Diese Kategorie wird im automatisierten Testing, Monitoring sowie der Datenverarbeitung eingesetzt. eIAM bietet dazu 4 Account Typen von gemanagten «Techusern» für die interaktive Nutzung von eIAM Service via Web-UI, insbesondere für das Login auf Fachapplikationen:
- CH-LOGIN mit fixem mTAN und ReCaptcha Whitelisting
geeignet für Applikationen mit QoA30 und tiefer. - Accounts mit Softzertifikat der Klasse C für Authentifizierung via FED-LOGIN mittels Zertifikat standardmässig geeignet für Appl mit QoA30 und tiefer.
- Account aus Active Directory (AD) mit Trust AD Resource Forrest ADR.ADMIN.CH, z.B. F-Account für Authentifizierung via FED-LOGIN über Kerberos geeignet für Appl mit QoA40 und tiefer.
- T-Account (personengebundene Test-Identität mit dedizierter SG-PKI Smartcard und AD-Referenz) zur Authentifizierung via FED-LOGIN (Smartcard- oder AD-Authentifizierung via Kerberos) geeignet für Applikationen mit QoA60 und tiefer.
Bitte beachten Sie folgende notwendigen Vorbereitungen vor der Bestellung:
- Die nachfolgenden Accounts müssen bereits bestehen;
- CH-LOGIN muss durch Besteller vorgängig erstellt werden (siehe Anleitung CH-LOGIN - Registrierun
g ). Wichtig: SMS (mTan) als Zweitfaktor muss vorgängig ebenfalls eingerichtet werden, sonst kann kein fixer mTan hinterlegt werden.
- F-Account muss via Remedy MAC bestellt werden (Link Remed
y ). - T-Account muss via Remedy MAC bestellt werden (Link Remed
y ).
- CH-LOGIN muss durch Besteller vorgängig erstellt werden (siehe Anleitung CH-LOGIN - Registrierun
- Die Accounts mit einem Softzertifikat müssen vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
- Das Zertifikat muss X.509 Zertifikat der Klasse C sein.
- Das Zertifikat ist lautend auf den technischen Benutzer der zum Aufbau der Verbindung verwendet wird.
- Das Zertifikat muss mindestens die folgenden Key Usages beinhalten:
- X509v3 Key Usage: Digital Signature
- In der Bestellung ist der Public Key als PEM-File mit zu liefern.
- Der ISBO des Amtes (siehe Liste der ISBD/ISB
O ) muss via Mail den Einsatz des Techusers genehmigen. - Für das Lifecycle Management des «Managed Techusers» muss eine verantwortliche, zentrale Stelle definiert sein (keine dedizierte Person), welche die technischen Zusammenhänge kennt und Zertifikatsaustausch durchführen kann. z.B. ein Applikations Management Team. Ausnahme hier sind T-Accounts, welche persönlich sind.
Bitte beachten Sie, dass eIAM Operations nur sicherstellt, dass die Techuser inkl. der Identitätsreferenz (Account im Access Mandanten des Kunden) korrekt erstellt sind. Es obliegt dem GKA/BVA diesen Techuser-Accounts, die für den Einsatzzweck notwendigen Berechtigungen im Access Mandanten zu erteilen.