Diese Kategorie der Techuser wird vorallem in der SOAP-basierten Server (Consumer) zu Server (Provider) Kommuikation über einen Web Service Gateway eingesetzt. eIAM bietet dazu den eIAM Web Service Gateway (eIAM-WSG) zur Authentifizierung an. Details zu dieser Leistung finden sich unter eIAM-WSG.
Bitte beachten Sie folgende notwendigen Vorbereitungen vor der Bestellung:
- Die verwendeten Accounts müssen vorgängig bei über ICD – CIS & Directories via Remedy bestellt werden. Das Team erstellt einen Account im Datenbezugspunkt, welcher zu eIAM provisioniert wird und einem geregelten Lifecycle unterliegt. Es gelten dabei folgende Namenskonventionen:
- SN= SVC-<Stage>-<Departement>-<Amt>-<APPL>
- Stage: DEV, TST, REF, ABN, PRD
- Departement: EDI, EDA, EFD, EJPD, WBF, UVEK, VBS
- Amt (Kürzel): z.B. BIT, BFS, etc.
- Appl (Kürzel): z.B. IDM, LVS, AWISA
- Stage: DEV, TST, REF, ABN, PRD
- givenName = TU
- displayName analog SN
- SN= SVC-<Stage>-<Departement>-<Amt>-<APPL>
- Bei Accounts mit Softzertifikat erfolgt die Authentifizierung mittels eines X.509 Zertifikats der Klasse C (die Klassen D und E sind nicht unterstützt).
- Das Zertifikat muss vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
- Das Zertifikat ist lautend auf den technischen Benutzer, der zum Aufbau der Verbindung verwendet wird.
- Das Zertifikat muss mindestens die folgenden Key Usages beinhalten:
- X509v3 Key Usage: Digital Signature
- X509v3 Extended Key Usage: TLS Web Client Authentication
- X509v3 Key Usage: Digital Signature
- In der Bestellung ist der Public Key als PEM-File mitzuliefern.
- Das Zertifikat muss vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
- Der ISBO des Amtes (siehe Liste der ISBD/ISB
O ) muss via Mail den Einsatz des Techusers genehmigen.
- Für das Lifecycle Management des «Managed Techuser» muss eine verantwortliche, zentrale Stelle definiert sein (keine dedizierte Person), welche die technischen Zusammenhänge kennt und Zertifikatsaustausch durchführen kann, z.B. ein Applikationsmanagement Team.