Release Notes / Informations clients

>>> Breithorn 6 août 2023 <<

Stade: Finale

Les notes de mise à jour (RN) rendent compte des extensions, ainsi que des nouvelles fonctionnalités et des modifications apportées aux services eIAM conformément à la feuille de route TNI.

Veuillez noter que les dates de finalisation de la documentation et des concepts se réfèrent généralement à la fin d'une période de release et n'ont rien à voir avec les différentes dates de release (dates de sortie) pour les fonctionnalités.

Dates de lancement / Changements Nouveautés


REF: 27 juin 2023  <Tests!> ABN: 12 juillet 2023  <Tests!>  PROD: 6 août 2023

  • Bannières de stages eIAM temporairement amovibles
  • MyAccount - Nouvelle fenêtre d'accueil
  • MyAccount - MyAccount - Définir des favoris
  • MyAccount - Activation du FED-LOGIN
  • Gestion des identités techniques (Techuser) dans eIAM
  • Adaptation de la protection contre les bots pour les accès depuis l'extérieur de l'administration fédérale
  • Migrations vers la nouvelle plateforme d'automatisation eIAM CI/CD

Tests de régression par les clients eIAM.
Votre collaboration est nécessaire et très importante. Dans les dernières releases, nous avons eu des problèmes dans les environnements d'exploitation supérieurs (ABN, PROD) exclusivement là où les applications n'avaient pas effectué leurs tests de régression en amont sur REF et/ou ABN. Ce sont des problèmes inutiles que nous pouvons éviter ensemble. Nous comptons ici sur votre soutien. Il est important que vous effectuiez vos tests de régression avec soin et que vous signaliez les éventuels problèmes à l'équipe de test en temps voulu et de manière qualifiée.

Déroulement et attentes lors des introductions SR

Afin de pouvoir garantir un service eIAM stable et sûr en production, nous avons besoin, jusqu'au déploiement du SR sur la PRODUCTION, de tests de régression significatifs des applications dans les instances REF et ABN. Vous disposez pour cela d'au moins 14 jours par étape. Veuillez planifier vos activités de test suffisamment tôt dans ces périodes, afin que les éventuelles versions de correction de bugs soient possibles à temps.

Ces notes de mise à jour vous aident à planifier les tests de régression en relation avec les fonctionnalités eIAM que vous utilisez et vous servent également de source d'information pour la communication avec vos clients finaux. Veuillez noter que la version finale des Release Notes avec tous les détails nécessaires ne sera livrée que peu avant l'installation productive.

Important
Si vous rencontrez des problèmes lors de vos tests de régression, informez immédiatement notre équipe de test à: Testing-eiam@bit.admin.ch. Nos collègues prendront note de vos commentaires, les examineront et les consolideront. Nous vous remercions d'ores et déjà de votre aide et de votre soutien, qui nous permettront de maintenir et d'améliorer le niveau de qualité élevé des Service Releases !

Interlocuteur eIAM

Si vous avez des questions ou des demandes concernant eIAM, ePortal ou PAMS, vous pouvez vous adresser aux services ou personnes suivants ;

points de contact eIAM
×

Release Notes

Bannières de stages eIAM temporairement amovibles

Les "bannières de stade" dans le coin supérieur gauche des pages web d'eIAM sont très pratiques pour les utilisateurs, car elles leur permettent de reconnaître facilement s'ils se trouvent dans un environnement non productif. Elles peuvent toutefois être gênantes si de la documentation devait être créée avant qu'une fonction ne soit disponible dans l'environnement de production. À la demande de nos clients, ces "bannières de stage" peuvent désormais être supprimées temporairement en cliquant dessus. Lors de la prochaine ouverture de la page, la bannière de stage réapparaîtra.
Image avec la bannière eIAM Stage TEST
Bannière eIAM Stage TEST
Image avec la bannière eIAM Stage masquée
Sans la bannière eIAM Stage


MyAccount - Nouvelle fenêtre d'accueil

Jusqu'à présent, l'utilisateur était dirigé vers la fenêtre "Profil de l'utilisateur" lors de l'appel de MyAccount dans le navigateur web.

Désormais, l'utilisateur est automatiquement dirigé vers la fenêtre "Page d'accueil". Dans cette vue, il voit la sélection d'applications pour lesquelles il possède des autorisations dans eIAM et peut les appeler à partir de cette fenêtre, à condition qu'un lien correspondant à l'application soit enregistré dans eIAM.

Veuillez noter que cela s'applique à l'appel direct de MyAccount. Si MyAccount est appelé à partir d'une application (Single Sign-On à partir de l'application et retour dans l'application), la fenêtre "Page d'accueil" n'est en principe pas affichée. Dans ce cas, l'utilisateur continue à être dirigé vers la fenêtre "Profil de l'utilisateur".

MyAccount - Définir des favoris

Il peut être gênant, en particulier pour les utilisateurs disposant d'autorisations pour de nombreuses applications gérées dans eIAM, de devoir toujours rechercher les applications les plus fréquemment utilisées dans MyAccount.

MyAccount offre désormais à l'utilisateur la possibilité de définir des favoris. Pour ce faire, il suffit de cliquer sur le symbole de l'étoile dans la tuile des applications. Les applications ainsi marquées sont automatiquement classées dans les "favoris" et sont ainsi plus rapidement accessibles à l'utilisateur. Bien entendu, l'utilisateur peut également supprimer une application de ses favoris en cliquant sur l'étoile dans la tuile.

Selon la taille de l'écran, les favoris sont affichés tout en haut (petits écrans, p. ex. smartphone) ou à gauche (grands écrans).

Image pour définir les favoris d'application.
Définir les favoris


MyAccount - Activation FED-LOGIN

FED-LOGIN permet à l'utilisateur, après l'authentification par carte à puce, d'enregistrer dans MyAccount des moyens alternatifs de preuve d'identité tels que mot de passe et facteurs secondaires (p. ex. Mobile ID, mTAN/SMS, Authenticator App) et de les utiliser ensuite sur FED-LOGIN (p. ex. pour l'authentification avec l'identité FED-LOGIN sur un téléphone portable.

Dans le passé, lors de l'enregistrement, l'utilisateur devait activer explicitement son compte FED-LOGIN pour l'utilisation des moyens de preuve d'identité alternatifs après l'enregistrement des moyens de preuve d'identité. Il arrivait ainsi que des utilisateurs omettent par mégarde cette étape et que leur authentification ne fonctionne pas par la suite.

Désormais, après l'enregistrement d'un deuxième facteur, le login FED-LOGIN est automatiquement activé sans carte à puce.

Gestion des identités techniques (Techuser) dans eIAM

Le FED-LOGIN d'eIAM permet l'authentification au moyen d'une carte à puce, d'une authentification unique Active Directory (Kerberos Ticket), d'un certificat logiciel Classe-C et d'autres moyens de preuve d'identité comme un mot de passe et un Mobile ID ou un mTAN/SMS, respectivement une Authenticator App (OATH).

Par le passé, il était possible de s'authentifier avec FED-LOGIN au moyen de certificats logiciels ou de comptes Active Directory sur FED-LOGIN, même si une identité représentée par le certificat ou le compte Active Directory eIAM n'était pas connue dans l'eIAM via le processus de provisionnement depuis le Central Identity Store (CIS). Le moyen de preuve d'identité (certificat ou ticket Kerberos) pouvait être utilisé pour créer une identité composite eIAM et des références d'identité dans les mandants d'accès lors du processus d'auto-enregistrement. Cela pose des problèmes de gouvernance dans le contexte de l'entreprise. En effet, dans le contexte de l'entreprise, le cycle de vie de toutes les identités doit être géré.

A partir de la version Breithorn, il n'est plus possible de créer une identité utilisable avec FED-LOGIN dans la procédure d'auto-enregistrement et de la gérer dans MyAccount au moyen de l'auto-administration.

Les identités personnelles utilisables dans FED-LOGIN et gérées dans le CIS sont gérées automatiquement par des processus d'approvisionnement. D'autres identités utilisables dans le FED-LOGIN doivent être créées et gérées par des processus de cycle de vie dans eIAM lui-même, via des processus compréhensibles.

Cela concerne en particulier les identités avec des authentifications au moyen de certificats logiciels de la classe C de SG-PKI et les comptes Active Directory qui ne sont pas directement attribués à un collaborateur (interne/externe) de l'administration fédérale selon le Central Identity Store (p. ex. comptes F, comptes S, comptes T).

Vous trouverez de plus amples informations sur le site sous : Formulaires : Managed Techuser

La tentative d'authentification sur FED-LOGIN au moyen d'une identité inconnue dans eIAM entraîne l'affichage d'un message correspondant à l'utilisateur.

Message d'erreur identité inconnue
Message d'erreur


Adaptation de la protection contre les bots pour les accès depuis l'extérieur de l'administration fédérale

Pour certains processus, le service eIAM doit être protégé contre l'exécution automatisée d'actions qui pourraient porter préjudice au service. Cela concerne des opérations névralgiques comme le déclenchement d'e-mails ou de SMS ou la création automatisée de comptes utilisateurs. Jusqu'à présent, la solution fonctionnait en arrière-plan de manière totalement transparente pour les utilisateurs. Elle présentait toutefois le grand inconvénient que les utilisateurs réels, identifiés à tort comme des bots, n'avaient aucune possibilité de prouver qu'ils n'étaient effectivement pas des bots mais des êtres humains. La nouvelle solution est également transparente pour l'utilisateur, tant qu'il est reconnu comme humain avec une probabilité suffisamment élevée. Dans le cas où le système (Google reCAPTCHA) estime que la probabilité qu'il s'agisse d'un humain est trop faible, la personne est invitée, dans le cas simple, à cocher une case. Si, même avec cette action, la reconnaissance des bots n'est toujours pas convaincue qu'il s'agit d'une personne, l'utilisateur est invité à remplir un captcha. La solution de captcha utilisée, Google reCAPTCHA, est une solution de reconnaissance de bots établie et largement répandue de Google, qui est sans barrières.
Illustration Google reCAPTCHA comme solution de détection de bots.
Google reCAPTCHA

Afin de permettre le test de bout en bout et le monitoring à partir des réseaux de l'administration fédérale avec des processus automatisés, aucun captcha n'est en principe utilisé pour les accès à partir des réseaux de l'administration fédérale.

Migrations vers la nouvelle plateforme d'automatisation eIAM CI/CD

Tous les composants d'eIAM, aussi bien centraux que spécifiques au client, seront migrés successivement et de manière échelonnée vers la nouvelle plateforme d'exploitation CI/CD (Continous Integration / Continous Deployment). Cette plateforme d'exploitation basée sur des conteneurs nous aide à mieux faire évoluer eIAM et à répondre aux exigences en matière d'intégration et de développement du service eIAM à l'avenir également. Avec la version Breithorn, divers composants seront à nouveau migrés de la plateforme d'exploitation eIAM classique vers la nouvelle plateforme d'exploitation CI/CD. Dans l'idéal, ces migrations se déroulent de manière transparente pour vous en tant que client d'eIAM ainsi que pour les utilisateurs de vos applications. Les clients qui sont directement concernés par la migration seront informés à l'avance de la migration prévue.

Vous trouverez de plus amples informations à ce sujet sous : eIAM Automation (CI/CD)