Release Notes / Informations clients

SR-Liskamm 07.09.2025

Stade: En projet (14.07.2025)
Les notes de mise à jour (RN) rendent compte des extensions, ainsi que des nouvelles fonctionnalités et des modifications apportées aux services eIAM conformément à la feuille de route ChF-TNI. Veuillez poser vos questions concernant le release sous
Veuillez noter que les dates de finalisation de la documentation et des concepts se réfèrent généralement à la fin d'une période de release et n'ont rien à voir avec les différentes dates de release (dates de sortie) pour les fonctionnalités.


Dates de lancement
  • REF:     ⇨ 15.07.2025
    ⚒ Tests de régression ❌❎ ➔ eIAM ⚒✅
  • ABN:    ⇨ 13.08.2025
    ⚒ Tests de régression ❌❎ ➔ eIAM ⚒✅
  • PROD:  ⇨ 07.09.2025
    Dimanche ⚒ Contrôle final ❎❎ ➔ eIAM
Changements - Nouveautés
  • Phase CH2A AGOV-First dans RÉFÉRENCE / RECETTE / PRODUCTION
  • FED-LOGIN – Prise en charge des clés de sécurité (FIDO2) pour les utilisateurs « totallySmartcardless »
  • FED-LOGIN – Prise en charge de plusieurs justificatifs d’identité pour les utilisateurs « totallySmartcardless »
  • Gestion déléguée (portail d’administration) - Filtrage des rôles d’autorisation d’une application
  • Suppression de l'authentification unique (SSO) pour accéder à eIAM-MyAccount

Tests de régression par les clients eIAM

Votre collaboration est nécessaire et très importante. Dans les dernières releases, nous avons eu des problèmes dans les environnements d'exploitation supérieurs (ABN, PROD) exclusivement là où les applications n'avaient pas effectué leurs tests de régression en amont sur REF et/ou ABN. Ce sont des problèmes inutiles que nous pouvons éviter ensemble. Nous comptons ici sur votre soutien. Il est important que vous effectuiez vos tests de régression avec soin et que vous signaliez les éventuels problèmes à l'équipe de test en temps voulu et de manière qualifiée.

Déroulement et attentes lors des introductions SR

Afin de pouvoir garantir un service eIAM stable et sûr en production, nous avons besoin, jusqu'au déploiement du SR sur la PRODUCTION, de tests de régression significatifs des applications dans les instances REF et ABN. Normalement, vous disposez de 10 jours ouvrables par instance pour cela. Notez que pendant les deux premiers jours suivant l'installation, vous pouvez bénéficier d'une équipe d'assistance Early Live qui vous aidera rapidement en cas de problème.

Ces notes de mise à jour vous aident à planifier les tests de régression en relation avec les fonctionnalités eIAM que vous utilisez et vous servent également de source d'information pour la communication avec vos clients finaux. Veuillez noter que la version finale des Release Notes avec tous les détails nécessaires ne sera livrée que peu avant l'installation productive.

Important
Communiquez-nous les résultats de vos tests de release (positifs ou négatifs) au moyen du Formulaire de feedback de vos tests de régression. (accessible uniquement depuis le réseau de l'administration fédérale), afin que les éventuelles corrections du release de service soient possibles à temps.

Interlocuteur eIAM

Si vous avez des questions ou des demandes concernant eIAM, ePortal ou PAMS, vous pouvez vous adresser aux services ou personnes suivants ;

Points de contact eIAM
×


Changements - Nouveautés

Phase CH2A AGOV-First dans RÉFÉRENCE / RECETTE / PRODUCTION

AGOV est la connexion des autorités suisses. Il peut être utilisé par la Confédération ainsi que par les cantons et les communes. Grâce à une nouvelle technologie, AGOV ne nécessite plus de mot de passe. C’est plus sûr et plus pratique pour les utilisateurs. AGOV est un service de la Confédération et est disponible depuis début 2024 dans les premières applications des autorités. AGOV peut également être utilisé dans eIAM depuis début 2024. Toutefois, avec des restrictions, en tant qu'« Bring Your Own ID (BYOI) », c’est-à-dire une identité externe liée à un compte CH-LOGIN.

Le projet de remplacement du CH-LOGIN par AGOV (CH2A) vise, avec la phase « AGOV-First », à faire d’AGOV la connexion principale également au sein de l’administration fédérale. Durant la phase « AGOV-First », l’utilisation des identités CH-LOGIN existantes reste possible. L’enregistrement de nouvelles identités CH-LOGIN reste également pris en charge. Toutefois, dans la perspective du remplacement de CH-LOGIN par AGOV, il est peu pertinent que les utilisateurs créent encore actuellement de nouveaux CH-LOGIN. La seule exception imposant une connexion via AGOV concerne les nouvelles identités vérifiées (avec un niveau de qualité d’authentification élevé – QoA). Les identités eGOV vérifiées ne sont proposées que via AGOV. Ainsi, l’utilisateur peut bénéficier du fait que son identité vérifiée – et payante – peut être utilisée à tous les niveaux de l’administration et sur tous les environnements d’eIAM.

AGOV, en tant que connexion des autorités suisses, doit être promu dans le cadre de la phase « AGOV-First ». Les utilisateurs doivent être informés sur AGOV et incités à l’utiliser. Toutefois, sans exercer de pression sur les utilisateurs pour qu’ils doivent déjà passer de CH-LOGIN à AGOV durant cette phase. La transition sécurisée de CH-LOGIN vers AGOV doit être rendue aussi simple que possible pour les utilisateurs disposant déjà d’un CH-LOGIN.

Informations complémentaires sur CH2A et AGOV-First :

Dans la documentation client eIAM – CH-LOGIN à AGOV (CH2A) – des informations intéressantes sur le projet CH2A et sur les différentes phases de CH2A sont régulièrement mises à disposition pour les clients d’eIAM.

Les informations actuelles concernant AGOV, CH2A et la phase actuelle AGOV-First, ainsi que la présentation et les démonstrations des cas d’utilisation lors de l’événement client du 11.04.2025, sont également disponibles dans le Soundingboard eIAM : Nouvelles de ChF TNI.

AGOV-First – Compatibilité ascendante

La prémisse de l’introduction d’AGOV-First dans eIAM est que les applications cibles approvisionnées via CH-LOGIN continuent de fonctionner sans adaptation – même si les utilisateurs passent de CH-LOGIN à AGOV. Dans le cadre des tests effectués sur l’environnement de RÉFÉRENCE eIAM, l’équipe eIAM de l’Office fédéral de l’informatique et de la télécommunication (OFIT), en collaboration avec les responsables d’applications, a constaté que cette prémisse ne devrait pas être imposée dans tous les cas à l’avance.

C’est pourquoi l’OFIT a demandé à la Chancellerie fédérale DTI d’assouplir légèrement la prémisse pour les intégrations dites « legacy ». La ChF DTI a accédé à cette demande de l’OFIT, car elle favorise la standardisation et permet de réduire les coûts pour l’administration fédérale.
Cela signifie que dans de rares cas, des applications intégrées de manière legacy pourraient avoir des difficultés à reconnaître un utilisateur ayant remplacé son CH-LOGIN par un login AGOV.

eIAM a prévu des mesures pour de tels cas :
Sur la base de retours appropriés, un ajustement de configuration dans eIAM peut être effectué immédiatement et sans coût pour chaque application concernée, afin de rétablir la compatibilité ascendante.

Nous vous invitons donc à tester votre application avec AGOV dans l’environnement de RÉFÉRENCE d’eIAM.

Cette décision permet de respecter fondamentalement la prémisse – sans introduire d’exceptions globales, mais uniquement des adaptations spécifiques pour certaines intégrations legacy.

Dans le cadre d’AGOV-First, les applications doivent être testées spécifiquement pour le cas d’usage "L’utilisateur passe de CH-LOGIN à AGOV".

Il est très important que de telles constatations soient déjà faites dans l’environnement de RÉFÉRENCE. Ainsi, nous pourrons ensemble éviter des problèmes pour votre application métier et ses utilisateurs lors du déploiement ultérieur dans l’environnement de REPRISE (13.08.2025) et en PRODUCTION (07.09.2025).

Veuillez consulter dans la FAQ CH2A la rubrique « Compatibilité ascendante ». Elle contient des informations importantes et intéressantes sur ce sujet dans le cadre de CH2A. CH2A FAQ.

AGOV-First – Tests par les services métiers

Comme vous pouvez le lire dans les notes de version, l’introduction d’AGOV-First entraîne de nombreux changements dans eIAM. Il s’agit d’une version majeure d’eIAM. Veuillez noter que les changements liés à « AGOV-First » sont déployés avec la version « Liskamm » dans tous les environnements opérationnels d’eIAM (RÉFÉRENCE / REPRISE / PRODUCTION). Avec la version précédente « Lenzspitze », AGOV-First avait été déployé uniquement dans l’environnement RÉFÉRENCE d’eIAM, afin de donner aux clients d’eIAM plus de temps pour effectuer les tests et se préparer à AGOV-First.

Dans le cadre d’AGOV-First, les applications doivent être testées spécifiquement pour le cas d’usage « L’utilisateur passe de CH-LOGIN à AGOV ». Voir également la rubrique « Compatibilité ascendante ».

Veuillez consulter dans la FAQ CH2A la rubrique spéciale « Tests ». Elle contient des informations importantes et intéressantes sur les tests dans le cadre de CH2A FAQ.

Remarque importante pour les tests depuis les réseaux de l’administration fédérale :
Comme indiqué dans ces notes de version, la connexion se fait automatiquement avec FED-LOGIN par défaut dans les réseaux de l’administration fédérale. Pour tester les fonctionnalités AGOV-First avec les connexions CH-LOGIN et AGOV, veuillez utiliser le « cookie d’autologon ». Vous trouverez des informations sur l’utilisation du « cookie d’autologon » dans la documentation eIAM :
Testing sans Autologon.

AGOV-First – Adaptation de l’assistance utilisateur / Aide publiée par les applications

De nombreuses applications métier ont publié des instructions sur des sujets comme l’enregistrement et la connexion. Ces instructions guident souvent l’utilisateur également à travers les fonctionnalités d’eIAM, par exemple l’enregistrement d’un CH-LOGIN. Ces aides contiennent fréquemment des instructions pas-à-pas avec des captures d’écran des différentes étapes du processus dans eIAM. Toutes ces aides publiées par les applications ne seront plus correctes avec AGOV-First. Cela entraîne une confusion des utilisateurs. L’objectif d’aider et d’orienter l’utilisateur est ainsi manqué. Avec AGOV-First – à partir du 7 septembre 2025 dans l’environnement PRODUCTION – les nouveaux utilisateurs doivent enregistrer prioritairement un AGOV-Login, et non plus un CH-LOGIN. Même si, techniquement, l’enregistrement d’un CH-LOGIN reste possible, cela n’a plus de sens si l’utilisateur est invité peu après à passer à AGOV. L’aide publiée pour votre application ne doit en principe plus contenir d’instructions sur les processus eIAM. Elle doit renvoyer systématiquement vers l’aide centrale eIAM Aide. Des informations à ce sujet se trouvent sous CH2A-FAQ pour les parties prenantes dans la rubrique spéciale « Assistance utilisateur – Documentation par le métier / l’application ».

Standardisation du choix de la méthode de connexion (Home Realm Discovery)
Dans le cadre d’AGOV-First, le choix de la méthode de connexion – c’est-à-dire le choix du fournisseur d’identité (HRD) – a été révisé et standardisé. Jusqu’à présent, eIAM proposait deux options différentes : D’une part, l’affichage dit « par tuiles », où tous les fournisseurs d’identité étaient présentés sous forme de tuiles. D’autre part, l’affichage dit « CH-LOGIN-First », qui permettait d’effectuer directement une connexion avec CH-LOGIN, tandis que les autres fournisseurs d’identité étaient proposés comme alternatives. Le comportement différait également fortement selon la taille de l’écran (smartphone vs. ordinateur portable/bureau). Ce comportement incohérent d’eIAM a provoqué de nombreuses confusions par le passé. Il n’est pas non plus compatible avec l’approche « AGOV-First », qui vise à mettre AGOV – en tant que connexion des autorités suisses – au premier plan pour les utilisateurs. C’est pourquoi, dans le nouveau Home Realm Discovery, AGOV est toujours proposé en premier comme fournisseur d’identité pour les applications prenant en charge le contexte eGOV. Une boîte d’information informe l’utilisateur sur AGOV en tant que connexion officielle des autorités suisses et l’incite à l’utiliser.

Illustration Choix de la méthode de connexion
Vue sur ordinateur : Choix de la méthode de connexion


Vue mobile du choix de la méthode de connexion
Vue mobile : Choix de la méthode de connexion

Blocage transparent des méthodes de connexion non prises en charge
eIAM prend en charge différentes méthodes de connexion, respectivement différents fournisseurs d’identité. Ces fournisseurs proposent des identités de qualité variable — en général jusqu’au niveau QoA30. Pour de nombreuses applications de l’administration fédérale dans le contexte eGOV, ce niveau est suffisant. Si une application exige une qualité d’authentification plus élevée, les fournisseurs d’identité dont les identités ne répondent pas aux exigences ne sont pas simplement masqués avec AGOV-First. Ils continuent d’être affichés à l’utilisateur, mais sont clairement marqués comme bloqués. L’utilisateur est informé de manière transparente des raisons pour lesquelles son identité précédemment utilisée dans eIAM ne peut plus être utilisée, et il reçoit des instructions sur la manière d’accéder à l’application souhaitée à l’avenir. Cela améliore l’expérience utilisateur dans eIAM pour les applications ayant des exigences plus élevées en matière de QoA.

Vous trouverez des informations sur les niveaux QoA dans eIAM ici :
Quality of Authentication QoA

Illustration avec le blocage des méthodes de connexion non prises en charge
Blocage des méthodes de connexion non prises en charge

FED-LOGIN – Méthode de connexion par défaut dans les réseaux de l’administration fédérale
La plupart des applications de l’administration fédérale, qui sont consultées par des utilisateurs depuis les réseaux internes de l’administration, attendent une connexion via la méthode FED-LOGIN.
Il existe quelques cas exceptionnels dans lesquels un petit groupe d’utilisateurs (par exemple des testeurs) souhaite accéder à des applications web de l’administration fédérale depuis les réseaux internes en utilisant d’autres identités (comme CH-LOGIN ou AGOV). Jusqu’à présent, cela obligeait tous les utilisateurs à devoir d’abord choisir la méthode de connexion (dans la majorité des cas FED-LOGIN). Pour améliorer l’expérience utilisateur lors de l’authentification aux applications dans les réseaux de l’administration fédérale, ce comportement est corrigé avec AGOV-First. Si FED-LOGIN est configuré comme l’une des méthodes de connexion possibles pour une application, FED-LOGIN sera toujours automatiquement sélectionnée.

Les utilisateurs ayant des besoins particuliers, qui souhaitent contourner ce comportement, peuvent utiliser la fonction « cookie d’autologon » d’eIAM pour désactiver la connexion automatique via FED-LOGIN dans les réseaux fédéraux.

Des informations sur l’utilisation du « cookie d’autologon » se trouvent dans l’aide eIAM :
Testing sans l'autologon.

Assistance aux utilisateurs lors du passage de CH-LOGIN à AGOV (assistant CH2A)
Afin de faciliter au maximum le passage sécurisé de CH-LOGIN à AGOV pour environ 2,8 millions d’utilisateurs disposant déjà d’un CH-LOGIN, un assistant a été développé dans eIAM. Lorsqu’un utilisateur accède pour la première fois à eIAM avec son AGOV-Login, l’assistant vérifie s’il existe un CH-LOGIN enregistré dans eIAM avec la même adresse e-mail que celle de l’AGOV-Login. Si un compte correspondant est trouvé, l’utilisateur est informé qu’un CH-LOGIN avec la même adresse e-mail existe, et il peut choisir de le remplacer par son AGOV-Login. Pour ce faire, l’utilisateur doit se connecter avec les identifiants enregistrés dans eIAM (mot de passe, et deuxième facteur si enregistré) pour prouver qu’il est bien le propriétaire légitime du CH-LOGIN. Si aucun CH-LOGIN avec l’adresse e-mail signalée par AGOV n’est trouvé lors de la connexion, l’utilisateur est interrogé : possède-t-il un CH-LOGIN enregistré avec une autre adresse e-mail qu’il souhaite remplacer par son AGOV-Login, ou bien ne possède-t-il pas du tout de CH-LOGIN. S’il souhaite utiliser un CH-LOGIN existant, il devra indiquer l’adresse e-mail de ce CH-LOGIN, son mot de passe et, si applicable, le deuxième facteur pour s’authentifier comme propriétaire légitime.

Dans les deux cas, l’identité eIAM est liée à l’AGOV-Login de l’utilisateur, et le CH-LOGIN utilisé jusque-là est archivé. L’utilisateur est informé que son CH-LOGIN a été supprimé et qu’il doit désormais toujours utiliser AGOV pour se connecter. Tous les droits d’accès restent inchangés.

Si l’utilisateur confirme ne pas posséder de CH-LOGIN, une nouvelle identité eIAM est créée pour lui.

Assistance aux utilisateurs lors de la mise à niveau de CH-LOGIN vers AGOV et en cas de récupération
Il est évident que, lors du passage des utilisateurs de CH-LOGIN vers AGOV, des situations peuvent survenir dans lesquelles l’utilisateur ne peut plus utiliser ses facteurs de connexion CH-LOGIN (mot de passe / deuxième facteur). Même dans ces cas, la sécurité doit rester la priorité absolue. L’assistant propose à l’utilisateur une fonction de récupération pour le mot de passe et les seconds facteurs. Toutefois, cette fonction est conçue de manière optimisée et aussi conviviale que possible. Il n’est pas pertinent de demander à l’utilisateur de définir un nouveau mot de passe ou un nouveau deuxième facteur uniquement pour le changement, s’il n’en aura plus jamais besoin par la suite. Dans les cas de récupération, les mécanismes de secours définis (compte e-mail / questions de sécurité) sont utilisés pour authentifier le propriétaire légitime du CH-LOGIN. Toute saisie inutile de facteurs de connexion qui ne seront plus utilisés par la suite est systématiquement évitée.

Assistance aux utilisateurs disposant d’identités CH-LOGIN vérifiées lors de la mise à niveau vers AGOV
Les utilisateurs possédant une identité CH-LOGIN ayant été vérifiée via le processus dit de vérification nHEC+ (avec identification vidéo) ou via le processus de délivrance du jeton VASCO conservent leur statut de vérification — et donc le niveau de qualité d’authentification (QoA) de leur identité dans eIAM — même après la mise à niveau vers un AGOV-Login. Ce statut reste valable jusqu’à l’expiration de la validité de la vérification d’identité (5 ans après la réalisation de l’identification vidéo ou la livraison du jeton VASCO), même si la mise à niveau est effectuée avec un AGOV-Login non vérifié. À partir du moment où l’utilisateur utilise son identité eIAM avec un AGOV-Login vérifié, AGOV devient la source de référence pour le statut de vérification de l’identité.

CH-LOGIN – Assistance aux utilisateurs après la mise à niveau de CH-LOGIN vers AGOV
Il est à prévoir que certains utilisateurs oublient simplement qu’ils ont déjà effectué le passage de CH-LOGIN vers AGOV par le passé — et qu’ils essaient plus tard, sans succès, de se connecter avec leur ancien CH-LOGIN. Dans ces cas, eIAM informe l’utilisateur qu’il a déjà effectué la mise à niveau vers AGOV :

  • L’utilisateur tente de se connecter avec son ancien CH-LOGIN (identifié par l’adresse e-mail).
  • L’utilisateur tente une récupération du mot de passe de son ancien CH-LOGIN parce que la connexion échoue.
  • L’utilisateur tente d’enregistrer un nouveau CH-LOGIN avec la même adresse e-mail que celle de son ancien CH-LOGIN ou de son AGOV-Login déjà utilisé dans eIAM.
Dans tous ces cas, l’utilisateur est informé qu’il a déjà effectué le passage à AGOV-Login et qu’il doit désormais utiliser AGOV. Ces processus sont conçus de manière à ce qu’aucune information ne soit divulguée à un attaquant potentiel sur l’existence ou non d’un compte (ou d’un compte déjà migré).

CH-LOGIN – Assistance aux nouveaux utilisateurs dans le choix du fournisseur d’identité
Avec AGOV-First, après avoir sélectionné CH-LOGIN et choisi d’enregistrer un nouveau CH-LOGIN, l’utilisateur est informé au sujet d’AGOV et encouragé à créer un AGOV-Login plutôt qu’un CH-LOGIN. Cependant, les deux options sont proposées. L’utilisateur peut choisir s’il souhaite enregistrer un AGOV-Login ou un CH-LOGIN. Une exception à ce comportement s’applique si l’utilisateur accède à une application nécessitant une qualité d’authentification élevée (> QoA30). Dans ce cas, l’utilisateur est informé que les nouvelles identités vérifiées sont uniquement proposées via AGOV-Login. Dans cette situation, l’utilisateur n’a que deux options : enregistrer un AGOV-Login ou annuler l’enregistrement.

Illustration avec l'informations pour créer un identifiant AGOV au lieu d'un identifiant CH-LOGIN.
Informations pour créer un identifiant AGOV au lieu d'un identifiant CH-LOGIN.

CH-LOGIN – Suppression progressive du support des jetons VASCO
Jusqu’à présent, CH-LOGIN permettait l’enregistrement de jetons VASCO délivrés par l’OFIT en tant que second facteur fort. Avec AGOV-First, il n’est plus possible d’enregistrer de nouveaux jetons VASCO comme méthode d’authentification pour les identités CH-LOGIN. Les CH-LOGIN ayant déjà un jeton VASCO enregistré continueront de fonctionner avec ce jeton comme deuxième facteur.

Remarque : Veuillez noter qu’il s’agit explicitement de la nouvelle inscription de jetons VASCO pour les identités CH-LOGIN. La méthode de connexion « OTP-Login » est une méthode différente. Elle n’est pas concernée par ce changement et ne doit pas être confondue avec CH-LOGIN.

Illustration CH-LOGIN TUILE
CH-LOGIN TUILE
Illustration OTP-Login TUILE
OTP-Login TUILE

CH-LOGIN – Suppression progressive du support des vérifications d’identité par identification vidéo
Jusqu’à présent, il était possible d’élever le niveau d’une identité CH-LOGIN dotée de moyens d’identification de niveau « élevé » (Mobile ID / clé de sécurité FIDO2) du niveau QoA30 au niveau QoA50 à l’aide d’un processus de vérification par identification vidéo (VIPS). Avec AGOV-First, cette mise à niveau n’est plus proposée pour les identités CH-LOGIN. Les utilisateurs qui ont besoin d’une identité vérifiée dans le contexte eGOV créent un AGOV-Login, effectuent le processus d’identification dans AGOV et mettent à niveau leur CH-LOGIN existant avec leur AGOV-Login vérifié.

Les identités CH-LOGIN ayant effectué ce processus de vérification avant AGOV-First conservent leur statut de vérification jusqu’à l’expiration de la validité de l’identification (5 ans après la réalisation de l’identification vidéo).

AGOV – Prise en charge des identités AGOV vérifiées dans eIAM (QoA50)
Les identités AGOV pouvaient déjà être utilisées dans eIAM. Toutefois, elles étaient traitées comme d'autres identités dites Bring Your Own Identity (BYOI) — en tant que méthode de connexion alternative dans le contexte CH-LOGIN — et acceptées uniquement avec un niveau « normal », c’est-à-dire « moyen » selon Si001. Cela valait même lorsque l’authentification de l’utilisateur avait été effectuée à l’aide d’un moyen de connexion de niveau élevé et que l’identité du détenteur de l’AGOV-Login avait été vérifiée via un processus d’examen de haute qualité. Avec AGOV-First, les utilisateurs peuvent également utiliser leur AGOV-Login pour des applications de l’administration fédérale dans le contexte eGOV, même si celles-ci exigent une qualité d’authentification « élevée » (jusqu’à QoA50).

Si le niveau QoA est insuffisant, l’utilisateur est informé après l’authentification qu’un AGOV-Login vérifié est nécessaire. Il est alors guidé dans le processus permettant d’obtenir un AGOV-Login vérifié au niveau QoA50. Le processus est décrit ici : AGOV-Login vérifiée (QoA50).

Avec la version « Liskamm » et le déploiement d’AGOV-First, les identités AGOV peuvent désormais être utilisées dans eIAM jusqu’au niveau QoA51. Voir également : « AGOV – Prise en charge des identités AGOV avec numéro AVS vérifié dans eIAM (QoA51) »

Des informations sur les niveaux QoA dans eIAM sont disponibles ici :
Quality of Authentication QoA

AGOV – Prise en charge des identités AGOV avec numéro AVS vérifié dans eIAM (QoA51)
AGOV est en mesure de fournir un numéro AVS vérifié pour les personnes disposant d’un AGOV-Login. La base de cette fonctionnalité est une identité AGOV vérifiée. Grâce à la vérification du numéro AVS auprès du registre ZAS, AGOV confirme que le numéro AVS appartient effectivement à la personne concernée. Les applications intégrées à eIAM peuvent ainsi désormais exiger une qualité d’authentification de niveau QoA51. Il convient de noter que de telles applications ne peuvent être utilisées qu’avec AGOV comme fournisseur d’identité, car seul AGOV peut fournir le numéro AVS vérifié. Naturellement, cela signifie également que seules les personnes disposant d’un numéro AVS peuvent utiliser l’application.

Si le niveau QoA est trop faible, l’utilisateur est informé après l’authentification qu’un AGOV-Login vérifié est requis et est guidé dans le processus permettant d’obtenir un AGOV-Login vérifié au niveau QoA51. Le processus est décrit ici : AGOV-Login vérifiée avec numéro AVS (QoA51).

Des informations sur les niveaux QoA dans eIAM sont disponibles ici :
Quality of Authentication QoA

Mise à jour automatique des données d’identité dans eIAM – Provisionnement Just in Time
Avant AGOV-First, les utilisateurs devaient eux-mêmes mettre à jour les données identifiantes (prénom, nom, adresse e-mail et langue de correspondance préférée) dans eIAM MyAccount -même lorsqu’ils utilisaient l’identité d’un fournisseur externe. Avec AGOV-First, les informations identifiantes — prénom, nom, adresse e-mail et langue de correspondance préférée — sont automatiquement mises à jour dans eIAM à chaque connexion de l’utilisateur. L’avantage pour l’utilisateur est qu’il peut gérer ses données directement auprès de son fournisseur d’identité. La double gestion des données, à la fois chez le fournisseur d’identité et dans eIAM, n’est plus nécessaire.

eIAM MyAccount – Modification des données d’identité bloquée pour les fournisseurs d’identité externes
Avec AGOV-First, la modification des données d’identité dans l’onglet « Profil utilisateur » de eIAM MyAccount est bloquée si l’utilisateur utilise une identité provenant d’un fournisseur d’identité externe. Cela s’explique par le fait qu’avec AGOV-First, les données d’identité sont automatiquement mises à jour à chaque connexion à partir des informations du fournisseur d’identité. L’utilisateur est informé dans MyAccount que les données sont fournies par le fournisseur externe et qu’il doit les mettre à jour directement auprès de celui-ci si nécessaire. Les données mises à jour par le fournisseur externe sont affichées à l’utilisateur dans eIAM MyAccount lors de sa prochaine connexion.

FED-LOGIN – Prise en charge des clés de sécurité (FIDO2) pour les utilisateurs « totallySmartcardless »

Les utilisateurs employés ou mandatés par l’administration fédérale, qui ne doivent pas être équipés d’une carte à puce – appelés « utilisateurs totallySmartcardless » –, ne pouvaient, jusqu’à la version « Liskamm », enregistrer que l’application FED-LOGIN Access lors de la procédure d’onboarding de leur compte FED-LOGIN.

Avec la version « Liskamm », l’offre de moyens d’authentification est élargie. L’utilisateur peut désormais choisir d’enregistrer, dans le cadre de l’onboarding « totallySmartcardless », soit l’application FED-LOGIN Access, soit une clé de sécurité physique (FIDO2). Avec l’application FED-LOGIN Access comme avec la clé de sécurité, l’utilisateur atteint le niveau de qualité d’authentification élevé (QoA50). Ainsi, FED-LOGIN prend désormais en charge pour les utilisateurs « totallySmartcardless » les mêmes justificatifs d’identité alternatifs que pour les utilisateurs avec carte à puce.

FED-LOGIN – Prise en charge de plusieurs justificatifs d’identité pour les utilisateurs « totallySmartcardless »

Un utilisateur employé ou mandaté par l’administration fédérale, qui ne doit pas être équipé d’une carte à puce – appelé « utilisateur totallySmartcardless » - ne pouvait, jusqu’à la version « Liskamm », enregistrer qu’un seul justificatif d’identité lors de la procédure d’onboarding pour son FED-LOGIN. Il n’avait aucun moyen d’enregistrer et d’utiliser d’autres justificatifs. De ce fait, il n’était pas non plus possible pour l’utilisateur de changer son justificatif via le self-service.

À partir de la version « Liskamm », l’utilisateur FED-LOGIN « totallySmartcardless » peut, après s’être connecté avec son justificatif déjà enregistré, enregistrer d’autres justificatifs d’identité via eIAM-MyAccount. Sont pris en charge jusqu’à cinq applications FED-LOGIN Access (sur différents appareils) ainsi que jusqu’à quatre clés de sécurité physiques différentes (FIDO2). Cette fonctionnalité permet également à l’utilisateur de changer ses justificatifs en self-service, par exemple lors d’un changement ou d’une réinitialisation de son téléphone mobile.

Gestion déléguée (portail d’administration) - Filtrage des rôles d’autorisation d’une application

Les applications qui utilisent la gestion déléguée dans le portail d’administration de eIAM pour la gestion des rôles d’autorisation peuvent parfois comporter un grand nombre de rôles attribuables. Dans ce cas, il peut être difficile pour l’administrateur délégué de trouver le rôle correct et de le sélectionner correctement. À partir de la version « Liskamm », la gestion déléguée de eIAM met à disposition une fonction de filtrage pour les rôles attribuables. Cela facilite à l’administrateur la recherche et l’attribution du rôle d’autorisation approprié, améliorant ainsi l’expérience utilisateur pour les administrateurs délégués.

Suppression de l'authentification unique (SSO) pour l'accès à eIAM-MyAccount

L'auto-administration pour les utilisateurs dans eIAM était auparavant possible grâce à une authentification unique entre la connexion à l'application spécialisée et la connexion au portail d'auto-administration « MyAccount » d'eIAM. Les applications pouvaient proposer aux utilisateurs un renvoi vers MyAccount, qui ne nécessitait pas de nouvelle connexion. Ce renvoi SSO de l'application spécialisée vers MyAccount ne sera plus proposé à l'avenir. D'une part, cette fonctionnalité n'est pas compatible avec les nouveaux modèles d'intégration d'eIAM. D'autre part, elle n'est plus adaptée aux exigences actuelles en matière de sécurité. La fonction SSO ne sera plus disponible à partir de la version « Matterhorn » d'eIAM (RÉFÉRENCE 09.12.2025 / ACCEPTATION 14.01.2026 / PRODUCTION 01.02.2026). Les applications sont priées de supprimer complètement cette fonction lors du passage à MyAccount ou de la modifier de manière à ce que l'URL de MyAccount soit directement appelée dans une nouvelle fenêtre de navigateur à partir de l'environnement d'exploitation correspondant (RÉFÉRENCE, ACCEPTATION, PRODUCTION). L'utilisateur sera ensuite invité à se connecter. Cela permet de garantir que le sujet qui utilise eIAM-MyAccount est bien le propriétaire autorisé de l'identité, même si l'appareil de l'utilisateur est resté sans surveillance pendant une longue période.

Environnement URL
PRODUCTION https://www.myaccount.eiam.admin.ch
RÉCEPTION https://www.myaccount-a.eiam.admin.ch
RÉFÉRENCE https://www.myaccount-r.eiam.admin.ch
Tableau contenant les URL à utiliser pour accéder à eIAM-MyAccount.