Cette catégorie d'utilisateurs techniques est surtout utilisée dans la communication serveur (consommateur) à serveur (fournisseur) basée sur SOAP via une passerelle de services web. eIAM offre à cet effet la passerelle de services web eIAM (eIAM-WSG) pour l'authentification. Pour plus de détails sur ce service, voir eIAM-WSG.
Veuillez tenir compte des préparatifs nécessaires suivants avant la commande :
- Les comptes utilisés doivent être commandés au préalable auprès d'ICD - CIS & Directories via Remedy. L'équipe crée un compte dans le point de référence des données, qui est provisionné dans eIAM et soumis à un cycle de vie réglementé. Les conventions de nommage suivantes s'appliquent :
- SN= SVC-<Stage>-<Departement>-<Amt>-<APPL>
- Stage : DEV, TST, REF, ABN, PRD
- Département : DFI, DFAE, DFF, DFJP, DEFR, DETEC, DDPS
- Ampl. (abréviation) : par ex. OFIT, OFS, etc.
- Appl (abréviation) : par ex. IDM, LVS, AWISA
- Stage : DEV, TST, REF, ABN, PRD
- givenName = TU
- displayName analogue SN
- SN= SVC-<Stage>-<Departement>-<Amt>-<APPL>
- Pour les comptes avec certificat logiciel, l'authentification se fait au moyen d'un certificat X.509 de classe C (les classes D et E ne sont pas supportées).
- Le certificat doit être obtenu au préalable par vous en tant que client, conformément aux directives de l'Admin PKI, par le biais d'un Remedy MAC (saisir la commande par type de mandat, recherche "Certificats classe C", -> Commande de certificat).
- Le certificat est libellé au nom de l'utilisateur technique utilisé pour établir la connexion.
- Le certificat doit contenir au moins les Key Usages suivants :
- X509v3 Key Usage : Digital Signature
- X509v3 Extended Key Usage : TLS Web Client Authentication
- X509v3 Key Usage : Digital Signature
- Dans la commande, la clé publique doit être fournie sous forme de fichier PEM.
- Le certificat doit être obtenu au préalable par vous en tant que client, conformément aux directives de l'Admin PKI, par le biais d'un Remedy MAC (saisir la commande par type de mandat, recherche "Certificats classe C", -> Commande de certificat).
- Le DSIO de l'office (voir liste des DSID/DSI
O ) doit approuver par mail l'utilisation du Techusers.
- Pour la gestion du cycle de vie du "Managed Techuser", un service central responsable doit être défini (pas de personne dédiée), qui connaît le contexte technique et peut procéder à des échanges de certificats, par exemple une équipe de gestion des applications.