Warmup


Wir wollen den/die Verantwortliche/n darauf vorbereiten, was sie erwartet

Bereits bei der Projektierung und Konzeption einer neuen IT Lösung ist es sehr wichtig, sich mit dem Thema Identitäts- und Berechtigungsmanagement vertieft auseinander zu setzen. Dazu erstellt das Projekt in der Regel ein Benutzer- und Berechtigungskonzept (IAM-Konzept). Dieses Konzept setzt sich mit einer Vielzahl von Fragen auseinander wie:

  • Wer sind die Anwender meiner Applikation und in welchen verschiedenen Rollen nutzen sie diese?
    • Sind es Mitarbeiter (interne/externe) der Bundesverwaltung? Aus meiner eigenen Verwaltungseinheit oder auch aus anderen Verwaltungseinheiten im Enterprise Kontext?
    • Sind es Mitarbeiter von kantonalen Verwaltungen im G2G Kontext?
    • Sind es Partner im G2B Kontext?
    • Sind es Bürger im G2C Kontext?
  • Wie werden Informationen über Identitäten und Stammdaten von Nutzern in meiner Applikation verwendet? Muss meine Applikation Informationen über Benutzer lediglich zum Zeitpunkt haben, zu welchem dieser Anwender das System nutzt oder auch ausserhalb?
  • Müssen Stammdaten über Nutzer in meiner Anwendung aktualisiert werden, wenn sich z.B. der Name eines Benutzers ändert und wie geschieht dies?
  • Wie wird die Verwaltung von Identitäten und Berechtigungen organisiert? Durch eine zentrale Organisation möglichst nah bei der Anwendung oder dezentral möglichst nahe beim Anwender und dessen Organisation?
  • Wie sieht der Lebenszyklus von Identitäten, deren Stammdaten und deren Berechtigungen für die verschiedener Benutzergruppen meinem System aus?
    • Soll jeder interessierte Anwender die Anwendung nutzen können (Public Service) oder steht die Anwendung nur Nutzern zur Verfügung, welche spezielle Voraussetzungen erfüllen?
    • Soll ein Benutzer von sich aus den Zugriff auf die Anwendung beantragen können? Wie sieht der Beantragungs- Abklärungs- Bewilligungs- und Rechtezuweisungsprozess aus?
  • Gibt es bereits einen Stamm von bestehende Benutzern, welche meine Applikation nutzen werden und es muss somit eine Migration erfolgen?
  • Wie komplex ist die Struktur der Berechtigungen?
  • Wie ist der Schutzbedarf der Daten in meiner Applikation einzustufen im Hinblick auf Vertraulichkeit und Datenschutz?
  • Wo soll das System betrieben werden (On Prem, in einer Cloud)?
  • In welcher Netzwerkzone soll meine Applikation betrieben werden, damit den Schutzbedarfsanforderungen genüge getan ist?
  • Wie kann ich im Fall einer Zone für erhöhten Schutzbedarf sicherstellen, dass berechtigte Zugriffe in diese Zone erfolgen können, nicht berechtigte Benutzer aber keinen Zugriff in die Zone haben?
  • Greifen die Nutzer in ihrem eigenen, persönlichen Interesse auf die Anwendung zu oder als Vertreter einer Organisation und dieser Vertreter kann jederzeit ändern?
  • und viele andere Themen mehr...

Identitäten in eIAM


  • Eine authentifizierende Identität zeigt auf genau eine Verbundsidentiät (1:1).
  • Eine Verbundsidentität zeigt auf genau eine Identitätsreferenz in einem Access Mandanten (1:1).
  • Eine Verbundsidentität kann auf Identitätsreferenzen in 0-n Access Mandanten zeigen (0:n).
  • Eine Identitätsreferenz kann 0-n Profile pro Access Mandant haben (0:n).
  • Ein Profil (Unit) kann 0-n Rollen zugewiesen haben (0:n).

Durch die Integration mit eIAM

Die Integration ihrer Anwendung mit dem Service eIAM des IKT-SD IAM V2 der Bundesverwaltung entlastet Sie als Verantwortlichen in vielerlei Hinsicht.
  • Können Benutzer ihre bereits vorhandenen elektronischen Identitäten und deren Identitätsnachweismittel nutzen um damit auf Ihre Anwendung zuzugreifen.
  • Kann Ihre Applikation bereits vorhandene, sichere und für den Anwender komfortable Prozesse für die Erstellung und die Pflege seiner elektronischen Identität profitieren. Sie muss diese nicht selbst implementieren.
  • Kann Ihre Applikation Benutzer über standardisierte, von eIAM ausgestellte Token sicher authentifizieren um die Identität des zugreifenden Subjekts zu erkennen. Sie muss nicht selbst eine Vielzahl von komplexen Authentifizierungsverfahren implementieren.
  • Kann Ihre Organisation bestehende Prozesse für das Onboarding von elektronischen Identitäten für ihre Anwendung nutzen.
  • Kann Ihre Organisation die bestehende, hoch verfügbare und professionell betriebene IAM Infrastruktur für die Pflege von Benutzern und deren Berechtigungen nutzen.
  • Kann ein Reverse Proxy Policy Enforcement Point (RP-PEP) von eIAM den Policy konformen Zugriff auf ihre Anwendung ermöglichen, wenn dies die Policy der Zone verlangt (z.B. wenn die Anwendung in einer SZ+ Zone für erhöhten Schutzbedarf betrieben werden muss).