Qualität der Authentifizierung (QoA)
Das QoA Konzept befasst sich mit den verschiedenen QoA Klassen und deren Definition und Einstufung. Dabei entspricht jede Authentifizierungsmethode (Credentials, mit oder ohne Zweitfaktor) genau einer definierten QoA Klasse.Mit der Spezifikation der entsprechenden QoA Klasse im SAML-/OIDC-Föderationsprotokoll ergeben sich folgende Vorteile:
- Eine Fachapplikation muss sich nicht um die aufwändige Konfiguration der verschiedenen Authentifizierungsmethoden kümmern.
- Es muss lediglich entschieden werden, welche QoA Klasse für die zu integrierende Fachapplikation gewünscht, respektive gefordert ist. Mit der Spezifikation der entsprechenden QoA Klasse im Föderationsprotokoll, wird automatisch sichergestellt, dass dem Benutzer alle zugelassenen Authentifizierungsmethoden, die mindestens dieser QoA Klasse entsprechen, angeboten werden.
- Neue Authentifizierungsmethoden, welche in das QoA Konzept aufgenommen werden, stehen so automatisch zur Verfügung, ohne dass die Anwendung angepasst werden muss.
- Die Einführung von neuen Authentifizierungsmethoden wird so für die Fachapplikation transparent.
-
- IdPs FED-LOGIN/BYOI und QoA (Credentials/Abklärungstypen)
IdP+Credential(s)+Abklärungstyp = Qualität digitale Identität
Sowohl die bei einer Anmeldung verwendeten Authentifizierungsverfahren (Credentials) als auch der Grad der Überprüfung (Abklärungstyp) einer Identität sind massgebend für die Qualität einer digitalen Identität. eIAM beschreibt dies als Quality of Authentication (QoA).Für die QoA40, 50 & 60 gilt, dass die zugrundeliegende digitale Identität nicht einfach selbst registriert ist, sondern abgeklärt (Name, Vorname, Geburtsdatum, Ausweisart und Ausweisnummer). Abgeklärte elektronische Identitäten ermöglichen die Nachvollziehbarkeit, wer damit ausgerüstet wurde und somit wenn notwendig den Regress auf diese Personen.
Identitätsprüfungen haben immer gültige amtliche Lichtbildausweise zur Grundlage sowie die adäquate zeitgleiche Präsenz der damit abzugleichenden Person. Die Ausweise werden registriert
In welchen Fällen müssen Identitäten mit QoA 40, 50 und 60 eingesetzt werden?
- Zugriff auf IKT-Ressourcen der Bundesverwaltung im Enterprise-Kontext (für interne und externe Mitarbeitende sowie Partner): Die Minimalanforderung ist QoA40.
- Zugriff auf Daten mit erhöhtem Schutzbedarf. Laut aktueller Zonenpolicy ist QoA50 erforderlich. Dies ist nur mit Hardcrypto-Token wie die Smartcard*, die Access App's oder mittels FIDO-Sicherheitsschlüssel und Mobile ID mit VIPS möglich.
*Der Smartcard-Zwang (QoA60), darf nur noch in begründeten Ausnahmefällen nach Konsultation der BK DTI verwendet werden. - Erfordernis des Geschäftsprozesses, die handelnde Person eindeutig identifizieren zu können (Regressfähigkeit): Die Minimalanforderung ist QoA40. In bestimmten Fällen kann dies auch durch die Zielapplikation erfolgen, indem beispielsweise eine Ausweiskopie in die Anwendung hochgeladen wird.
Unterschiedliche QoA-Klassen pro eIAM-Stage
Auf Kundenwunsch wurde die Flexibilität unterschiedlicher QoA-Klassen pro Stage in eIAM implementiert. Wenn ein Kunde in einer nicht produktiven Umgebung eine niedrigere QoA benötigt, kann dies unter Einhaltung der folgenden Regeln umgesetzt werden.Regelung zur Qualität der Authentifizierung (QoA) ▼×
- Verantwortung und Zuständigkeiten
- Der Schutzbedarf der Applikation mit der resultierenden Schutzstuf
e definiert die Mindestqualität der Authentifizierung (QoA-Klasse) der produktiven Umgebung.
- Der Anwendungsverantwortliche bestimmt mit dem zuständigen ISBO die erforderliche Mindestqualität der Authentifizierung (QoA-Klasse) für den Zugriff auf ihre Appliaktions-Instanzen (PROD, ABN und REF).
- Der Schutzbedarf der Applikation mit der resultierenden Schutzstuf
- Ausnahmen in nicht produktiven Umgebungen (ABN/REF)
- Falls in einer nicht produktiven Umgebung abweichende QoA-Anforderungen gelten, muss dies schriftlich (signiertes Mail) durch den zuständigen ISBO an den eIAM SIE bestätigt werden.
- Diese Ausnahme ist nur zulässig, wenn keine Daten mit hohem Schutzbedarf verarbeitet werden.
- Falls in einer nicht produktiven Umgebung abweichende QoA-Anforderungen gelten, muss dies schriftlich (signiertes Mail) durch den zuständigen ISBO an den eIAM SIE bestätigt werden.
- Anforderung der QoA durch die Relying Party
- Eine eIAM-integrierte Relying Party kann die minimale QoA-Klasse entweder:
- während der Laufzeit in der Föderationsanfrage an eIAM anfordern.
- bei der Integration (Definitionszeit) in eIAM festlegen.
- während der Laufzeit in der Föderationsanfrage an eIAM anfordern.
- Eine eIAM-integrierte Relying Party kann die minimale QoA-Klasse entweder:
- Ablehnung der Föderationsanfrage bei fehlender QoA-Angabe
- Falls die Relying Party weder zur Definitionszeit noch zur Laufzeit eine QoA festlegt, lehnt eIAM die Föderationsanfrage ab.
- Durchsetzung der höchsten QoA-Anforderung
- Falls zur Definitionszeit eine höhere QoA festgelegt wurde, MUSS eIAM diese auch dann durchsetzen, wenn die Relying Party zur Laufzeit eine niedrigere QoA erlaubt.
- Falls zur Laufzeit eine höhere QoA als zur Definitionszeit gefordert wird, MUSS eIAM ebenfalls die höhere QoA durchsetzen.
- Falls zur Definitionszeit eine höhere QoA festgelegt wurde, MUSS eIAM diese auch dann durchsetzen, wenn die Relying Party zur Laufzeit eine niedrigere QoA erlaubt.
- QoA in geschützten Zonen
- Falls die Relying Party in einer Zone mit erhöhten Sicherheitsanforderungen (z. B. SZ+ Basic) betrieben wird, MUSS eIAM die QoA dieser Zone erfüllen.
- Eine niedrigere QoA kann weder zur Definitionszeit noch zur Laufzeit zugelassen werden, da der RP-PEP (Relying Party Policy Enforcement Point) den Zugriff regelt.
- Falls die Relying Party in einer Zone mit erhöhten Sicherheitsanforderungen (z. B. SZ+ Basic) betrieben wird, MUSS eIAM die QoA dieser Zone erfüllen.
- Einheitliches Integrationsmuster für produktive Umgebungen
- Falls in der produktiven Umgebung eine Zone mit höheren QoA-Anforderungen genutzt wird, MUSS das gleiche Integrationsmuster (mit RP-PEP) in allen Betriebsumgebungen der Relying Party verwendet werden.
- Auch wenn in tieferen Integrationsstufen (ABN/REF) keine RP-PEP-Zone erforderlich ist, setzt eIAM die produktiven QoA-Vorgaben in allen Umgebungen durch.
- Falls in der produktiven Umgebung eine Zone mit höheren QoA-Anforderungen genutzt wird, MUSS das gleiche Integrationsmuster (mit RP-PEP) in allen Betriebsumgebungen der Relying Party verwendet werden.
- QoA-Ausweis im Token
- eIAM MUSS die QoA im Token an die Relying Party ausweisen.
- Die Relying Party MUSS sicherstellen, dass die im Token ausgewiesene QoA ihren Anforderungen entspricht.
- eIAM MUSS die QoA im Token an die Relying Party ausweisen.
Login Methoden (Credential und Abklärungsmethoden)
FED-LOGIN Login MethodeBYOI: CH-Login Methoden ▼
×
Das CH-LOGIN ist ein 2-Faktoren (Benutzername/Passwort und FIDO Sicherheitsschlüssel/Mobile ID/mTAN/AuthApp) Identity Provider Service der vom eIAM Service zur Verfügung gestellt wird. Das CH-LOGIN kann für die verschiedensten Anwendungen der Bundesverwaltung genutzt werden. Dies ermöglicht es den Ämtern für ihre Fachapplikationen den internen und/oder externen Nutzern mehrere Login-Verfahren zur Verfügung zu stellen.
Abklärungstypen:
×
Das Login mit Passwort und einem Zweitfaktor wie mTAN (SMS) oder einer Authenticator-App (OATH) stellt eine alternative Methode dar, die jedoch als schwächer eingestuft wird (QoA40). Dadurch kann Ihnen der Zugriff auf bestimmte Applikationen verwehrt werden. Wir empfehlen daher die Registrierung der Mobile ID, da Sie damit das optimale Benutzererlebnis erhalte.
×
Mobile ID
Die Mobile ID ist ein Zertifikat, das auf den SIM-Karten (Subscriber Identity Module, inkl. eSIM) der (derzeit nur Schweizer) Mobiltelefonieanbieter gespeichert ist (Anbieter siehe ). Sie kann als Credential eingesetzt werden und wird vorgängig durch die Benutzenden im Self-Service auf MyAccount registriert. Das Zielsystem, das ein Authentifikations- und Identitätsnachweismittel anfordert und dafür die Mobile ID akzeptiert, sendet eine dedizierte Pushmeldung an das Mobilgerät, das die entsprechende SIM-Karte verwendet. Der Endbenutzer, die Endbenutzerin muss daraufhin auf diesem Mobilgerät ein Passwort eingeben, um dem anfragenden Zielsystem die Mobile ID zu übermitteln.
Wichtiger Hinweis
Die Mobile ID im Kontext der Bundesverwaltung richtet sich nicht an die breite Öffentlichkeit. Sie kann innerhalb der Bundesverwaltung nur auf Einladung verwendet werden. Die Einladung erhalten Sie von Ihrem Fachkontakt bei der Bundesverwaltung zusammen mit einem sogenannten MIO-Code (Mobile ID-Onboarding Code).
Sicherheitsschlüssel
Informationen über Sicherheitsschlüsse
Der Einsatz der Mobile ID u/o eines FIDO Sicherheitsschlüssel als Credential führt nicht automatisch zu einer verifizierten elektronischen Identität, dafür muss zusätzlich eine Videoidentifikation durchgeführt werden.
×
Das Videotelefonat wird im Browser eines PCs oder Mobiltelefons durchgeführt, es muss also keine besondere Software installiert werden / vorhanden sein. Im Videotelefonat prüft ein menschlicher Agent der mandatierten Videoidentifikations-Firma (aktuell Intrum, Bedienzeiten: Montag bis Samstag von 08:00 bis 17:00 Uhr) Echtheit und Gültigkeit des Ausweises, die Kohärenz des Fotos zum Gesicht der anwesenden Person und die physische Anwesenheit der Person im Videotelefonat
Vollständige Länderliste und zugelassenen Ausweisdokumente Länderlist
Detail Informationen: Videoidentifikatio
×
AGOV access Apps
Das AGOV-Login funktioniert via Smartphone-App oder Sicherheitsschlüssel (FIDO). Die Wahl ist dem Endbenutzenden überlassen. Link auf Anleitung: AGOV - Registrierun
Abklärungstypen:
×
Das Videotelefonat wird im Browser eines PCs oder Mobiltelefons durchgeführt, es muss also keine besondere Software installiert werden / vorhanden sein. Im Videotelefonat prüft ein menschlicher Agent der mandatierten Videoidentifikations-Firma (aktuell Intrum, Bedienzeiten: Montag bis Samstag von 08:00 bis 17:00 Uhr) Echtheit und Gültigkeit des Ausweises, die Kohärenz des Fotos zum Gesicht der anwesenden Person und die physische Anwesenheit der Person im Videotelefonat
Vollständige Länderliste und zugelassenen Ausweisdokumente Länderlist
Hinweis
Die Kosten der Videoidentifikationsprüfung werden dem Eigentümer der Zielanwendung in Rechnung gestellt, wobei eine Identitätsprüfung für 5 Jahre für das gesamte AGOV-Ökosystem gilt und nicht mehrfach durchgeführt werden muss.
×
Dienstleistung der Schweizer Post: Personenidentifikation und Erstellung einer Ausweiskopie an der Haustür (Brief mit ID-Check).
Akzepierte Ausweise
- Gültiger Reisepass
- Gültige Identitätskarte
- In der Schweiz ausgestellte Ausländerausweise
×
AGOV-Endbenutzende können durch den Besuch eines kantonalen AGOV-Schalters, sofern der Kanton solche anbietet, ihre Identität unter Vorweisung eines gültigen Ausweis prüfen lassen. Dabei entscheiden die Kantone, welche Ausländerausweise sie zulassen.
Hinweis
AGOV ist das neue CH-LOGIN, also ein Identitätsprovider des Standarddienstes "Identitäts- und Zugriffsverwaltung" der Bundesverwaltung. AGOV steht ab Januar 2024 zur produktiven Nutzung bereit und wird das CH-LOGIN in nützlicher Frist ersetzen. Infolink: AGOV das neue CH-LOGIN
AGOV ist das neue CH-LOGIN, also ein Identitätsprovider des Standarddienstes "Identitäts- und Zugriffsverwaltung" der Bundesverwaltung. AGOV steht ab Januar 2024 zur produktiven Nutzung bereit und wird das CH-LOGIN in nützlicher Frist ersetzen. Infolink: AGOV das neue CH-LOGI
Spezifikationen
SAML QoA Spezifikation Bisher mussten die Applikationsowner . . .OIDC QoA Spezifikation Bisher mussten die Applikationsowner . . .
Detail Informationen über QoA (Zugriff nur intern):