Release Notes / Informations clients
Hohberghorn 03.11.2024
Les notes de mise à jour (RN) rendent compte des extensions, ainsi que des nouvelles fonctionnalités et des modifications apportées aux services eIAM conformément à la feuille de route TNI.
Dates de lancement
- REF: ⇨ 12.09.2024 ↴
⚒ Tests de régression ❌❎ ✉➔ eIAM ⚒✅ - ABN: ⇨ 09.10.2024 ↴
⚒ Tests de régression ❌❎ ✉➔ eIAM ⚒✅ - PROD: ⇨ 03.11.2024
Dimanche ⚒ Contrôle final ❎❎ ✉➔ eIAM
- Séparation de l'interface SOAP Webservice (eIAM-WS) pour l'utilisation interne et externe a l'administration fédérale.
- Introduction du nouveau Claim (non standard) « adminOrganizationUID » pour les identités dans le contexte de l'entreprise
- Prise en charge du testing avec eIAM - Canary Testing
- Prise en charge du testing avec eIAM - empêcher l'autologon
- La mise en service d'eIAM au centre de calcul Campus à Frauenfeld
Tests de régression par les clients eIAM
Votre collaboration est nécessaire et très importante. Dans les dernières releases, nous avons eu des problèmes dans les environnements d'exploitation supérieurs (ABN, PROD) exclusivement là où les applications n'avaient pas effectué leurs tests de régression en amont sur REF et/ou ABN. Ce sont des problèmes inutiles que nous pouvons éviter ensemble. Nous comptons ici sur votre soutien. Il est important que vous effectuiez vos tests de régression avec soin et que vous signaliez les éventuels problèmes à l'équipe de test en temps voulu et de manière qualifiée.Déroulement et attentes lors des introductions SR
Afin de pouvoir garantir un service eIAM stable et sûr en production, nous avons besoin, jusqu'au déploiement du SR sur la PRODUCTION, de tests de régression significatifs des applications dans les instances REF et ABN. Normalement, vous disposez de 10 jours ouvrables par instance pour cela. Notez que pendant les deux premiers jours suivant l'installation, vous pouvez bénéficier d'une équipe d'assistance Early Live qui vous aidera rapidement en cas de problème.Ces notes de mise à jour vous aident à planifier les tests de régression en relation avec les fonctionnalités eIAM que vous utilisez et vous servent également de source d'information pour la communication avec vos clients finaux. Veuillez noter que la version finale des Release Notes avec tous les détails nécessaires ne sera livrée que peu avant l'installation productive.
Important
Communiquez-nous vos résultats de test (positifs ou négatifs) au moyen du Formulaire de feedback de vos tests de régression
Interlocuteur eIAM
Si vous avez des questions ou des demandes concernant eIAM, ePortal ou PAMS, vous pouvez vous adresser aux services ou personnes suivants ;Points de contact eIAM
- Questions de testing
- eIAM-Testing-Team: Testing-eiam@bit.admin.c
- Questions opérationnelles
- L'équipe de la plateforme eIAM:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin OFIT (PO eIAM plateform team) - Intégration de nouvelles solutions
- équipe d'intégration eIAM:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe OFIT (PO intégration eIAM) - Questions ePortal
- eIAM-ePortal-Team:
eportal@bit.admin.ch
Dilek Hoza OFIT (PO ePortal) - Questions générales, questions Mgmt ou plaintes
- Roger.Zuercher@bit.admin.c
h , responsable de service eIAM / chef de projet (BO-eIAM) - Nouvelles exigences pour eIAM
- Afficher l'adresse électroniqu
e , Responsable de service IAM fédératif (BO-eIAM)
Kadir Gelme (SM eIAM Testing)
Changements - Nouveautés
Séparation de l'interface SOAP Webservice (eIAM-WS) pour l'utilisation interne et externe a l'administration fédérale.
L'interface Web Service SOAP eIAM (eIAM-WS) propose une interface permettant de consulter et de mettre à jour les attributs et les informations sur les rôles à partir de son propre client d'accès eIAM. L'accès à cette interface se fait en lecture et en écriture par l'application et peut être réalisé à l'intérieur comme à l'extérieur des réseaux de l'administration fédérale. Jusqu'à présent, un point de terminaison unique a été proposé, accessible à la fois depuis les réseaux de l'administration fédérale et depuis Internet. Comme annoncé dans la pré-information concernant le release "Grünhorn", ces points de terminaison seront séparés à partir du release "Hohberghorn" pour des raisons de sécurité et de stabilité. Avec le release "Hohberghorn" d'eIAM, l'entrée DNS de cette interface dans les réseaux de l'administration fédérale (BVerw) pointera vers une adresse IP interne. L'adresse accessible depuis Internet restera inchangée. Veuillez déjà vous assurer que vos applications peuvent établir des connexions avec ces nouveaux points de terminaison et que ces connexions ne sont pas bloquées, par exemple, par des pare-feux.Nouveaux points de terminaison pour eIAM-WS pour les clients Web Service depuis les réseaux de l'administration fédérale :
| Environnement / Stages | Point final | Adresse IP | Port | Protocole |
|---|---|---|---|---|
| Référence (REF) | https://services.gate-r .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.1.79 | 443 | TPC/https |
| Acceptation (ABN) | https://services.gate-a .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.0.97 | 443 | TPC/https |
| Production (PROD) | https://services.gate .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.0.98 | 443 | TPC/https |
Veuillez tester les connexions au moyen de l'adresse IP et du port. Comme les enregistrements DNS se résolvent encore sur les anciennes adresses IP, même à partir des réseaux de l'administration fédérale.
L'adaptation de la résolution DNS ne sera effectuée qu'avec le déploiement du release
« Hohberghorn ».
Introduction du nouveau Claim (non standard) « adminOrganizationUID » pour les identités dans le contexte de l'entreprise
Pour certaines applications, il est important de savoir dans quelle unité organisationnelle le sujet accédant à l'application cible est administrativement géré, afin de prendre des décisions au sein de l'application. Le Central Identity Store (CIS) fournit l'attribut "adminOrganizationUID". Il s'agit d'un identifiant stable qui reste inchangé même en cas de renommage d'une unité organisationnelle. Par exemple, l'Office fédéral de l'informatique et de la télécommunication (OFIT) a pour adminOrganizationUID=uid-a877466-2f59451-18e5b407ab7–78d0. Le nouvel attribut "adminOrganizationUID" peut être inclus dans le jeton transmis à l'application à la demande du client eIAM. C'est un attribut non standard, ce qui signifie que cet attribut supplémentaire doit être spécifiquement demandé par le client lors de l'intégration de son application ou dans le cadre d'une extension d'une intégration existante. Cet attribut est disponible uniquement s'il s'agit d'une identité Enterprise gérée dans le CIS.Prise en charge du testing avec eIAM - Canary Testing
eIAM utilise une infrastructure moderne d'intégration continue / de déploiement continu. Celle-ci permet un déploiement Canary des composants eIAM. Deux versions de la version peuvent être exécutées en parallèle. Par défaut, toutes les demandes des utilisateurs sont transmises à la version « active » afin de ne pas perturber le fonctionnement normal. Pour que les responsables des tests puissent tester les nouveautés et/ou les corrections de bugs sur le déploiement Canary, il faut que ces utilisateurs placent un cookie Canary correspondant avant de se connecter.Sur la page , les « cookies Canary » peuvent être définis individuellement dans le navigateur actuellement utilisé pour les différents environnements d'exploitation (REF/ABN/PROD). Les cookies peuvent être désactivés et/ou supprimés à l'aide des fonctions proposées.
Vous trouverez de plus amples explications sur la manipulation des « Canary Cookies » sur notre page d'aide : Testing en mode Canary
Prise en charge du testing avec eIAM - empêcher l'autologon
Au sein du réseau fédéral (également avec une connexion VPN), l'utilisateur est en général automatiquement connecté avec le fournisseur d'identité FED-LOGIN lors de la connexion via eIAM. Celui-ci contient les identités standard pour les collaborateurs de l'administration fédérale qui se trouvent dans le réseau fédéral. Ce comportement est très confortable pour les utilisateurs. Il peut toutefois être gênant dans certains cas (p. ex. pour le testing). L'« Autologon Cookie » permet d'outrepasser ce mécanisme d'autologon afin que, d'une part, la sélection des fournisseurs d'identité disponibles pour l'application soit affichée et que, d'autre part, le login sur l'IdP FED-LOGIN ne soit pas automatiquement effectué avec Kerberos (Active Directory Single-Sign On). Le cookie Autologon peut être placé individuellement par environnement d'exploitation d'eIAM (REF/ABN/PROD).Sur la page , les « Autologon Cookies » peuvent être définis individuellement dans le navigateur actuellement utilisé pour les différents environnements d'exploitation. Les cookies peuvent être désactivés et/ou supprimés à l'aide des fonctions proposées.
Vous trouverez de plus amples explications sur la manipulation des « Autologon Cookies » sur notre page d'aide : Testing sans Autologon
La mise en service d'eIAM au centre de calcul Campus à Frauenfeld
La mise en service d'eIAM au centre de calcul du Campus peut être achevée pour les composants principaux d'eIAM (Core) avec le release "Hohberghorn". Le Core d'eIAM inclut tous les composants utilisés de manière générique par eIAM, tels que les Identity Providers IdP (CH-LOGIN, FED-LOGIN, IdP-Base), le Bundes-Trust-Broker (BTB) et les services de gestion des identités (IDM), dans lesquels les identités et les autorisations sont gérées.Ainsi, en cas de catastrophe (panne du centre de calcul Primus à Berne), eIAM sera en mesure de fournir les services eIAM à partir du centre de calcul Campus à Frauenfeld pour des applications hébergées soit également à Frauenfeld, soit en dehors de l'OFIT.
La prochaine phase consistera à mettre en service les composants RP-PEP au centre de calcul du Campus.