Release Notes / Informations clients
Eiger 21.04.2024
Stade: Finale (08.04.2024)
Les notes de mise à jour (RN) rendent compte des extensions, ainsi que des nouvelles fonctionnalités et des modifications apportées aux services eIAM conformément à la feuille de route TNI.
Veuillez noter que les dates de finalisation de la documentation et des concepts se réfèrent généralement à la fin d'une période de release et n'ont rien à voir avec les différentes dates de release (dates de sortie) pour les fonctionnalités.
Dates de lancement
- REF: ⇨ 27.02.2024 ↴
⚒ Tests de régression ❌❎ ✉➔ eIAM ⚒✅ - ABN: ⇨ 20.03.2024 ↴
⚒ Tests de régression ❌❎ ✉➔ eIAM ⚒✅ - PROD: ⇨ 21.04.2024
Dimanche ⚒ Contrôle final ❎❎ ✉➔ eIAM
- FED-LOGIN - Support de plusieurs certificats de carte à puce publiés
- CH-LOGIN - Nouvel enregistrement - Limitation du mTAN (SMS) aux numéros de téléphone portable suisses - Avenant du 23.04.2024
- CH-LOGIN - Amélioration du choix des IdP BYOI
- Changement d'architecture pour les intégrations OIDC
- Migrations vers la nouvelle plateforme d'automatisation eIAM CI/CD
Tests de régression par les clients eIAM
Votre collaboration est nécessaire et très importante. Dans les dernières releases, nous avons eu des problèmes dans les environnements d'exploitation supérieurs (ABN, PROD) exclusivement là où les applications n'avaient pas effectué leurs tests de régression en amont sur REF et/ou ABN. Ce sont des problèmes inutiles que nous pouvons éviter ensemble. Nous comptons ici sur votre soutien. Il est important que vous effectuiez vos tests de régression avec soin et que vous signaliez les éventuels problèmes à l'équipe de test en temps voulu et de manière qualifiée.Déroulement et attentes lors des introductions SR
Afin de pouvoir garantir un service eIAM stable et sûr en production, nous avons besoin, jusqu'au déploiement du SR sur la PRODUCTION, de tests de régression significatifs des applications dans les instances REF et ABN. Normalement, vous disposez de 10 jours ouvrables par instance pour cela. Notez que pendant les deux premiers jours suivant l'installation, vous pouvez bénéficier d'une équipe d'assistance Early Live qui vous aidera rapidement en cas de problème.Ces notes de mise à jour vous aident à planifier les tests de régression en relation avec les fonctionnalités eIAM que vous utilisez et vous servent également de source d'information pour la communication avec vos clients finaux. Veuillez noter que la version finale des Release Notes avec tous les détails nécessaires ne sera livrée que peu avant l'installation productive.
Important
Communiquez-nous vos résultats de test (positifs ou négatifs) au moyen du Formulaire de feedback de vos tests de régression
Interlocuteur eIAM
Si vous avez des questions ou des demandes concernant eIAM, ePortal ou PAMS, vous pouvez vous adresser aux services ou personnes suivants ;Points de contact eIAM
×
- Questions de testing
- eIAM-Testing-Team: Testing-eiam@bit.admin.c
- Questions opérationnelles
- L'équipe de la plateforme eIAM:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM plateform team) - Intégration de nouvelles solutions
- équipe d'intégration eIAM:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe BIT (PO intégration eIAM) - Questions générales, questions Mgmt ou plaintes
- Roger.Zuercher@bit.admin.c
h , responsable de service eIAM / chef de projet (BO-eIAM) - Nouvelles exigences pour eIAM
- Afficher l'adresse électroniqu
e , Responsable de service IAM fédératif (BO-eIAM)
Kadir Gelme (SM eIAM Testing)
Changements - Nouveautés
FED-LOGIN - Support de plusieurs certificats de carte à puce publiés
Jusqu'à présent, les personnes ayant plusieurs certificats de carte à puce publiés ne pouvaient utiliser qu'un seul des certificats pour s'authentifier sur FED-LOGIN, car eIAM ne prenait en charge qu'un seul certificat par identité. Par le passé, les utilisateurs disposant de plusieurs cartes à puce ne pouvaient donc pas s'authentifier auprès de FED-LOGIN, car le certificat de carte à puce qu'ils utilisaient actuellement n'était pas connu dans eIAM. Il est désormais possible d'utiliser plusieurs certificats basés sur une carte à puce par identité pour se connecter à FED-LOGIN.CH-LOGIN - Nouvel enregistrement - Limitation du mTAN (SMS) aux numéros de téléphone portable suisses - Avenant du 23.04.2024
CH-LOGIN prend en charge, entre autres procédures, le mTAN (SMS) comme deuxième facteur d'authentification. Les services proposant l'envoi de SMS sont de plus en plus souvent la cible d'attaques visant à envoyer des SMS en grand nombre dans des pays où les opérateurs de télécommunications sont peu réglementés. Les attaquants en profitent pour obtenir une partie des frais d'itinérance de l'opérateur de téléphonie mobile. Malheureusement, CH-LOGIN a également été et est toujours victime de telles attaques de pompage de SMS. L'envoi de tels SMS entraîne des coûts élevés pour le service eIAM, sans que ces SMS envoyés n'aient de valeur utile pour le service. Le service eIAM et ChF TNI ont donc décidé de limiter l'utilisation des SMS comme deuxième facteur d'authentification aux numéros de téléphone mobile suisses (indicatif de pays +41) lors de l'enregistrement. Les numéros de téléphone mobile étrangers déjà enregistrés ne sont pas concernés par ce changement et peuvent continuer à être utilisés. Les facteurs d'authentification "clé de sécurité FIDO" et "TOTP (Authenticator App)" sont disponibles comme deuxième facteur pour les nouveaux enregistrements d'identités CH-LOGIN pour les personnes sans numéro de téléphone mobile suisse.CH-LOGIN - Amélioration du choix des IdP BYOI
CH-LOGIN permet de se connecter avec des identités externes en se fédérant avec les fournisseurs dits Bring Your Own Identity (BYOI). Il s'agit par exemple d'AGOV, BE-LOGIN, Switch edu-ID et autres. Jusqu'à présent, après avoir sélectionné l'un de ces fournisseurs d'identité pour l'authentification en cours, il n'était plus possible de sélectionner un autre fournisseur d'identité pendant une certaine période. Même si l'utilisateur relançait complètement l'authentification à partir de l'application. En conséquence, CH-LOGIN n'affichait plus de choix à l'utilisateur. Son navigateur était automatiquement redirigé vers le fournisseur d'identité précédemment sélectionné. Cela avait des effets négatifs, notamment lorsqu'un utilisateur avait sélectionné par erreur un mauvais fournisseur d'identité. Ce comportement est corrigé dans la version de service "Eiger". Désormais, l'utilisateur peut toujours choisir le fournisseur d'identité BYOI lors d'une nouvelle demande d'authentification sur CH-LOGIN.Changement d'architecture pour les intégrations OIDC
Toutes les applications connectées à eIAM avec OIDC (OpenID Connect) comme protocole de fédération sont désormais directement connectées à eIAM TrustBroker (BTB) avec la version de service "Eiger". Jusqu'à présent, ils étaient connectés via un intermédiaire supplémentaire entre le BTB et l'application. Ce changement permet de réduire la complexité de l'architecture d'intégration. Du côté des applications intégrées avec eIAM, rien ne doit être modifié. L'URL et les certificats de signature utilisés pour la fédération avec OIDC restent inchangés. Toutefois, comme nous l'avons déjà indiqué, les applications intégrées avec OIDC doivent être testées de manière approfondie sur les régressions.Les applications qui ont explicitement signalé des problèmes dans le contexte de la migration BTB sur REF ne seront bien entendu pas migrées sur ABN. Sur PROD, seules les applications qui ont explicitement donné un feedback positif seront migrées vers BTB. Les autres applications seront migrées au cours des prochains mois.
Migrations vers la nouvelle plateforme d'automatisation eIAM CI/CD
Tous les composants d'eIAM, aussi bien centraux que spécifiques aux clients, seront migrés successivement et de manière échelonnée vers la nouvelle plateforme d'exploitation CI/CD (Intégration continue / Déploiement continu). Cette plateforme d'exploitation basée sur des conteneurs nous aide à mieux faire évoluer l'eIAM et à répondre aux exigences en matière d'intégration et de développement du service eIAM à l'avenir également. Avec le release "Eiger", divers composants seront à nouveau migrés de la plateforme d'exploitation eIAM classique vers la nouvelle plateforme d'exploitation CI/CD. Dans l'idéal, ces migrations se déroulent de manière transparente pour vous en tant que client d'eIAM ainsi que pour les utilisateurs de vos applications. Les clients qui sont directement concernés par la migration sont informés de la migration prévue.Vous trouverez les informations à ce sujet sous : eIAM Automation (CI/CD)