistration des Benutzers im CH-LOGIN eine weiterführende Selbstregistration implementieren um weitere Attribute über den Benutzer zu erfragen und diese Attribute über den Benutzer ausserhalb des Services eIAM zu speichern und zu pflegen.CH-LOGIN Selbstregistrierung URL
Die CH-LOGIN Selbstregistrierung KANN NICHT direkt aus Applikationen aufgerufen werden. Um die Selbstregistrierung des CH-LOGIN IdP zu nutzen, MUSS auf dem Request des Benutzers an den eIAM-Web PEP eine Authentifizierung ausgelöst werden (der Benutzer muss auf eine URL im geschützten Bereich geleitet werden um eine Authentifizierung zu starten). Bei der anschliessenden Auswahl des IdP (falls für die Webapplikation mehrere angeboten werden) muss der Benutzer den IdP „CH-LOGIN“ wählen.-
- Interaktives Home Realm Discovery auf eIAM Trustbroker
Der CH-LOGIN IdP bietet dem Benutzer neben der eigentlichen Authentifizierung und Passwortrücksetzung auch die Möglichkeit zur Selbstregistrierung an.
-
- CH-LOGIN IdP Selbstregistration auslösen
Der Benutzer wird anschliessend durch den Prozess der Selbstregistrierung geführt.
-
- CH-LOGIN IdP Selbstregistrierung
Bemerkung:
Weiterführende Informationen über den CH-LOGIN finden Sie unter
CH-LOGIN Steuerung der Authentifizierungstärke externe Applikationen
Der eIAM-Web PEP weiss bei ausserhalb der Netze der Bundesverwaltung gehosteten Applikationen von sich aus nicht, welche Authentifizierungsstärke auf dem CH-LOGIN IdP die Applikation benötigt, welche einen SAML 2.0 AuthnRequest an ihn stellt. Der eIAM-Web PEP erwartet daher bei diesem eIAM Lösungsmuster, dass die Applikation im SAML 2.0 AuthnRequest bereits die akzeptieren ContextClassRef Werte mit sendet.Die ausserhalb der Netze der Bundesverwaltung gehostete Applikation MÜSSEN die exakten Werte der ContextClassRefs die aus ihrer Sicht akzeptiert sind mit dem AuthnRequest mitsenden. Dabei kann von der Applikation wie folgt gesteuert werden, ob SMS-Code auf dem Basis IdP erzwungen werden soll:
| AuthnContextClassRef im SAML 2.0 AuthnRequest | Stufe | Weiter ohne SMS-Code möglich |
| none (legacy Einstellung für Rückwärtskompatibilität) | schwach | JA |
| AuthnContextClassRef im SAML 2.0 AuthnRequest | Stufe | Weiter ohne SMS-Code möglich |
| urn.oasis.names.tc.SAML.2.0.ac.classes.PasswordProtectedTransport | schwach | JA |
| urn.oasis.names.tc.SAML.2.0.ac.classes.NomadTelephony | normal | JA |
| urn.oasis.names.tc.SAML.2.0.ac.classes.TimeSyncToken | normal | JA |
| urn.oasis.names.tc.SAML.2.0.ac.classes.Kerberos | normal | JA |
| urn.oasis.names.tc.SAML.2.0.ac.classes.SoftwarePKI | normal | JA |
| urn.oasis.names.tc.SAML.2.0.ac.classes.SmartcardPKI | stark | JA |
| AuthnContextClassRef im SAML 2.0 AuthnRequest | Stufe | Weiter ohne SMS-Code möglich |
| urn.oasis.names.tc.SAML.2.0.ac.classes.NomadTelephony | normal | NEIN |
| urn.oasis.names.tc.SAML.2.0.ac.classes.TimeSyncToken | normal | NEIN |
| urn.oasis.names.tc.SAML.2.0.ac.classes.Kerberos | normal | NEIN |
| urn.oasis.names.tc.SAML.2.0.ac.classes.SoftwarePKI | normal | NEIN |
| urn.oasis.names.tc.SAML.2.0.ac.classes.SmartcardPKI | stark | NEIN |
Beispiel Registrierung und Anmeldung Mobiltelefon optional:
Beispiel Registrierung und Anmeldung Mobiltelefon erzwungen:
Bemerkung
Werden andere AuthnContextClassRef als die in der Tabelle gelisteten ContextClassRef im SAML AuthnRequest verwendet, kann dies zu Fehlern in der Authentifizierung des Benutzers führen. Insbesondere resultiert es in einem Fehler, wenn der Basis IdP (CH-LOGIN) für die Authentifizierung verwendet werden soll, eine AuthnContextClassRef im AuthnRequest definiert ist, aber weder „urn.oasis.names.tc.SAML.2.0.ac.classes.NomadTelephony“ noch „urn.oasis.names.tc.SAML.2.0.ac.classes.PasswordProtectedTransport“ in der Definition enthalten ist.
Einschränkung der erlaubten Vergleichswerte
Bedingt durch die eingeschränkte Unterstützung von Vergleichswerten im eIAM Trustbroker, MUSS als Vergleich der Wert „exact“ verwendet werden.
<samlp:RequestedAuthnContext Comparison="exact">
Bemerkung
Die Verwendung von anderen Vergleichswerten als „exact“ wie z.B. „minimum“, „better“ etc. führen zu Fehlern bei der Verarbeitung der SAML Assertion auf dem eIAM Trustbroker.