SR-Dufourspitze — eIAM - documentation technique

Release Notes / Informations clients

Dufourspitze 11.02.2024

Stade: Finale (09.02.2024)

Les notes de mise à jour (RN) rendent compte des extensions, ainsi que des nouvelles fonctionnalités et des modifications apportées aux services eIAM conformément à la feuille de route TNI.

Veuillez noter que les dates de finalisation de la documentation et des concepts se réfèrent généralement à la fin d'une période de release et n'ont rien à voir avec les différentes dates de release (dates de sortie) pour les fonctionnalités.

Dates de lancement

REF: ⇨ 28.11.2023 ↴
⚒ Tests de régression ❌❎ ✉➔ eIAM ⚒✅
ABN: ⇨ 18.01.2024 ↴
⚒ Tests de régression ❌❎ ✉➔ eIAM ⚒✅
PROD: ⇨ 11.02.2024
Dimanche ⚒ Contrôle final ❎❎ ✉➔ eIAM

Changements - Nouveautés

FED-LOGIN Usernameless/Passwordless avec Access App

AGOV comme BYOI IdP pour CH-LOGIN

Support des identités de milice

Support des utilisateurs S gérés par CIS

Décommissionnement de legacy IdPs

Changement d'architecture pour les intégrations OIDC

Migrations vers la nouvelle plateforme d'automatisation eIAM CI/CD

Tests de régression par les clients eIAM

Votre collaboration est nécessaire et très importante. Dans les dernières releases, nous avons eu des problèmes dans les environnements d'exploitation supérieurs (ABN, PROD) exclusivement là où les applications n'avaient pas effectué leurs tests de régression en amont sur REF et/ou ABN. Ce sont des problèmes inutiles que nous pouvons éviter ensemble. Nous comptons ici sur votre soutien. Il est important que vous effectuiez vos tests de régression avec soin et que vous signaliez les éventuels problèmes à l'équipe de test en temps voulu et de manière qualifiée.

Déroulement et attentes lors des introductions SR

Afin de pouvoir garantir un service eIAM stable et sûr en production, nous avons besoin, jusqu'au déploiement du SR sur la PRODUCTION, de tests de régression significatifs des applications dans les instances REF et ABN. Normalement, vous disposez de 10 jours ouvrables par instance pour cela. Notez que pendant les deux premiers jours suivant l'installation, vous pouvez bénéficier d'une équipe d'assistance Early Live qui vous aidera rapidement en cas de problème.

Ces notes de mise à jour vous aident à planifier les tests de régression en relation avec les fonctionnalités eIAM que vous utilisez et vous servent également de source d'information pour la communication avec vos clients finaux. Veuillez noter que la version finale des Release Notes avec tous les détails nécessaires ne sera livrée que peu avant l'installation productive.

Important
Communiquez-nous vos résultats de test (positifs ou négatifs) au moyen du Formulaire de feedback de vos tests de régression. (accessible uniquement depuis le réseau de l'administration fédérale), afin que les éventuelles corrections de la version de service soient possibles à temps.

Interlocuteur eIAM

Si vous avez des questions ou des demandes concernant eIAM, ePortal ou PAMS, vous pouvez vous adresser aux services ou personnes suivants ;

points de contact eIAM

Questions de testing

eIAM-Testing-Team:

Testing-eiam@bit.admin.ch

Questions opérationnelles

L'équipe de la plateforme eIAM:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM plateform team)

Intégration de nouvelles solutions

équipe d'intégration eIAM:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe BIT (PO intégration eIAM)

Questions générales, questions Mgmt ou plaintes

Roger.Zuercher@bit.admin.ch , responsable de service eIAM / chef de projet (BO-eIAM)

Nouvelles exigences pour eIAM

Afficher l'adresse électronique , Responsable de service IAM fédératif (BO-eIAM)

Changements - Nouveautés

FED-LOGIN Usernameless/Passwordless avec Access App

: Connexion avec l'appli FED-LOGIN Access

FED-LOGIN, en tant que fournisseur central d'identité (IdP) pour le contexte d'entreprise de l'administration fédérale, permet aux utilisateurs, à partir de la version "Dufourspitze", de se connecter de manière à la fois sûre et confortable avec la FED-LOGIN Access App. La FED-LOGIN Access App est un moyen de preuve d'identité basé sur les standards FIDO, qui fonctionne entièrement sans saisie de nom d'utilisateur et de mot de passe. Cela rend la FED-LOGIN Access App très confortable pour l'utilisateur en tant que moyen d'authentification. La FED-LOGIN Access App répond à des exigences élevées en matière de sécurité d'un moyen de preuve d'identité. Comme l'enregistrement de la FED-LOGIN Access App par l'utilisateur lui-même dans l'eIAM "MyAccount" ne peut se faire qu'après une identification préalable au moyen d'une carte à puce, le lien entre l'identité de l'utilisateur et la preuve d'identité est également de haut niveau. Il en résulte une qualité de login de niveau "élevé" ou de niveau de qualité eIAM "QoA50". Le login avec la FED-LOGIN Access App permet ainsi d'accéder à la plupart des applications intégrées eIAM, y compris celles qui nécessitent une protection accrue, comme par exemple "GEVER". La FED-LOGIN Access App est proposée pour les appareils iOS et Android dans les App Stores officiels "Apple App Store" et "Google Play". Elle peut être enregistrée en libre-service par toutes les personnes équipées d'une carte à puce de la SG-PKI et disposant d'un compte eIAM FED-LOGIN comme moyen de preuve d'identité et être utilisée ensuite pour les logins sur le FED-LOGIN.

La FED-LOGIN Access App supporte les scénarios suivants :

Login directement sur l'appareil mobile sur lequel la FED-LOGIN Access App a été installée et enregistrée (smartphone ou tablette). La fonction dans le navigateur web appelle la FED-LOGIN Access App installée localement.
Login sur un autre appareil, par ex. un PC privé, un VDI mobile ou une tablette sans installation locale de la FED-LOGIN Access App. En scannant le code QR affiché par le FED-LOGIN lors de la connexion avec la FED-LOGIN Access App, l'utilisateur est connecté.

Vous trouverez des informations détaillées sur l'utilisation de la FED-LOGIN Access App ici:
FED-LOGIN - Access App enregistrement

Remarque : Le support de la FED-LOGIN Access App pour les utilisateurs qui ne sont pas équipés d'une Smartcard de la SG-PKI (appelés "totallySmartcardless") aura lieu dans une version ultérieure d'eIAM.

AGOV comme BYOI IdP pour CH-LOGIN

AGOV est le nouveau CH-LOGIN. Il s'agit de l'association d'identités IDV et du fournisseur d'identités IDP du service standard "Gestion des identités et des accès" de l'administration fédérale. AGOV sera disponible pour une utilisation productive à partir de janvier 2024 et remplacera le CH-LOGIN dans un délai utile. Pendant la période d'exploitation parallèle, les nouveaux utilisateurs finaux pourront choisir librement de s'enregistrer dans CH-LOGIN ou dans AGOV.

Différences entre CH-LOGIN et AGOV :
AGOV renonce aux facteurs de connexion obsolètes du CH-LOGIN, tels que les mots de passe et le SMS-mTAN, et mise sur l'application d'accès AGOV fortement renforcée basée sur FIDO, et alternativement sur les jetons matériels FIDO.

Outre les autorités fédérales, AGOV est également à la disposition de tous les autres niveaux administratifs de Suisse (cantons, communes, villes), le CH-LOGIN étant limité à l'administration fédérale.

Pour plus d'informations sur le successeur de CH-LOGIN, voir .

Veuillez noter ce qui suit concernant le support AGOV :

En principe, le support pour les utilisateurs se fait en self-service via ou FAQ.
- Le formulaire de contact pour un ticket de support mis à disposition sur ce AGOV-help est géré durant la phase de démarrage par le Service d'assistance aux citoyens de l’OFIT.
- Dans le formulaire de contact, il faut indiquer le contexte d'utilisation d'AGOV au sens de l'application. Nous avons listé ici les applications pour lesquelles le plus grand nombre de nouveaux CH-LOGIN sont actuellement ouverts et pour lesquelles le plus grand nombre de demandes de clients peut potentiellement survenir. Toutes les autres applications sont regroupées dans une catégorie séparée.
  
  Liste actuelle
Important : les cas annoncés par les utilisateurs aux organisations de support des offices et des applications spécialisées peuvent, comme jusqu'à présent, être signalés à l'OFIT via Remedy Incident (créer s’il vous plait un incident pour Service AGOV au groupe AEP, merci).

Saisir un ticket de support pour le groupe AEP dans Remedy.

Support des identités de milice

Les militaires qui doivent exercer des tâches dans le domaine de l'administration fédérale civile sont équipés d'identités électroniques de l'administration fédérale civile. A cet effet, ils recevront également une carte à puce et un compte Active Directory de l'administration fédérale civile. A partir de la version "Dufourspitze", ces identités seront utilisables dans eIAM. Ainsi, les personnes équipées des identités correspondantes peuvent les utiliser dans le cadre de leurs tâches définies pour accéder aux applications intégrées à eIAM.

Support des utilisateurs S gérés par CIS

Les S-Users sont des identités électroniques de systèmes. Ils sont nécessaires lorsqu'un système doit s'authentifier pour accéder à un autre système. Jusqu'à présent, ces S-Users n'étaient pas livrés à eIAM à partir du Central Identity Store (CIS) et n'étaient pas non plus visibles au point de référence des données (DBP). Désormais, ces identités sont livrées à eIAM et peuvent être utilisées dans eIAM.

Décommissionnement de legacy IdPs

Le FED-LOGIN 2.0 soutient et étend les besoins d'authentification qui étaient proposés dans le passé dans eIAM par plusieurs IdP différents. Toutes les applications qui utilisaient encore les IdP traditionnels "IdP-Cert" (authentification avec certificat classe B/classe C de la SG-PKI), "IdP-Kerb" (authentification avec ticket Kerberos émis par une forêt Active Directory familière) et FED-LOGIN 1.0 ont été migrées vers FED-LOGIN 2.0 et peuvent ainsi profiter de toutes les fonctionnalités dans le contexte de l'entreprise. Les IdP traditionnels seront décommissionnés avec la version "Dufourspitze".

Changement d'architecture pour les intégrations OIDC

Toutes les applications connectées à eIAM avec OIDC (OpenID Connect) comme protocole de fédération sont désormais directement connectées à eIAM TrustBroker (BTB) avec la version "Dufourspitze". Jusqu'à présent, ils étaient connectés via un intermédiaire supplémentaire entre le BTB et l'application. Ce changement permet de réduire la complexité de l'architecture d'intégration. Du côté des applications intégrées avec eIAM, rien ne doit être modifié. L'URL et les certificats de signature utilisés pour la fédération avec OIDC restent inchangés. Toutefois, comme nous l'avons déjà indiqué, les applications intégrées avec OIDC doivent être testées de manière approfondie sur les régressions.

Les applications qui ont explicitement signalé des problèmes dans le contexte de la migration BTB sur REF ne seront bien entendu pas migrées sur ABN. Sur PROD, seules les applications qui ont explicitement donné un feedback positif seront migrées vers BTB. Les autres applications seront migrées au cours des prochains mois.

Migrations vers la nouvelle plateforme d'automatisation eIAM CI/CD

Tous les composants d'eIAM, aussi bien centraux que spécifiques aux clients, seront migrés successivement et de manière échelonnée vers la nouvelle plateforme d'exploitation CI/CD (Intégration continue / Déploiement continu). Cette plateforme d'exploitation basée sur des conteneurs nous aide à mieux faire évoluer l'eIAM et à répondre aux exigences en matière d'intégration et de développement du service eIAM à l'avenir également. Avec le release "Dufourspitze", divers composants seront à nouveau migrés de la plateforme d'exploitation eIAM classique vers la nouvelle plateforme d'exploitation CI/CD. Dans l'idéal, ces migrations se déroulent de manière transparente pour vous en tant que client d'eIAM ainsi que pour les utilisateurs de vos applications. Les clients qui sont directement concernés par la migration sont informés de la migration prévue.

Vous trouverez les informations à ce sujet sous : eIAM Automation (CI/CD)