Questions fréquemment posées

Le terme "CH2A" est l'abréviation de "CH-LOGIN to AGOV". CH2A est une initiative stratégique de la BK-DTI visant à remplacer le CH-LOGIN par AGOV dans l'ensemble de l'administration fédérale.

Le "CH2A-Wizard" est un composant de la communication de fédération entre AGOV en tant que fournisseur d'identité et eIAM en tant que consommateur d'identités AGOV. Il aide l'utilisateur à passer facilement et en toute sécurité de CH-LOGIN à AGOV-Login, notamment lorsque l'utilisateur souhaite remplacer son CH-LOGIN existant par un AGOV-Login.

L'AGOV-Login peut être utilisé par les particuliers et les représentants du secteur économique pour interagir avec toutes les administrations suisses (communes, cantons, Confédération et tiers autorisés par l'EMBAG). Contrairement au CH-LOGIN, l'AGOV-Login est compatible avec l'e-ID et permet, pour les applications qui le nécessitent, de demander et de transmettre le numéro AVS vérifié.

AGOV est le portail d'accès des autorités suisses. AGOV vous permet de collaborer avec les autorités suisses à tous les niveaux administratifs (communes, cantons, Confédération) à l'aide d'une seule procédure de connexion. Vous n'avez pas besoin de gérer plusieurs mots de passe.

Les cantons et les communes ne pouvaient pas utiliser CH-LOGIN de l'administration fédérale pour leurs services de cyberadministration, car il n'existait pas de base légale à cet effet. Depuis le 1er janvier 2024, la loi fédérale sur l'utilisation de moyens électroniques pour l'accomplissement des tâches des autorités (LMETA) permet à l'administration fédérale de mettre des prestations TIC à la disposition des cantons et des communes. AGOV, qui est une évolution de CH-LOGIN, est le premier exemple d'utilisation d'un service TIC à l'échelle nationale et peut être utilisé à tous les niveaux fédéraux, cantonal et communal.

CH2A est un projet de la ChF-TNI, en collaboration avec le OFIT. Bruno Frutiger, du domaine Services numériques standard (SNS) et responsable des solutions numériques de base et de sécurité (SBS), fait office de mandant. La responsabilité du service IAM incombe au Business Owner Stefan Minder, également du domaine SBS et chef de projet adjoint dans le projet. Le chef de projet CH2A est Philipp Dasen, du domaine SBS. Du côté de l'OFIT, Edgar Kälin est responsable de la mise en œuvre du sous-projet DEV/OPS.

Sous-projet Communication CH2A

• Le sous-projet Communication du projet CH2A a analysé les groupes cibles et planifie les canaux de communication à leur intention.
  
• Nous sommes en échange intensif avec les départements de communication du BIT et de la BK-DTI. Il est prévu que les IM des offices transmettent en temps utile des instructions de communication concernant CH2A à leurs départements de communication.
  
• Le thème de la communication entraînera des mesures différentes selon les phases du projet CH2A (AGOV-Allow, AGOV-First, AGOV-Push, AGOV-Force, AGOV-Only). Veuillez noter que durant la prochaine phase AGOV-First (prévue à partir de la mise en production Liskamm le 07.09.2025), les utilisateurs/-trices auront encore la possibilité de créer un nouveau compte CH-LOGIN. Dans cette phase, nous souhaitons informer les utilisateurs/-trices qu’AGOV est le meilleur choix et les encourager à utiliser un login AGOV.
  

Communication client responsable pour une application métier

• Les annonces importantes, les informations de planification et les sollicitations sont envoyées via la liste de diffusion eIAM-Releases@bit.admin.ch. Ce canal sera également utilisé pour informer lorsque nous attendons des mesures de communication de la part de certains groupes cibles, par exemple les responsables d'applications métier.
  
  • Veuillez nous envoyer un e-mail à eIAM-Releases@bit.admin.ch si vous souhaitez être ajouté à la liste de diffusion.
• Si vous recevez des questions sur CH2A, nous vous prions de renvoyer à notre page projet avec toutes les informations pertinentes sur la phase actuelle AGOV-First ainsi qu’à la FAQ CH2A.
  
• Pour toute question ou préoccupation, vous pouvez nous contacter à tout moment via eIAM-Releases@bit.admin.ch.

• Il est prévu que, en plus des interactions dans le flux utilisateur d’eIAM, toutes les informations nécessaires soient publiées sur les pages d'information du service eIAM (https://www.eiam.swiss/), la documentation client eIAM (https://docs.eiam.swiss/) et les pages d’aide eIAM (https://help.eiam.swiss/). Ces contenus seront continuellement optimisés si nécessaire.
  
• De nombreuses applications métier ont publié des guides, par exemple pour l’enregistrement et la connexion. Ces guides mènent souvent les utilisateurs/-trices à travers certaines fonctionnalités d’eIAM, comme l’enregistrement d’un CH-LOGIN. En général, ces guides contiennent des instructions étape par étape avec captures d’écran de chaque étape du processus. Tous ces guides publiés par les applications métier ne seront plus valables avec AGOV-First. Cela risque de semer la confusion chez les utilisateurs/-trices. L’objectif de soutenir et de guider les utilisateurs/-trices serait ainsi manqué. Avec AGOV-First, donc à partir du 7 septembre 2025 dans l’environnement de production, les nouveaux utilisateurs/-trices doivent principalement enregistrer un AGOV-Login, et non plus un CH-LOGIN, même si l’enregistrement d’un CH-LOGIN est encore techniquement possible. La documentation d’aide des applications métier ne doit plus contenir d’instructions sur les processus eIAM. Elle doit systématiquement renvoyer vers l’aide centrale eIAM. Pour plus d’informations, veuillez consulter la FAQ CH2A pour les parties prenantes.

L'utilisation d'AGOV est incluse dans le tarif eIAM, tout comme le CH-LOGIN. Si les applications cibles exigent des vérifications d'identité via AGOV, l'utilisateur final doit payer en ligne ou recevoir un code de bon d'achat fourni par l'unité administrative dans le cadre de ses processus d'intégration.

AGOV est conçu pour permettre aux utilisateurs finaux de s'aider eux-mêmes en premier lieu. Grâce à un mécanisme de récupération en plusieurs étapes pour la restauration de compte, on s'attend à une réduction des cas de support par rapport au CH-LOGIN.

• AGOV-Allow
  (Déployé depuis T1/2024 jusqu’à PROD)
  • Dans cette phase, AGOV est l’un des fournisseurs d’identité (IdP) pris en charge dans le bundle BYOI de CH-LOGIN. Les personnes disposant d’un AGOV-Login peuvent l’utiliser volontairement comme identité BYOI (Bring Your Own Identity) d’un fournisseur externe et l’associer à leur CH-LOGIN. Elles peuvent choisir librement de se connecter à eIAM avec leur CH-LOGIN ou leur AGOV-Login. Les deux options restent possibles en parallèle. Dans cette phase, la limitation est que l’AGOV-Login ne peut être utilisé dans eIAM qu’avec une qualité « normale », soit QoA30. Les AGOV-Logins vérifiés ne sont pas encore pris en charge par eIAM.
  
  
• AGOV-First
  (REF 13.05.25 (Lenzspitze), ABN 13.08.25 / PROD 07.09.25 (Liskamm))
  • Dans cette phase, AGOV devient l’identité recommandée pour les nouveaux utilisateurs des applications eIAM intégrées dans le domaine eGOV. Toutefois, l’utilisateur peut toujours créer un nouveau compte CH-LOGIN. Nous l’informons que AGOV est le meilleur choix et l’encourageons à l’utiliser.
    
  • Les utilisateurs disposant déjà d’une identité CH-LOGIN peuvent continuer à l’utiliser ou choisir volontairement de la remplacer par une identité AGOV. Un accompagnement technique est proposé pour l'upgrade en toute sécurité de CH-LOGIN vers AGOV-Login. Tous les droits d’accès sont conservés lors de l'upgrade.
    
  • Les identités AGOV sont prises en charge dans eIAM jusqu’à QoA51 (y compris le numéro AVS vérifié). Le besoin en identités vérifiées est systématiquement couvert par AGOV, afin de permettre aux utilisateurs de bénéficier de leur identité vérifiée à tous les niveaux de l’administration.

• AGOV-Push
  (Dates non encore définies)
  • Dans cette phase, les personnes disposant d’un CH-LOGIN sont invitées à passer à AGOV. Il reste possible d’ignorer cette invitation et de continuer à utiliser CH-LOGIN.
    
  • Il n’est plus possible d’enregistrer de nouveaux comptes CH-LOGIN.
    
  • La date précise du passage à la phase AGOV-Push pourra probablement être déterminée pour chaque application dans un délai à définir.
  
  
• AGOV-Force
  (Dates non encore définies)
  • Dans cette phase, les utilisateurs CH-LOGIN sont obligés de migrer vers AGOV-Login.
    
  • Le CH-LOGIN ne peut plus être utilisé pour se connecter aux applications intégrées à eIAM. Il ne sert plus que de justificatif d’identité pour effectuer l'upgrade vers AGOV-Login.
  
  
• AGOV-Only
  (Objectif à partir de 2028)
  • Dans cette phase, les utilisateurs CH-LOGIN sont obligés de migrer vers AGOV-Login.
    
  • Le CH-LOGIN ne peut plus être utilisé pour se connecter aux applications intégrées à eIAM. Il ne sert plus que de justificatif d’identité pour effectuer l'upgrade vers AGOV-Login.

L’AGOV-Login est disponible pour les applications de l’administration fédérale comme partie intégrante de CH-LOGIN dans le cadre du modèle BYOI (Bring Your Own Identity) depuis la phase AGOV-Allow, c’est-à-dire depuis le déploiement « Dufourspitze » du 11.02.2024.

La phase AGOV-Allow se termine avec le début de la phase AGOV-First, le 07.09.2025. À partir de cette phase, l’AGOV-Login devient une méthode de connexion indépendante. L’utilisateur ne l’utilise plus comme partie de son CH-LOGIN, mais décide consciemment de remplacer son CH-LOGIN par l’AGOV-Login. Il est informé sur AGOV en tant que login officiel des autorités suisses et encouragé à l’utiliser. Un assistant (Wizard) l’accompagne dans ce upgrade sécurisée. Les détails du déploiement figurent dans la planification des releases et les notes de version.

Dans un premier temps, les utilisateurs passent volontairement à AGOV, puis cela devient obligatoire dans une seconde phase. Les dates exactes de ces phases ne sont pas encore définies (voir la première question ci-dessus). Exception : les utilisateurs nécessitant des identités vérifiées (niveau QoA supérieur à QoA30). Ces identités vérifiées sont exclusivement proposées via AGOV dans eIAM à partir de la phase AGOV-First, afin de garantir leur utilisation au-delà de l’administration fédérale, dans l’ensemble des niveaux administratifs suisses.

Le service eIAM informe de manière proactive les utilisateurs, pendant la phase AGOV-First, directement lors de la connexion, à propos de l’offre AGOV comme nouveau login officiel des autorités suisses. Pour les utilisateurs accédant à des applications spécialisées intégrées à eIAM avec un AGOV-Login, un assistant nommé "CH2A-Wizard" a été développé. Il accompagne l’utilisateur dans la transition simple et sécurisée de CH-LOGIN vers AGOV-Login. Dans les phases suivantes de CH2A, la communication avec les utilisateurs s’élargit également en dehors de l’utilisation active d’eIAM. Des messages sont envoyés par e-mail afin d’atteindre aussi les utilisateurs qui utilisent rarement leur CH-LOGIN.

Si vos utilisateurs peuvent déjà utiliser des identités CH-LOGIN pour se connecter à votre application, ils peuvent automatiquement utiliser les identifiants AGOV avec CH2A.

Les unités administratives de la Confédération ne connectent pas leurs applications directement à AGOV selon le modèle de marché. Elles utilisent toujours AGOV via eIAM, conformément au processus Intégration de nouvelles applications. L’intégration à eIAM vous donne automatiquement accès à AGOV en tant que fournisseur d’identité.

D’autres règles et processus s’appliquent pour les cantons et leurs communes. Les détails concernant cette procédure de raccordement sont disponibles via le lien suivant : (Groupe d’utilisateurs fermé)

AGOV peut être utilisé dans le monde entier. Toutefois, dans les pays où le trafic Internet est fortement filtré ou réglementé, l’accès complet peut être restreint.

Vous pouvez à tout moment enregistrer un AGOV-Login via le site AGOV ou vous connecter avec un AGOV-Login existant sur « AGOV me » pour consulter et modifier vos données personnelles si nécessaire.

La future e-ID officielle suisse est une identité électronique qui pourra être utilisée avec AGOV, d’une part comme facteur d’authentification, et d’autre part pour la vérification des données personnelles dans AGOV.

Le principe de l’introduction d’AGOV-First dans eIAM est que les applications cibles utilisant CH-LOGIN continuent de fonctionner sans adaptation – même si les utilisateurs/-trices passent de CH-LOGIN à AGOV-Login. Lors des tests dans l’environnement de RÉFÉRENCE eIAM, l’équipe eIAM de l’Office fédéral de l’informatique et de la télécommunication (OFIT), en collaboration avec les responsables d’applications, a constaté que ce principe ne devait pas être imposé de manière anticipée dans tous les cas.

C’est pourquoi l’OFIT a demandé à la Chancellerie fédérale DTI d’assouplir légèrement ce principe pour les intégrations dites "legacy". La BK DTI a accédé à cette demande, car cela favorise la standardisation et permet de réduire les coûts pour l’administration fédérale. Cela signifie que, dans de rares cas, les applications legacy peuvent avoir des difficultés à reconnaître un utilisateur qui a changé son CH-LOGIN pour un AGOV-Login.

eIAM a prévu des mesures pour de tels cas :
Sur la base d’un retour d’information, une adaptation de la configuration eIAM peut être effectuée immédiatement et sans frais pour chaque application concernée, afin de rétablir la compatibilité ascendante.

Nous vous demandons donc de tester votre application dans l’environnement de référence eIAM avec AGOV.

Cette décision permet de maintenir le principe sans introduire d’exceptions globales, mais uniquement pour certaines intégrations legacy spécifiques.

Dans le cadre d’AGOV-First, les applications doivent être testées spécifiquement pour le cas d’usage "l’utilisateur passe de CH-LOGIN à AGOV-Login". Voir aussi la rubrique "Tests".

Il est très important d’identifier ces situations déjà dans l’environnement de RÉFÉRENCE. Cela permet d’éviter ensemble des problèmes lors du déploiement ultérieur dans l’environnement de RECETTE (13.08.2025) et en PRODUCTION (07.09.2025).

En principe, la compatibilité descendante est garantie.

Cependant, certaines adaptations ont été nécessaires au niveau des Claims en raison de l’ajustement de l’intégration technique entre AGOV et les autres fournisseurs d’identité BYOI (Switch eduID, #edaLogin, GenèveID, ZUGLOGIN et eZug) en tant que fournisseurs d’identité autonomes. Tous les fournisseurs d’identité ne sont plus intégrés indirectement via CH-LOGIN, mais directement. Il n’y a donc plus de liaison avec un compte CH-LOGIN, ce qui entraîne la suppression des Claims spécifiques à CH-LOGIN. Les Claims spécifiques aux fournisseurs d’identité contiennent désormais la valeur correcte. Veuillez consulter la liste ci-dessous pour les modifications détaillées apportées aux Claims concernés :
Compatibilité descendante des Claims livrés avec AGOV-First

Ces changements peuvent entraîner des problèmes pour certaines applications avec une intégration héritée, notamment lorsqu’un utilisateur passe de CH-LOGIN à un login AGOV.
Nous recommandons vivement de planifier des tests approfondis des cas d’utilisation pour « AGOV-First ».

Veuillez saisir l’opportunité de détecter les problèmes potentiels dans les environnements de RÉFÉRENCE et ACCEPTATION avec des tests CH2A spécifiques, afin d’éviter que ceux-ci ne soient découverts seulement après la mise en production.

En principe, eIAM fournit aux applications un identifiant stable dans le token, même lorsque les utilisateurs/-trices passent de CH-LOGIN à AGOV-Login.

Le principe de l’introduction d’AGOV-First dans eIAM est que les applications cibles utilisant CH-LOGIN continuent de fonctionner sans adaptation – même si les utilisateurs/-trices passent de CH-LOGIN à AGOV-Login. Lors des tests dans l’environnement de RÉFÉRENCE eIAM, l’équipe eIAM de l’OFIT, en collaboration avec les responsables d’applications, a constaté que ce principe ne devait pas être imposé de manière anticipée dans tous les cas.

C’est pourquoi l’OFIT a demandé à la Chancellerie fédérale DTI d’assouplir légèrement ce principe pour les intégrations dites "legacy". La ChF TNI a accédé à cette demande, car cela favorise la standardisation et permet de réduire les coûts pour l’administration fédérale. Cela signifie que, dans de rares cas, les applications legacy peuvent avoir des difficultés à reconnaître un utilisateur qui a changé son CH-LOGIN pour un AGOV-Login.

eIAM a prévu des mesures pour de tels cas :
Sur la base d’un retour d’information, une adaptation de la configuration eIAM peut être effectuée immédiatement et sans frais pour chaque application concernée, afin de rétablir la compatibilité ascendante.

Nous vous demandons donc de tester votre application dans l’environnement de référence eIAM avec AGOV.

Cette décision permet de maintenir le principe sans introduire d’exceptions globales, mais uniquement pour certaines intégrations legacy spécifiques.

Dans le cadre d’AGOV-First, les applications doivent être testées spécifiquement pour le cas d’usage "l’utilisateur passe de CH-LOGIN à AGOV-Login". Voir aussi la rubrique "Tests".

Il est très important d’identifier ces situations déjà dans l’environnement de RÉFÉRENCE. Cela permet d’éviter ensemble des problèmes lors du déploiement ultérieur dans l’environnement de RECETTE (13.08.2025) et en PRODUCTION (07.09.2025).

Veuillez signaler les problèmes de compatibilité ascendante de votre application à eIAM via le formulaire de feedback.

Vous serez immédiatement contacté par eIAM.

AGOV propose des identités allant de QoA30 à QoA51 (selon la taxonomie eIAM), sachant que l’authentification elle-même se fait toujours au niveau « élevé ». Les différentes QoA résultent des méthodes de vérification des données personnelles. Le système eIAM applique une échelle QoA, tandis qu’AGOV utilise sa propre échelle AGOVaq ; leur correspondance peut être consultée à ce lien interne : .

Oui, cela est tout à fait possible. Dans le contexte eIAM, AGOV propose une vérification d’identité via un processus de vidéo-identification. Cette vérification est déclenchée si l’application cible l’exige, ou en amont dans le cadre d’un processus d’onboarding. Les unités administratives décident, dans le cadre de ces processus, si l’utilisateur final paie la vidéo-identification en ligne ou s’il reçoit un code de bon (voucher) de leur part. Les détails sur la commande de vouchers pour les unités administratives se trouvent ici : Commande de bons

Important : Les CH-LOGINs déjà vérifiés, soit par identification vidéo via CH-LOGIN (nHEC+), soit par le processus de distribution des jetons VASCO, conservent leur statut de vérification jusqu’à la fin de la phase AGOV-Force (fin de vie du CH-LOGIN). Cela reste valable même s’ils utilisent un AGOV-Login non vérifié. Ce n’est qu’à partir de ce moment qu’une nouvelle vérification dans AGOV devient nécessaire.

Avec AGOV-First, les identités vérifiées/clarifiées dans eIAM au niveau (QoA40 ou supérieur) ne sont plus proposées que via AGOV. Il n'est plus possible de faire vérifier les CH-LOGIN.

Scénario 1 : L'utilisateur accède à une application avec une exigence QoA supérieure à QoA30. L'utilisateur se connecte avec un AGOV-Login non vérifié. eIAM détecte que l'exigence QoA n'est pas remplie. eIAM informe l'utilisateur qu'il a besoin d'un AGOV-Login de qualité supérieure et lui propose une page d'aide sur laquelle il trouvera toutes les informations nécessaires pour améliorer la qualité de son AGOV-Login.

Scénario 2 : L'utilisateur accède à une application avec une exigence QoA supérieure à QoA30. L'utilisateur se connecte avec un CH-LOGIN qui ne répond pas à l'exigence de qualité d'identité requise. CH-LOGIN détecte que l'exigence QoA n'est pas remplie. CH-LOGIN informe l'utilisateur qu'il a besoin d'un AGOV-Login de qualité supérieure et lui propose une page d'aide où il trouvera toutes les informations nécessaires pour enregistrer et vérifier un AGOV-Login répondant à la qualité requise.

Scénario 3 : L'utilisateur accède à une application avec une exigence QoA supérieure à QoA30. L'utilisateur tente d'enregistrer un CH-LOGIN. CH-LOGIN informe l'utilisateur que seules les identités nouvelles et vérifiées sont prises en charge avec AGOV-Login. CH-LOGIN informe l'utilisateur qu'il a besoin d'un AGOV-Login de qualité supérieure et lui propose une page d'aide sur laquelle il trouvera toutes les informations nécessaires pour enregistrer et vérifier un AGOV-Login avec le niveau de qualité requis.

Scénario 4 : Le service informe l'utilisateur directement dans le cadre du processus d'intégration qu'il a besoin d'une connexion AGOV-Login vérifiée pour accéder à l'application. Le service fournit à l'utilisateur les informations nécessaires dans le cadre du processus d'intégration. Ces informations comprennent l'URL de la page d'aide et, le cas échéant, un code promotionnel (voucher-code) pour effectuer l'identification vidéo dans AGOV aux frais de l'organisation.

Page d'aide pour la vérification au niveau QoA50 (identité vérifiée)
Page d'aide pour la vérification au niveau QoA51 (identité vérifiée, y compris numéro AVS vérifié)

Dans le cadre de l'eIAM, l'AGOV propose l'identification vidéo. L'identification est payante et doit être réglée par l'utilisateur avant le début du processus d'identification. Outre d'autres moyens de paiement en ligne, les bons d'achat pouvant être obtenus auprès de l'unité administrative et remis à l'utilisateur par celle-ci sont également acceptés. Vous trouverez ici les détails concernant la commande de bons d'achat pour les unités administratives : Commande de bons

AGOV utilise le LVI à titre expérimental avec quelques cantons. Après évaluation des résultats, la Chancellerie fédérale examinera les domaines d'application du LVI.

Outre d'autres moyens de paiement en ligne, les bons d'achat pouvant être obtenus auprès de l'unité administrative et remis à l'utilisateur par celle-ci sont également acceptés. Vous trouverez ici les détails concernant la commande de bons d'achat pour les unités administratives : Commande de bons

Non. Il n'est pas possible pour un utilisateur de ramener une AGOV-Login déjà vérifiée (QoA50/QoA51) à « non vérifiée » (QoA30) dans le libre-service. Par exemple pour des tests. Si des données telles que le prénom, le nom, la date de naissance sont modifiées lors d'un AGOV-Login vérifiée, cela entraîne automatiquement une nouvelle vérification d'identité afin que les nouvelles données soient prises en compte. Les données modifiées ne sont reprises que si la vérification d'identité avec les nouvelles données modifiées a été effectuée avec succès. Si vous testez des cas de test avec une identité vérifiée et non vérifiée, le cas de test doit être structuré de manière à utiliser deux identités différentes. Une identité avec un AGOV-Login vérifiée et une identité avec une AGOV-Login non vérifiée avec le même profil utilisateur dans l'application.

Les CH-LOGIN déjà vérifiés via l'identification vidéo CH-LOGIN (nHEC+) ou le processus de livraison du token VASCO conservent leur statut de vérification jusqu'à la fin de la phase AGOV-Force (fin de vie du CH-LOGIN). Même si les utilisateurs utilisent un identifiant AGOV non vérifié. Ce n'est qu'à ce moment-là qu'une nouvelle vérification dans AGOV est nécessaire.

Si l'utilisateur de CH-LOGIN avec jeton VASCO passe à la connexion AGOV-Login, son CH-LOGIN et donc son jeton VASCO ne sont plus nécessaires pour CH-LOGIN. eIAM informe automatiquement l'organisation chargée de la gestion des jetons VASCO que ce jeton VASCO n'est plus utilisé dans le contexte de eIAM CH-LOGIN. Si le jeton VASCO était utilisé exclusivement dans le contexte CH-LOGIN, aucune facturation récurrente n'est automatiquement effectuée pour ce jeton VASCO. Si le jeton VASCO est utilisé dans d'autres contextes (par exemple Admin-VDI) en plus de CH-LOGIN, la facturation de ce jeton se poursuit pour cette utilisation.

La perte ou la défaillance du jeton VASCO n'implique pas que l'utilisateur doive passer de CH-LOGIN à AGOV-Login. L'utilisateur signale le problème avec son jeton VASCO comme auparavant via son organisation d'assistance. Le jeton VASCO est ensuite remplacé en dehors de CH-LOGIN et eIAM. Le nouvel utilisateur peut utiliser le jeton VASCO sans devoir modifier quoi que ce soit dans eIAM (CH-LOGIN).

AGOV-First est une version majeure dans eIAM et introduit de nombreuses nouvelles fonctionnalités. Vous trouverez les détails dans les notes de version ainsi que dans le portail client. Il est donc recommandé d’effectuer des tests intensifs avec vos applications métiers durant la phase prolongée de la RÉFÉRENCE, entre le déploiement de la version « Lenzspitze » (13.05.2025) et le staging ultérieur de la version « Liskamm » pour l’ABN (13.08.2025). Ceci afin de garantir que vos applications fonctionnent correctement avec toutes les méthodes de connexion et lors de l'upgrade des utilisateurs de CH-LOGIN vers AGOV-Login.

Oui, AGOV-First comprend également la refonte complète et la standardisation de la sélection des méthodes de connexion, ainsi que d’autres fonctionnalités telles que le provisionnement « just-in-time » via le Trustbroker fédéral (BTB). Ces changements concernent également les applications qui n’utilisent pas directement l’AGOV-Login. Il est donc important que même ces applications testent leurs connexions, par exemple avec des identités de communautés spécialisées (OFROU, OFEV, OFDF ou OFC).

Nous vous recommandons de réaliser les cas de test suivants le plus tôt possible, afin d’identifier et corriger d’éventuels problèmes. Cela garantit un déploiement d’AGOV-First en ABN et PROD sans impact pour les utilisateurs finaux de vos applications métiers.

Important : N’oubliez pas de désactiver l’autoconnection depuis le réseau fédéral en accédant à la page des cookies

1. Cas de test : Connexion à votre application via tous les fournisseurs d’identité actuellement utilisés par votre application, avec un utilisateur de test correspondant (test de régression).
   
   • CH-LOGIN
     
   • FED-LOGIN
     
   • Fournisseurs BYOI (ex. #edaLogin, Switch edu-ID, ZUGLOGIN, eZug, GenèveID)
     
   • Fournisseurs sectoriels (ex. V-Login, HIN, PTI, etc.)
     
   • Connexion communauté spécialisée (OFROU, OFEV, OFDF ou OFC)
     
   • Comportement attendu : l'utilisateur est toujours reconnu dans l'application métier comme l'utilisateur déjà connu (ID, rôles, données, documents inchangés) avant l'introduction de la version.
   
   
2. Cas de test : Utilisateur existant utilise encore son CH-LOGIN
   
   • L’utilisateur a déjà utilisé l’application avec une identité CH-LOGIN.
     
   • Il accède à l’application.
     
   • Il utilise la fonction de connexion de l’application (si interactive).
     
   • Il sélectionne CH-LOGIN.
     
   • Connexion via CH-LOGIN.
     
   • Comportement attendu : l'utilisateur est toujours reconnu dans l'application métier comme l'utilisateur déjà connu (ID, rôles, données, documents inchangés) avant l'introduction de la version.
   
   
3. Cas de test : Utilisateur existant utilise son AGOV-Login pour la première fois dans eIAM – Adresse e-mail identique
   
   • L’utilisateur a déjà utilisé l’application avec une identité CH-LOGIN.
     
   • Il accède à l’application.
     
   • Il utilise la fonction de connexion (si interactive).
     
   • Il sélectionne AGOV.
     
   • Il s’authentifie avec un AGOV-Login ayant la même adresse e-mail que son CH-LOGIN, ou il enregistre un nouvel AGOV-Login avec cette adresse.
     
   • L’utilisateur est guidé par l’assistant CH2A tout au long du processus de l'upgrade.
     
   • Il est détecté qu’un CH-LOGIN existe avec la même adresse e-mail que l’AGOV-Login.
     
   • L’utilisateur est invité à migrer vers AGOV-Login, avec saisie du mot de passe CH-LOGIN (et second facteur si requis).
     
   • En cas de saisie correcte, l'upgrade est effectuée.
     
   • Comportement attendu : l'utilisateur est toujours reconnu dans l'application métier comme l'utilisateur déjà connu (ID, rôles, données, documents inchangés) avant l'introduction de la version.
   
   
4. Cas de test : Utilisateur existant utilise son AGOV-Login pour la première fois dans eIAM – Adresse e-mail différente
   
   • L’utilisateur a déjà utilisé l’application avec une identité CH-LOGIN.
     
   • Il accède à l’application.
     
   • Il utilise la fonction de connexion (si interactive).
     
   • Il sélectionne AGOV.
     
   • Il s’authentifie avec un AGOV-Login avec une adresse différente, ou enregistre un AGOV-Login non encore utilisé dans eIAM.
     
   • Il est guidé par l’assistant CH2A.
     
   • Il est constaté qu’aucun CH-LOGIN avec la même adresse e-mail n’existe. Il est demandé à l’utilisateur s’il possède un CH-LOGIN avec une autre adresse.
     
   • L’utilisateur confirme posséder un CH-LOGIN.
     
   • Il saisit l’adresse e-mail, le mot de passe (et second facteur si nécessaire).
     
   • Après saisie correcte, l'upgrade est effectuée.
     
   • Comportement attendu : l'utilisateur est toujours reconnu dans l'application métier comme l'utilisateur déjà connu (ID, rôles, données, documents inchangés) avant l'introduction de la version.
   
   
5. Cas de test : Nouvel utilisateur utilise un AGOV-Login pour la première fois dans eIAM
   
   • L’utilisateur n’a jamais utilisé l’application ni eIAM auparavant (même pas avec CH-LOGIN).
     
   • Il accède à l’application.
     
   • Il utilise la fonction de connexion (si interactive).
     
   • Il sélectionne AGOV.
     
   • Il s’authentifie avec un AGOV-Login ou enregistre un nouvel AGOV-Login.
     
   • Il est guidé par l’assistant CH2A.
     
   • Il est constaté qu’aucun CH-LOGIN avec la même adresse n’existe.
     
   • L’utilisateur est invité à indiquer s’il en possède un avec une autre adresse.
     
   • L’utilisateur confirme qu’il n’en possède aucun.
     
   • Un nouveau compte eIAM est créé pour lui.
     
   • Comportement attendu : l'intégration du nouvel utilisateur dans l'application métier (et dans eIAM, si la gestion des accès est assurée par eIAM) fonctionne comme vous l'avez spécifié pour l'application métier.

Oui. Les deux cas de test "Cas de test 3" et "Cas de test 4" doivent être testés particulièrement attentivement avec votre application. Les tests et les retours d’expérience des responsables d’applications ont montré que certaines applications utilisent des identifiants techniques incorrects pour le mappage de l’identité de l’utilisateur entre eIAM et l’application. Cela conduit, dans de rares cas, à ce qu’un utilisateur ne soit plus reconnu correctement dans l’application après le passage de CH-LOGIN à AGOV-Login. La manière de détecter si l’utilisateur est toujours le même avant et après le changement de CH-LOGIN à AGOV-Login dépend de chaque application. Les rôles d'autorisation provenant de l'eIAM ne sont pas l'élément déterminant dans ce cas. Bien que l'utilisateur reste le même dans l'eIAM avec les mêmes autorisations, il n'est plus reconnu comme tel dans l'application.

Dans de tels cas, l’utilisateur ne voit par exemple plus les données qu’il avait saisies en tant qu’utilisateur CH-LOGIN après son passage à AGOV-Login. Ou bien il ne voit plus les documents qu’il avait téléchargés avec son CH-LOGIN.

Veuillez signaler les irrégularités ou erreurs constatées lors de vos tests via le formulaire de feedback.

Vous serez immédiatement contacté par l’équipe eIAM.

Une application AGOV access sur un appareil mobile permet d'enregistrer jusqu'à 10 AGOV-Logins différents. Si vous avez besoin de plus de 10 AGOV-Logins, par exemple pour tester différents cas d'utilisation dans votre application avec plusieurs identités différentes, nous vous recommandons d'utiliser des clés de sécurité (FIDO2). Selon le matériel, une seule clé de sécurité peut être utilisée pour plusieurs centaines d'AGOV-Logins. Il est également possible d'enregistrer plusieurs clés de sécurité pour un AGOV-Logins. Par exemple, lorsque plusieurs personnes doivent effectuer des tests avec les mêmes AGOV-Logins.

AGOV met à disposition un environnement productif unique pour toutes les environnements des applications de la Confédération, des cantons et des communes. Cela signifie qu’un identifiant AGOV est enregistré dans l’environnement productif d’AGOV et administré par son propriétaire, indépendamment du fait que cet identifiant AGOV soit utilisé dans l’environnement de PRODUCTION, d’ACCEPTATION ou de RÉFÉRENCE d’eIAM.

Cela dépend du niveau de qualité d’authentification requis (QoA) pour le cas de test.

• Si le cas de test permet l’utilisation d’identités non vérifiées, un AGOV-Login peut être enregistré dans AGOV. Jusqu’à 10 Access App peuvent être enregistrées sur cet AGOV-Login sur différents smartphones. Il est également possible d’enregistrer plusieurs clés de sécurité pour le même AGOV-Login.
  
• Si le cas de test exige l’utilisation d’identités vérifiées, seules des identités personnelles, non transférables et vérifiées peuvent être utilisées. D’un point de vue technique, il reste possible de transmettre cette identité personnelle à d’autres personnes. Cela est toutefois fortement déconseillé. Le propriétaire de cette identité personnelle vérifiée est responsable et juridiquement redevable de son utilisation.

Oui. Avec AGOV-First, la fonction « Home Realm Discovery » (HRD), c'est-à-dire la sélection du fournisseur d'identité avec lequel l'utilisateur souhaite s'authentifier, sera modifiée. Les automatisations de test et la surveillance E2E qui incluent une authentification avec eIAM doivent être adaptées.

Non. AGOV prend en charge les moyens d'identification « AGOV access App » et les clés de sécurité physiques (FIDO2). Ces deux types de moyens d'identification ne sont pas adaptés aux tests E2E automatisés ni à la surveillance automatisée. Veuillez continuer à utiliser les identités CH-LOGIN. La question de la surveillance et des tests E2E automatisés dans eIAM est en cours de traitement.

Il est toujours possible de commander des identités CH-LOGIN en tant qu’« Managed Techuser » pour de telles tâches auprès d’eIAM. Il s’agit d’identités CH-LOGIN avec mot de passe et, si nécessaire (QoA > 20), avec mTAN fixe. Dans les environnements d’exploitation REF et ABN, ces « Managed Techuser » sont disponibles jusqu’au niveau QoA50.

Oui. Si vous fournissez une documentation aux utilisateurs finaux concernant les sujets suivants, celle-ci doit être adaptée :

• Enregistrement de nouvelles identités CH-LOGIN
  
• Connexion avec des identités CH-LOGIN
  
• Récupération des identités CH-LOGIN (p. ex. réinitialisation du mot de passe)
  
• Passage de CH-LOGIN và AGOV-Login
  
• Vérification/clarification des identités (niveau de qualité accru – QoA)

Les applications métier ne doivent pas créer de guides étape par étape décrivant les processus eIAM. En effet, l’expérience montre que ces guides ne sont pas régulièrement mis à jour et deviennent donc incorrects lorsque eIAM évolue. Des guides obsolètes ne remplissent pas leur fonction et n’aident pas les utilisateurs/-trices. Le service eIAM fournit une aide centralisée pour les utilisateurs/-trices qui ont besoin de soutien, par exemple pour l’enregistrement ou la récupération de leur login.

Veuillez orienter les utilisateurs/-trices vers le portail central d’aide eIAM pour toutes les informations concernant eIAM, CH-LOGIN, FED-LOGIN et AGOV :

Le déploiement d’AGOV-First est prévu pour le dimanche 7 septembre 2025. À cette date, vous devez également publier les guides mis à jour de votre application métier.

Avec AGOV-First, la sélection des méthodes de connexion a été remaniée et optimisée. Dans le cadre de cette refonte, la connexion avec FED-LOGIN devient la méthode par défaut et est donc sélectionnée automatiquement à partir des réseaux de l'administration fédérale. Cela offre aux utilisateurs des réseaux de l'administration fédérale une expérience optimale lors de la connexion aux applications intégrées à eIAM, car celle-ci s'effectue en arrière-plan sans aucune interaction avec l'utilisateur final. Les personnes qui souhaitent utiliser d'autres méthodes de connexion que FED-LOGIN à partir des réseaux de l'administration fédérale (par exemple à des fins de test) doivent utiliser la fonction « Autologon Cookie » d'eIAM. Celle-ci permet de sélectionner d'autres méthodes de connexion. Vous trouverez des informations sur la fonction « Autologon » ici : Testing sans Autologon

Avec AGOV-First, la sélection des méthodes de connexion a été remaniée et optimisée. Dans le cadre de cette refonte, la connexion avec FED-LOGIN devient la méthode par défaut et est donc sélectionnée automatiquement à partir des réseaux de l'administration fédérale. Cela offre aux utilisateurs des réseaux de l'administration fédérale une expérience optimale lors de la connexion aux applications intégrées à eIAM, car celle-ci s'effectue en arrière-plan sans aucune interaction avec l'utilisateur final. Les personnes qui souhaitent utiliser d'autres méthodes de connexion que FED-LOGIN à partir des réseaux de l'administration fédérale (par exemple à des fins de test) doivent utiliser la fonction « Autologon Cookie » d'eIAM. Celle-ci permet de sélectionner d'autres méthodes de connexion. Vous trouverez des informations sur la fonction « Autologon » ici : Testing sans Autologon

Pendant la phase AGOV-Allow, les utilisateurs finaux peuvent utiliser la connexion AGOV sur une base volontaire. Même s'ils disposent déjà d'un CH-LOGIN. Pour les applications cibles, il importe peu que l'utilisateur continue d'utiliser le CH-LOGIN ou son AGOV-Login.

Au cours de la phase AGOV-First (voir les dates ci-dessus dans les explications relatives à la feuille de route), l'utilisateur peut créer son AGOV-Login comme identifiant indépendant, distinct du CH-LOGIN. Il sera guidé et assisté par un assistant lors de la mise à niveau sécurisée de son CH-LOGIN vers AGOV-Login. Si l'utilisateur souhaite continuer à utiliser son CH-LOGIN, il n'est pas nécessaire de passer à AGOV-Login pendant cette phase. Cela ne se fera que dans les phases ultérieures de CH2A.

Techniquement, l’assistant CH2A est un composant d’aide entre AGOV et eIAM. Il surveille tous les logins via AGOV et s’active dès qu’il détecte qu’un AGOV-Login est utilisé mais n’est pas encore connu dans eIAM comme identité d’authentification propre. Grâce à ses processus, l’assistant CH2A permet à l’utilisateur une transition simple et sécurisée de CH-LOGIN vers AGOV-Login, tout en conservant ses droits et données dans eIAM et les applications métier intégrées à eIAM.

• Si l’utilisateur accède à une application web intégrée à eIAM de l’administration fédérale nécessitant une connexion, il choisit "AGOV" et non "CH-LOGIN".
  
• L’utilisateur se connecte à AGOV avec un AGOV-Login existant ou en crée un nouveau.
  
• Après une connexion ou un enregistrement réussi dans AGOV, l’assistant CH2A le guide automatiquement à travers le processus de transition. Plusieurs cas de figure sont possibles.
  
  • a) L’utilisateur a déjà utilisé son AGOV-Login pendant la phase AGOV-First avec l’administration fédérale.
    
    • L’assistant CH2A reconnaît cet AGOV-Login et détermine qu’aucune transition de CH-LOGIN vers AGOV-Login n’est nécessaire. L’utilisateur est redirigé directement vers l’application.
  • b) L’utilisateur utilise son AGOV-Login pour la première fois auprès de l’administration fédérale. Il a enregistré son AGOV-Login avec la même adresse e-mail que son
    CH-LOGIN.
    
    • L’assistant CH2A détecte via l’adresse e-mail transmise par AGOV qu’un
      CH-LOGIN avec la même adresse e-mail existe.
      
    • L’utilisateur est invité à se connecter une dernière fois avec son CH-LOGIN afin de prouver qu’il en est bien le propriétaire légitime.
      
    • Après une connexion réussie avec CH-LOGIN, le compte eIAM est relié à
      l’AGOV-Login.
      
    • L’utilisateur est informé que son CH-LOGIN a été supprimé, qu’il ne peut plus l’utiliser, et qu’il doit désormais se connecter avec AGOV.
      
    • Désormais, l’utilisateur peut se connecter de manière sûre et simple avec son AGOV-Login. Tous ses droits ont été transférés.
  • c) L’utilisateur a déjà utilisé son AGOV-Login dans le cadre de AGOV-Allow avec l’administration fédérale. Il l’a utilisé comme identité "BYOI" avec CH-LOGIN.
    
    • Dans ce cas, l’AGOV-Login est déjà lié au CH-LOGIN de l’utilisateur.
      
    • L’utilisateur est informé que son CH-LOGIN a été supprimé, qu’il ne peut plus l’utiliser, et qu’il doit désormais se connecter avec AGOV.
      
    • Désormais, l’utilisateur peut se connecter de manière sûre et simple avec son AGOV-Login. Tous ses droits ont été transférés.
  • d) L’utilisateur utilise son AGOV-Login pour la première fois avec l’administration fédérale. Il l’a enregistré avec une autre adresse e-mail que celle de son CH-LOGIN.
    
    • L’assistant CH2A détecte via l’adresse e-mail transmise par AGOV qu’aucun
      CH-LOGIN avec cette adresse e-mail n’existe.
      
    • L’utilisateur est invité à confirmer s’il dispose d’un CH-LOGIN enregistré avec une autre adresse e-mail et souhaite le remplacer par son AGOV-Login.
      
    • S’il confirme, il doit se connecter avec ce CH-LOGIN afin de prouver qu’il en est le propriétaire légitime.
      
    • Après une connexion réussie avec CH-LOGIN, le compte eIAM est relié à
      l’AGOV-Login.
      
    • L’utilisateur est informé que son CH-LOGIN a été supprimé, qu’il ne peut plus l’utiliser, et qu’il doit désormais se connecter avec AGOV.
      
    • Désormais, l’utilisateur peut se connecter de manière sûre et simple avec son AGOV-Login. Tous ses droits ont été transférés.
  • e) L’utilisateur utilise son AGOV-Login pour la première fois avec l’administration fédérale. Il ne dispose pas de CH-LOGIN.
    
    • L’assistant CH2A détecte via l’adresse e-mail transmise par AGOV qu’aucun
      CH-LOGIN avec cette adresse e-mail n’existe.
      
    • L’utilisateur est invité à confirmer s’il dispose d’un CH-LOGIN avec une autre adresse e-mail et souhaite le remplacer par son AGOV-Login.
      
    • L’utilisateur indique qu’il ne dispose d’aucun CH-LOGIN à associer à cet
      AGOV-Login.
      
    • Par mesure de sécurité, il doit confirmer qu’il ne souhaite pas associer de
      CH-LOGIN. Il est averti qu’un lien ultérieur ne sera plus possible.
      
    • Désormais, l’utilisateur peut se connecter de manière sûre et simple avec son AGOV-Login. Aucun droit n’a été transféré car il n’avait pas encore utilisé de services fédéraux avec CH-LOGIN.
  
  Remarque : un guide détaillé étape par étape avec captures d’écran sera fourni ultérieurement.
  

Les personnes physiques agissent au nom des personnes morales et se connectent donc via leur AGOV-Login. AGOV ne connaît que la personne physique et non son affiliation à une personne morale. Cette affiliation doit être indiquée dans l'application cible.

Les utilisateurs d'AGOV disposent de différentes pages d'aide sous agov.ch/help, où ils trouveront, outre le statut actuel d'AGOV, des articles d'aide sur les thèmes de l'inscription, de la vérification d'identité, de la connexion AGOV et de l'auto-administration du compte AGOV. Des conseils et astuces sont également disponibles sous forme de vidéos explicatives AGOV.

En complément de cette aide spécifique à AGOV, une page d'aide Hilfeseite a été mise à la disposition des utilisateurs du projet CH2A pour les aider à passer de CH-LOGIN à AGOV-Login.