Release Notes / Kunden Informationen

SR-Liskamm 07.09.2025

• REF:     ⇨ 15.07.2025 ↴  
  ⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅
• ABN:    ⇨ 13.08.2025 ↴
  ⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅
• PROD: ⇨ 07.09.2025 ↴
  Sonntag ⚒ Endabnahme ❎❎ ✉➔ eIAM

• CH2A Phase AGOV-First in REFERENZ / ABNAHME / PRODUKTION
  
• FED-LOGIN - Unterstützung von Sicherheitsschlüsseln (FIDO2) für «totallySmartcardless» Benutzer
  
• FED-LOGIN - Unterstützung mehrerer Berechtigungsnachweise für «totallySmartcardless» Benutzer
  
• Delegiertes Management (Admin Portal) - Filterung von Berechtigungsrollen einer Applikation
  
• Aufhebung Single Sign-On (SSO) für Zugriff auf eIAM-MyAccount

Regressionstests durch eIAM Kunden

Ablauf und Erwartungshaltung bei der SR Einführungen

Diese Release Notes helfen Ihnen bei der Planung der Regressionstests in Bezug auf Ihrer genutzten eIAM Funktionalitäten und dient Ihnen auch als Informationsquelle für Ihre Endkundenkommunikation. Bitte beachten Sie dabei, dass die finale Version der Release Notes mit allen notwendigen Details erst kurz vor der produktiven Installation geliefert wird.

Wichtig
Teilen Sie uns Ihre Release Testergebnisse (positiv oder negativ) mittels Feedback-Formular Kunden-Regressionstests. mit (nur aus dem BV-Netz erreichbar), damit allfällige Service Release Korrekturen rechtzeitig möglich sind.

eIAM Ansprechpartner

Neuerungen

CH2A Phase AGOV-First in REFERENZ / ABNAHME / PRODUKTION

Das Vorhaben zur Ablösung des CH-LOGIN durch AGOV (CH2A) adressiert mit der Phase «AGOV-First» den nächsten Schritt, AGOV auch in der Bundesverwaltung zum Behörden-Login der ersten Wahl zu machen. In der Phase «AGOV-First» ist die Nutzung bestehender CH-LOGIN Identitäten weiterhin möglich. Auch die Neuregistrierung von CH-LOGIN Identitäten bleibt unterstützt. Im Hinblick auf die Ablösung des CH-LOGIN durch AGOV macht es jedoch wenig Sinn, wenn Benutzer sich aktuell noch neue CH-LOGIN erstellen. Die einzige Ausnahme mit Zwang für ein AGOV-Login bilden neue, verifizierte Identitäten (mit erhöhtem Quality of Authentication Level - QoA). Verifizierte eGOV Identitäten werden nur noch über AGOV angeboten. So, dass der Benutzer davon profitieren kann, dass er seine kostenpflichtig verifizierte Identität auf allen Verwaltungsebenen und auf allen Stages von eIAM nutzen kann.

AGOV als das Behörden-Login der Schweiz soll im Rahmen der Phase «AGOV-First» beworben werden. Die Benutzer sollen über AGOV informiert und motiviert werden, AGOV zu verwenden. Allerdings ohne Druck auf die Anwender auszuüben in dieser Phase bereits von CH-LOGIN zu AGOV wechseln zu müssen. Der sichere Umstieg von CH-LOGIN auf AGOV soll Benutzern mit bestehendem CH-LOGIN so einfach wie möglich gemacht werden.

Weiterführende Informationen zu CH2A und AGOV-First:

In der eIAM Kundendokumentation - CH-LOGIN zu AGOV (CH2A) - werden laufend interessante Informationen für Kunden von eIAM zum Vorhaben CH2A und zu den einzelnen Phasen von CH2A zur Verfügung gestellt.

Aktuelle Informationen über AGOV, CH2A und die aktuelle Phase AGOV-First mit der Präsentation und den Use Case Demonstrationen vom Kundenanlass am 11.04.2025 finden Sie auch im eIAM Soundingboard BK-DTI Nachrichten.

AGOV-First - Rückwärtskompatibilität

Deshalb hat das BIT die Bundeskanzlei DTI gebeten, die Prämisse für sogenannte Legacy-Integrationen geringfügig aufzuweichen. Die BK DTI tritt auf diesen Antrag des BIT ein, da damit die Standardisierung gefördert und Kosten für die Bundesverwaltung eingespart werden können. Das bedeutet, dass in seltenen Fällen legacy-integrierte Applikationen Schwierigkeiten haben könnten, einen Nutzer wiederzuerkennen, der sein CH-LOGIN auf ein AGOV-Login umgestellt hat.

Für solche Fälle hat eIAM vorgesorgt:
Auf Basis entsprechender Rückmeldungen kann pro betroffene Applikation unverzüglich und ohne Kostenfolge eine eIAM-Konfigurationsanpassung vorgenommen werden, die die Rückwärtskompatibilität wieder herstellt.

In der Folge fordern wir Sie auf, Ihre Applikation in der eIAM-Referenz-Umgebung mit AGOV zu testen.

Mit diesem Entscheid wird die Prämisse grundsätzlich eingehalten – ohne globale Ausnahmen einzuführen, sondern ausschliesslich spezifisch für einzelne Legacy-Integrationen.

Im Rahmen von AGOV-First müssen die Anwendungen gezielt auf den Use Case "Benutzer wechselt von CH-LOGIN auf AGOV-Login" getestet werden.

Es ist sehr wichtig, wenn solche Erkenntnisse bereits in der REFERENZ-Umgebung gewonnen werden. So können wir gemeinsam Probleme für Ihre Fachanwendung und deren Anwender im weiteren Rollout in der ABNAHME-Umgebung (13.08.2025) und in PRODUKTION (07.09.2025) vermeiden.

Beachten Sie in den FAQ für CH2A die Rubrik "Rückwärtskompatibilität". Diese enthält interessante und wichtige Informationen zum Thema Rückwärtskompatibilität im Rahmen von CH2A. CH2A FAQ.

AGOV-First - Testing durch das Fach

Im Rahmen von AGOV-First müssen die Anwendungen gezielt auf den Use Case «Benutzer wechselt von CH-LOGIN auf AGOV-Login» getestet werden. Siehe hierzu auch die Rubrik «Rückwärtskompatibilität».

Beachten Sie in den FAQ für CH2A die spezielle Rubrik «Testing». Diese enthält interessante und wichtige Informationen zum Thema Testing im Rahmen von CH2A FAQ

Wichtiger Hinweis für das Testing aus den Netzen der Bundesverwaltung: Wie in diesen Release Notes erwähnt, wird in den Netzen der Bundesverwaltung standardmässig das Login automatisch mit FED-LOGIN durchgeführt. Um AGOV-First Funktionalität mit Login mit CH-LOGIN und AGOV-Login zu testen, verwenden sie bitte das «Autologon Cookie». Informationen über die Verwendung des «Autologon Cookie» finden Sie in der eIAM Dokumentation:
Testing ohne Autologon.

AGOV-First - Anpassung der Benutzerführung / Benutzerhilfe publiziert durch die Applikationen

eIAM Hilfe

Standardisierung Auswahl der Login Methode (Home Realm Discovery)
Im Rahmen von AGOV-First wurde die Auswahl der Login-Methode, also die Auswahl des Identitätsanbieters (HRD), überarbeitet und standardisiert. Bisher wurden in eIAM zwei verschiedene Möglichkeiten angeboten. Einerseits die sogenannte «Kachelansicht», welche alle Identitätsanbieter in der Form von Kacheln angezeigt hat. Andererseits die sogenannte «CH-LOGIN-First» Ansicht, welche es erlaubte, direkt das Login auf CH-LOGIN durchzuführen. Andere Identitätsanbieter wurden als Alternativen angeboten. Auch wich die Auswahl der Login-Methode auf kleinen Bildschirmen (Smartphone) stark von derjenigen auf grossen Bildschirmen (Laptop/Desktop) ab. Das unterschiedliche Verhalten von eIAM führte in der Vergangenheit immer wieder zu Verwirrung bei Benutzern. Ausserdem ist das Verhalten nicht vereinbar mit dem Ansatz von «AGOV-First», bei dem AGOV als das Behörden-Login der Schweiz für die Anwender in den Vordergrund gerückt werden soll. Dies ist auch der Grund, dass im neuen Home Realm Discovery für Applikationen, welche den eGOV Kontext unterstützen, AGOV stets als oberster Identitätsanbieter angeboten wird. Über eine Informationsbox wird der Benutzer auf AGOV als das Behörden-Login der Schweiz informiert und motiviert, AGOV zu verwenden.

Desktop Ansicht: Auswahl der Login-Methode

Mobile Ansicht: Auswahl der Login-Methode

Transparente Sperrung von nicht unterstützten Login-Methoden
eIAM unterstützt unterschiedliche Login-Methoden respektive Identitätsanbieter. Diese Identitätsanbieter stellen Identitäten unterschiedlicher Qualität bereit. In der Regel bis zu einer Stufe von QoA30. Für viele Anwendungen der Bundesverwaltung im eGOV Kontext ist dies ausreichend. Verlangt eine Anwendung eine höhere Qualität der Authentifizierung, werden mit AGOV-First Identitätsanbieter, deren Identitäten die Voraussetzung nicht erfüllen, nicht einfach ausgeblendet, sondern weiterhin dem Benutzer angezeigt. Sie werden aber, für den Benutzer sichtbar als gesperrt markiert. Der Benutzer wird transparent informiert, warum seine bisher in eIAM verwendete Identität nicht genutzt werden kann und wie er vorgehen muss um die Anwendung, auf welche er zugreifen will, zukünftig zu nutzen. Damit wird die Benutzererfahrung in eIAM für Anwendungen mit erhöhten Anforderungen an die QoA verbessert.

Informationen über die eIAM QoA Level finden Sie hier: Quality of Authentication QoA

Sperrung von nicht unterstützten Login-Methoden

FED-LOGIN - Default Login-Methode in den Netzen der Bundesverwaltung
Die meisten Applikationen der Bundesverwaltung, welche von Benutzern aus den Netzen der Bundesverwaltung aufgerufen werden, erwarten vom Benutzer ein Login mit der Login-Methode FED-LOGIN. Es gibt einige wenige Ausnahmefälle, in denen ein kleiner Benutzerkreis (z.B. Tester) Web Anwendungen der Bundesverwaltung aus den Netzen der Bundesverwaltung auch mit anderen Identitäten (z.B. CH-LOGIN oder AGOV) verwenden wollen. Dies führte bisher dazu, dass alle Benutzer aus den Netzen der Bundesverwaltung jeweils erst die Login Methode (in den meisten Fällen FED-LOGIN) wählen mussten. Um die Benutzererfahrung bei der Authentifizierung für Anwendungen aus den Netzen der Bundesverwaltung gesamthaft zu verbessern, wird mit AGOV-First dieses Verhalten korrigiert. Wenn FED-LOGIN für eine Anwendung als eine der möglichen Login-Methoden konfiguriert ist, wird immer automatisch FED-LOGIN als Login-Methode gewählt.

Benutzer mit Spezialanforderungen, welche dieses Verhalten übersteuern wollen, können mit dem eIAM Feature «Autologon Cookie» das automatische Login mit FED-LOGIN in den Bundesnetzen übersteuern.

Informationen über die Verwendung des «Autologon Cookie» finden Sie in der eIAM Hilfe:
Testing ohne Autologon.

Unterstützung der Benutzer beim Wechsel von CH-LOGIN auf AGOV-Login (CH2A-Wizard)
Um den rund 2.8 Millionen Benutzern mit bestehendem CH-LOGIN den sicheren Wechsel von CH-LOGIN zu AGOV-Login so einfach wie möglich zu gestalten, wurde in eIAM ein Wizard entwickelt. Greift ein Benutzer erstmalig mit seinem AGOV-Login auf eIAM zu, stellt der Wizard fest, ob es in eIAM ein CH-LOGIN gibt, welches mit der gleichen E-Mail Adresse registriert ist wie das AGOV-Login. Wird ein entsprechendes Konto gefunden, wird der Benutzer darauf hingewiesen, dass es ein entsprechendes CH-LOGIN mit der gleichen E-Mail Adresse gibt und er hat die Möglichkeit, das CH-LOGIN durch sein AGOV-Login zu ersetzen. Dazu muss der Benutzer mittels eines Logins mit seinen in eIAM registrierten Credentials (Passwort, falls registriert Zweitfaktor) beweisen, dass er der rechtmässige Besitzer des CH-LOGIN ist. Wird beim Login mit AGOV-Login in eIAM kein CH-LOGIN mit der von AGOV gemeldeten E-Mail Adresse gefunden, wird der Benutzer gefragt, ob er ein CH-LOGIN besitzt, welches mit einer anderen E-Mail Adresse registriert ist und er dieses mit seinem AGOV-Login ersetzen will oder ob er gar kein CH-LOGIN besitzt. Im Fall, dass der Benutzer ein bestehendes CH-LOGIN verwenden will, muss er die E-Mail Adresse seines CH-LOGIN, Passwort und ggf. Zweitfaktor verwenden um sich als legitimer Besitzer des CH-LOGIN zu authentisieren.

In beiden Fällen wird die eIAM-Identität mit dem AGOV-Login des Benutzers verbunden und sein bisher verwendetes CH-LOGIN archiviert. Der Benutzer wird darauf hingewiesen, dass sein CH-LOGIN gelöscht wurde und er zukünftig immer AGOV fürs Login verwenden muss. Sämtliche Zugriffsberechtigungen bleiben bei diesem Vorgang erhalten.

Bestätigt der Benutzer, dass er kein CH-LOGIN besitzt, wird eine neue eIAM-Identität für ihn erstellt.

Unterstützung der Benutzer beim Upgrade von CH-LOGIN auf AGOV und Recoveries
Natürlich erwarten wir auch beim Wechsel der Benutzer von CH-LOGIN auf AGOV Situationen, in welchen der Benutzer seine CH-LOGIN Login-Faktoren (Passwort / Zweitfaktor) nicht mehr nutzen kann. Auch in diesen Fällen muss natürlich die Sicherheit an erster Stelle stehen. Die Recovery Funktion für Passwort und Zweitfaktoren wird dem Benutzer vom Wizard angeboten. Allerdings in einer optimierten, möglichst benutzerfreundlichen Form. So macht es keinen Sinn, den Benutzer im Recovery ein neues Passwort oder einen neuen Zweitfaktor erfassen zu lassen, nur für den Wechsel von CH-LOGIN auf AGOV, wenn er Passwort und Zweitfaktor im Anschluss nie mehr benötigt. Es werden in den Recovery-Fällen die Fallbacks auf die definierten Ersatzfaktoren (E-Mail Konto / Sicherheitsfragen) verwendet, um den rechtmässigen Inhaber des CH-LOGIN zu authentifizieren. Es wird aber konsequent auf unnötiges Erfassen von später nicht mehr benötigten Login-Faktoren verzichtet.

Unterstützung der Benutzer mit verifizierten CH-LOGIN Identitäten beim Upgrade auf AGOV
Benutzer mit CH-LOGIN Identitäten, welche entweder über den sogenannten nHEC+ Verifikationsprozess (mit Videoidentifikation) oder über den VASCO-Token Ausgabeprozess verifiziert wurden, behalten auch beim Upgrade ihres CH-LOGIN auf AGOV-Login ihren Abklärungsstatus und damit die QoA ihrer Identität in eIAM bis zum Ablauf der Gültigkeit der Identitätsabklärung (5 Jahre nach Durchführung der Videoidentifikation oder Auslieferung des VASCO-Token). Dies auch dann, wenn sie den Upgrade mit einem nicht verifizierten AGOV-Login durchführen. Ab dem Zeitpunkt, wo der Benutzer seine eIAM Identität mit einem verifizierten AGOV-Login nutzt, gibt AGOV den Abklärungsstatus der Identität vor.

CH-LOGIN - Unterstützung der Benutzer nach dem Upgrade von CH-LOGIN auf AGOV-Login
Es ist zu erwarten, dass Benutzer schlicht vergessen, dass sie den Wechsel von CH-LOGIN nach AGOV in der Vergangenheit bereits durchgeführt haben und später vergeblich versuchen, sich mit ihrem ehemaligen CH-LOGIN anzumelden. Der Benutzer wird von eIAM in folgenden Fällen informiert, dass er bereits den Upgrade auf AGOV-Login durchgeführt hat:

• Benutzer versucht sich mit seinem ehemaligen CH-LOGIN (identifiziert über die E-Mail Adresse) anzumelden.
  
• Benutzer versucht Recovery des Passworts seines ehemaliges CH-LOGIN, da der Login nicht funktioniert.
  
• Benutzer versucht sich mit der gleichen E-Mail Adresse wie sein altes CH-LOGIN oder sein in eIAM bereits verwendetes AGOV-Login wieder ein neues CH-LOGIN zu registrieren.
  

CH-LOGIN - Unterstützung für neue Benutzer bei der Wahl des Identitätsanbieters
Mit AGOV-First wird der Benutzer nach der Auswahl von CH-LOGIN und der Wahl, ein neues CH-LOGIN zu registrieren, über AGOV informiert und motiviert, sich ein AGOV-Login statt ein CH-LOGIN zu registrieren. Dem Benutzer werden jedoch beide Optionen angeboten. Er kann wählen, ob er ein AGOV-Login oder ein CH-LOGIN registrieren will. Eine Ausnahme von diesem Verhalten ist, wenn der Benutzer eine Anwendung aufgerufen hat, welche eine erhöhte Qualität der Authentifizierung verlangt (> QoA30). In diesem Fall wird der Benutzer informiert, dass neue, verifizierte Identitäten nur noch mit AGOV-Login angeboten werden. In diesem Fall hat der Benutzer lediglich die Wahl, ein AGOV-Login zu registrieren oder die Registrierung abzubrechen.

Informationen sich ein AGOV-Login statt ein CH-LOGIN zu registrieren.

CH-LOGIN - Fade-Out Unterstützung VASCO-Token
Bisher unterstützte CH-LOGIN die Registrierung von vom BIT ausgegebenen VASCO-Token als starken Zweitfaktor. Mit AGOV-First ist es nicht mehr möglich, VASCO-Token neu als Authentifizierungsmittel für CH-LOGIN Identitäten zu registrieren. CH-LOGIN mit bereits registrierten VASCO-Token werden weiterhin mit VASCO-Token als Zweitfaktor funktionieren.

Anmerkung: Bitte beachten Sie, dass es sich explizit um die Neuregistrierung von VASCO-Token für CH-LOGIN Identitäten handelt. Das «OTP-Login» ist eine andere Login-Methode. Sie ist von dieser Änderung nicht betroffen und nicht zu verwechseln mit dem CH-LOGIN.

CH-LOGIN KACHEL

OTP-Login KACHEL

CH-LOGIN - Fade-Out von Unterstützung Identitätsabklärungen mit Videoidentifikation
Bisher war es möglich, CH-LOGIN Identitäten mit Identitätsnachweismitteln auf Stufe «hoch» (Mobile ID / FIDO2 Sicherheitsschlüssel) mittels eines Verifikationsprozesses mit Videoidentifikation (VIPS) von Stufe QoA30 auf Stufe QoA50 zu verbessern. Mit AGOV-First wird dieser Upgrade für CH-LOGIN Identitäten nicht mehr angeboten. Benutzer, welche neu eine verifizierte Identität im eGOV Kontext benötigen, erstellen sich ein AGOV-Login, führen in AGOV den Identifikationsprozess durch und upgraden ihr bestehendes CH-LOGIN mit ihrem verifizierten AGOV-Login.

CH-LOGIN, welche bereits vor AGOV-First diesen Verifikationsprozess durchgeführt hatten, behalten ihren Abklärungsstatus bis zum Ablauf der Gültigkeit der Identifikation (5 Jahre ab Durchführung der Videoidentifikation).

AGOV - Unterstützung von verifizierten AGOV Identitäten in eIAM (QoA50)
Bisher konnten AGOV Identitäten bereits in eIAM eingesetzt werden. AGOV Identitäten wurden jedoch analog anderer sogenannter Bring Your Own Identity (BYOI) Identitäten als alternative Login-Methode im CH-LOGIN Kontext und lediglich mit einer Einstufung von «normal» also der Stufe «mittel» gemäss Si001 akzeptiert. Selbst wenn die Authentifizierung des Benutzers mit einem Credential auf Stufe «hoch» durchgeführt wurde und die Identität des Besitzers des AGOV-Login mittels eines qualitativ hohen Abklärungsprozess festgestellt wurde. Benutzer können mit AGOV-First auch Anwendungen der Bundesverwaltung im eGOV Kontext mit ihrem AGOV-Login verwenden, wenn die Anwendung eine Qualität der Authentifizierung von «hoch» (bis QoA50) erfordert.

Der Benutzer wird im Fall eines zu tiefen QoA-Levels im Anschluss an die Authentifizierung darauf aufmerksam gemacht, dass er ein verifiziertes AGOV-Login benötigt und wird in den Prozess geführt, wie er ein verifiziertes AGOV-Login auf Stufe QoA50 erlangen kann. Der Ablauf ist hier beschrieben: Verifiziertes AGOV-Login (QoA50).

Mit dem Release «Liskamm» und dem Rollout von AGOV-First, können in eIAM AGOV Identitäten bis zu einem QoA Level von QoA51 genutzt werden. Siehe hierzu auch «AGOV - Unterstützung von AGOV Identitäten mit verifizierter AHV-Nummer in eIAM (QoA51)».

Informationen über die eIAM QoA Level finden Sie hier: Quality of Authentication QoA

AGOV - Unterstützung von AGOV Identitäten mit verifizierter AHV-Nummer in eIAM (QoA51)
AGOV ist in der Lage, für Personen mit AGOV-Login die verifizierte AHV-Nummer zu liefern. Die Grundlage dafür ist eine verifizierte AGOV-Identität. Durch die Verifizierung der AHV Nummer gegenüber dem ZAS Register wird in AGOV verifiziert, ob die AHV-Nummer tatsächlich dieser Person gehört. eIAM integrierte Anwendungen können damit neu die Authentifizierungsqualität QoA51 anfordern. Hierbei ist zu beachten, dass die Anwendung dann nur mit AGOV als Identitätsanbieter verwendet werden kann, da nur AGOV die verifizierte AHV-Nummer liefern kann. Selbstverständlich kann die Anwendung dann nur von Personen genutzt werden, welche über eine AHV-Nummer verfügen.

Der Benutzer wird im Fall eines zu tiefen QoA-Levels im Anschluss an die Authentifizierung darauf aufmerksam gemacht, dass er ein verifiziertes AGOV-Login benötigt und wird in den Prozess geführt, wie er ein verifiziertes AGOV-Login auf Stufe QoA51 erlangen kann. Der Ablauf ist hier beschrieben: Verifiziertes AGOV-Login mit AHV-Nummer (QoA51).

Informationen über die eIAM QoA Level finden Sie hier: Quality of Authentication QoA

Automatische Aktualisierung von Identitätsdaten in eIAM - Just in Time Provisionierung
Vor AGOV-First mussten Benutzer Änderungen von identitätsstiftenden Angaben (Vorname, Nachname, E-Mail Adresse und der bevorzugten Korrespondenzsprache) in eIAM MyAccount selbst nachpflegen. Dies auch dann, wenn der Benutzer die Identität eines externen Identitätsanbieters verwendet hat. Mit AGOV-First werden die identitätsstiftenden Informationen Vorname, Nachname, E-Mail Adresse und bevorzugte Korrespondenzsprache bei jedem Login des Benutzers automatisch in eIAM aktualisiert. Der Vorteil für den Benutzer, er kann seine Daten zentral beim Identitätsanbieter pflegen. Die Mehrfachadministration von Daten beim Identitätsanbieter und in eIAM entfällt.

eIAM-MyAccount - Bearbeitung von Identitätsdaten gesperrt bei externen Identitätsanbietern
Mit AGOV-First wird in eIAM-MyAccount die Bearbeitung von Identitätsdaten (Register «Benutzerprofil») gesperrt, wenn der Benutzer die Identität eines externen Identitätsanbieters verwendet. Da diese Daten mit AGOV-First automatisch bei jedem Login mit den Daten des Identitätsanbieters aktualisiert werden. Der Benutzer wird in MyAccount informiert, dass die Daten vom externen Identitätsanbieter geliefert werden und er seine Daten bei Bedarf dort aktualisieren muss. Die im externen Identitätsanbieter aktualisierten Daten werden dem Benutzer in eIAM-MyAccount nach dem nächsten Login angezeigt.

FED-LOGIN - Unterstützung von Sicherheitsschlüsseln (FIDO2) für «totallySmartcardless» Benutzer

Mit dem Release «Liskamm» wird das Angebot an Berechtigungsnachweisen erweitert. Der Benutzer kann nun wählen, ob er die FED-LOGIN Access App oder einen physischen Sicherheitsschlüssel (FIDO2) im Rahmen des «totallySmartcardless» Onboardings registrieren will. Mit der FED-LOGIN Access App wie mit Sicherheitsschlüssel erreicht der Benutzer die Qualität der Authentifizierung von Stufe «Hoch» (QoA50). Damit werden im FED-LOGIN für die «totallySmartcardless» Benutzer dieselben alternativen Berechtigungsnachweise unterstützt wie für Benutzer mit Smartcard.

FED-LOGIN - Unterstützung mehrerer Berechtigungsnachweise für «totallySmartcardless» Benutzer

Ab dem Release «Liskamm» ist es dem Benutzer mit FED-LOGIN «totallySmartcardless» möglich, sich in eIAM-MyAccount nach dem Login mit seinem bereits registrierten Berechtigungsnachweis, weitere Berechtigungsnachweise zu registrieren. Unterstützt werden parallel bis zu fünf FED-LOGIN Access Apps (auf verschiedenen Geräten) und bis zu vier verschiedene physische Sicherheitsschlüssel (FIDO2). Dieses Feature ermöglicht es dem Benutzer, auch seine Berechtigungsnachweise im Self-Service zu wechseln. Zum Beispiel beim Wechsel oder Neuaufsetzen des Mobiltelefons.

Delegiertes Management (Admin Portal) - Filterung von Berechtigungsrollen einer Applikation

Aufhebung Single Sign-On (SSO) für Zugriff auf eIAM-MyAccount