AGOV-First (uniquement en REF)

Veuillez noter que les modifications dans le cadre d'« AGOV-First » seront déployées avec la version « Lenzspitze » uniquement dans l'environnement REF d'eIAM et non pas dans l'environnement ABN et PROD. Dans l'environnement ABN et PROD d'eIAM, le déploiement d'« AGOV-First » n'aura lieu qu'avec la prochaine version « Liskamm ». Cette procédure a été choisie en concertation avec nos clients, afin de vous donner, en tant que clients d'eIAM, suffisamment de temps pour vous familiariser avec les modifications apportées dans le cadre d'AGOV-First, pour tester AGOV-First de manière approfondie avec vos applications spécialisées et pour nous donner un feedback précoce. Avant que ces changements ne prennent effet dans la production avec la version « Liskamm » en septembre 2025.

Veuillez également consulter la rubrique spéciale « Testing » dans la FAQ pour CH2A. Elle contient des informations intéressantes et importantes sur le thème du testing dans le cadre de CH2A FAQs

AGOV est le login des autorités en Suisse. Il peut être utilisé au niveau fédéral, cantonal et communal. Grâce à une nouvelle technologie, AGOV ne nécessite plus de nom d'utilisateur ni de mot de passe. Pour les utilisateurs, c'est plus sûr et plus pratique qu'avec un mot de passe. AGOV est un service de la Confédération et est disponible depuis début 2024 dans les premières applications des autorités. AGOV peut également être utilisé dans eIAM depuis début 2024. Toutefois, avec des restrictions, il s'agit encore d'un complément « Bring Your Own ID (BYOI) » à un compte CH-LOGIN.

Le projet de remplacement du CH-LOGIN par AGOV (CH2A) aborde, avec la phase « AGOV-First », la prochaine étape visant à faire d'AGOV le login de choix des autorités dans l'administration fédérale également. Durant la phase « AGOV-First », l'utilisation des identités CH-LOGIN existantes reste possible. Le nouvel enregistrement d'identités CH-LOGIN reste également pris en charge. La seule exception concerne les nouvelles identités vérifiées (avec un niveau de qualité d'authentification élevé - QoA). Les identités eGOV vérifiées ne seront plus proposées que via AGOV. De sorte que l'utilisateur peut profiter du fait que son identité vérifiée payante peut être utilisée à tous les niveaux administratifs.

AGOV, le login des autorités en Suisse, doit être promu dans le cadre de la phase « AGOV-First ». Les utilisateurs doivent être informés sur AGOV et motivés à utiliser AGOV. Toutefois, sans exercer de pression sur les utilisateurs. Le passage sécurisé de CH-LOGIN à AGOV doit être rendu aussi simple que possible pour les utilisateurs disposant déjà d'un CH-LOGIN.

Vous trouverez les informations actuelles sur AGOV, CH2A et la phase actuelle AGOV-First avec la présentation et les démonstrations de cas d'utilisation de l'événement client du 11.04.2025 sur le tableau de bord eIAM .

Standardisation du choix de la méthode de connexion (Home Realm Discovery)

Dans le cadre d'AGOV-First, le choix de la méthode de connexion, c'est-à-dire le choix du fournisseur d'identité (HRD), a été revu et standardisé. Jusqu'à présent, deux possibilités différentes étaient proposées dans eIAM. D'une part, la vue dite « en tuiles », qui affichait tous les fournisseurs d'identité sous la forme de tuiles. D'autre part, la vue dite « CH-LOGIN First », qui permettait d'effectuer directement le login sur CH-LOGIN et d'utiliser d'autres fournisseurs d'identité comme alternatives. En outre, le choix de la méthode de connexion sur les petits écrans (smartphone) différait fortement de celui sur les grands écrans (ordinateur portable/de bureau). Par le passé, le comportement différent d'eIAM a toujours été source de confusion pour les utilisateurs. De plus, ce comportement n'est pas compatible avec l'approche « AGOV-First », dans laquelle AGOV doit être mis au premier plan en tant que login des autorités de Suisse pour les utilisateurs d'eGOV. C'est également la raison pour laquelle, dans le nouveau Home Realm Discovery, AGOV est toujours proposé comme fournisseur d'identité supérieur pour les applications qui soutiennent le contexte eGOV. Une boîte d'information informe l'utilisateur sur AGOV en tant que login des autorités suisses et le motive à utiliser AGOV.

Illustration Choix de la méthode de connexion
Vue sur ordinateur : Choix de la méthode de connexion


Vue mobile du choix de la méthode de connexion
Vue mobile : Choix de la méthode de connexion

Blocage transparent des méthodes de connexion non prises en charge

eIAM supporte différentes méthodes de connexion et différents fournisseurs d'identité. Ces fournisseurs d'identité mettent à disposition des identités de qualité variable. En règle générale, jusqu'à un niveau de QoA30. Pour de nombreuses applications de l'administration fédérale dans le contexte de l'eGOV, ce niveau est suffisant. Si une application exige une authentification de qualité supérieure, les fournisseurs d'identités dont les identités ne remplissent pas cette condition ne sont pas simplement masqués avec AGOV-First, mais restent affichés pour l'utilisateur. Ils seront toutefois marqués comme bloqués et visibles par l'utilisateur. L'utilisateur est informé de manière transparente de la raison pour laquelle son identité utilisée jusqu'à présent dans eIAM ne peut pas être utilisée et de la manière dont il doit procéder pour utiliser à l'avenir l'application à laquelle il veut accéder. L'expérience de l'utilisateur dans eIAM est ainsi améliorée pour les applications ayant des exigences accrues en matière de QoA.

Vous trouverez des informations sur les niveaux de QoA de l'eIAM ici :

Illustration avec le blocage des méthodes de connexion non prises en charge
Blocage des méthodes de connexion non prises en charge


Assistance aux utilisateurs lors de la mise à niveau de CH-LOGIN vers AGOV-Login (Upgrade-Wizard)

Un assistant a été développé dans eIAM afin de faciliter au maximum le passage sécurisé de CH-LOGIN à AGOV-Login pour les quelque 2,8 millions d'utilisateurs possédant déjà un CH-LOGIN. Lorsqu'un utilisateur accède pour la première fois à eIAM avec son login AGOV, le wizard détermine s'il existe dans eIAM un CH-LOGIN enregistré avec la même adresse e-mail que le login AGOV. Si un compte correspondant est trouvé, l'utilisateur est informé qu'il existe un CH-LOGIN correspondant avec la même adresse e-mail et il a la possibilité de remplacer le CH-LOGIN par son AGOV-Login. Pour cela, l'utilisateur doit prouver qu'il est le propriétaire légitime du CH-LOGIN en se connectant avec ses credentials enregistrés dans eIAM (mot de passe, si enregistré deuxième facteur). Si, lors de la connexion avec le login AGOV, aucun CH-LOGIN n'est trouvé dans eIAM avec l'adresse e-mail communiquée par AGOV, il est demandé à l'utilisateur s'il possède un CH-LOGIN enregistré avec une autre adresse e-mail et s'il souhaite le remplacer par son login AGOV ou s'il ne possède pas de CH-LOGIN du tout. Dans le cas où l'utilisateur souhaite utiliser un CH-LOGIN existant, il doit utiliser l'adresse e-mail de son CH-LOGIN, le mot de passe et, le cas échéant, le second facteur pour s'authentifier comme propriétaire légitime du CH-LOGIN.

Dans les deux cas, l'identité eIAM est reliée au login AGOV de l'utilisateur et son CH-LOGIN utilisé jusqu'à présent est archivé. L'utilisateur est informé que son CH-LOGIN a été supprimé et qu'il devra à l'avenir toujours utiliser AGOV pour se connecter. Tous les droits d'accès sont conservés lors de cette procédure.

Si l'utilisateur confirme qu'il ne possède pas de CH-LOGIN, une nouvelle identité eIAM est créée pour lui.

Assistance aux utilisateurs lors de la mise à niveau de CH-LOGIN vers AGOV et des récupérations

Bien entendu, nous nous attendons également, lors du passage des utilisateurs de CH-LOGIN à AGOV, à des situations dans lesquelles l'utilisateur ne peut plus utiliser ses facteurs de connexion CH-LOGIN (mot de passe / second facteur). Dans ces cas également, la sécurité doit bien entendu être la priorité. La fonction de récupération du mot de passe et des facteurs secondaires est proposée à l'utilisateur par l'assistant. Mais sous une forme optimisée et aussi conviviale que possible. Il est donc inutile de demander à l'utilisateur de saisir un nouveau mot de passe ou un nouveau deuxième facteur dans le Recovery, uniquement pour le passage de CH-LOGIN à AGOV, s'il n'a plus jamais besoin du mot de passe et du deuxième facteur par la suite. Dans les cas de recovery, les retours sur les facteurs de substitution définis (compte e-mail / questions de sécurité) sont utilisés pour authentifier le titulaire légitime du CH-LOGIN. On renonce toutefois systématiquement à saisir inutilement des facteurs de connexion qui ne sont plus nécessaires par la suite.

Soutien aux utilisateurs avec des identités CH-LOGIN vérifiées lors de la mise à niveau vers AGOV

Les utilisateurs avec des identités CH-LOGIN qui ont été vérifiées soit par le processus de vérification nHEC+ (avec identification vidéo), soit par le processus d'émission du jeton VASCO, conservent leur statut de clarification et donc la QoA de leur identité dans eIAM jusqu'à l'expiration de la validité de la clarification de l'identité (5 ans après l'exécution de l'identification vidéo ou la livraison du jeton VASCO), même lors de la mise à niveau de leur CH-LOGIN vers un login AGOV. Et ce, même s'ils effectuent la mise à niveau avec un login AGOV non vérifié. A partir du moment où l'utilisateur utilise son identité eIAM avec un login AGOV vérifié, AGOV indique le statut de clarification de l'identité.

CH-LOGIN - Assistance aux utilisateurs après la mise à jour de CH-LOGIN à AGOV-Login

Il faut s'attendre à ce que les utilisateurs oublient tout simplement qu'ils ont déjà effectué le passage de CH-LOGIN à AGOV dans le passé et qu'ils essaient ensuite en vain de se connecter avec leur ancien CH-LOGIN. L'utilisateur est informé par eIAM qu'il a déjà effectué la mise à niveau vers le login AGOV dans les cas suivants :
  • L'utilisateur tente de se connecter avec son ancien CH-LOGIN (identifié par l'adresse e-mail).
  • Utilisateur tente de récupérer le mot de passe de son ancien CH-LOGIN, car le login ne fonctionne pas.
  • L'utilisateur tente d'enregistrer un nouveau CH-LOGIN avec la même adresse e-mail que son ancien CH-LOGIN ou que son AGOV-Login déjà utilisé dans eIAM.
Dans ces cas, l'utilisateur est informé qu'il a déjà effectué la mise à niveau vers AGOV-Login et qu'il doit utiliser son AGOV-Login. Ces processus ont également été conçus de manière à ce qu'aucune information sur les comptes existants ou déjà mis à jour ne soit révélée à un attaquant potentiel.

CH-LOGIN - Assistance aux nouveaux utilisateurs dans le choix du fournisseur d'identité

Avec AGOV-First, après avoir sélectionné CH-LOGIN et choisi d'enregistrer un nouveau CH-LOGIN, l'utilisateur est informé sur AGOV et motivé à enregistrer un AGOV-Login plutôt qu'un CH-LOGIN. Les deux options sont toutefois proposées à l'utilisateur. Il peut choisir d'enregistrer un login AGOV ou un CH-LOGIN. Une exception à ce comportement est lorsque l'utilisateur a appelé une application qui exige une qualité d'authentification élevée (> QoA30). Dans ce cas, l'utilisateur est informé que les nouvelles identités vérifiées ne sont plus proposées qu'avec un login AGOV. Dans ce cas, l'utilisateur n'a que le choix d'enregistrer un login AGOV ou d'annuler l'enregistrement.

Illustration avec l'informations pour créer un identifiant AGOV au lieu d'un identifiant CH-LOGIN.
Informations pour créer un identifiant AGOV au lieu d'un identifiant CH-LOGIN.

CH-LOGIN - Fade-Out soutien jeton VASCO

Jusqu'à présent, CH-LOGIN permettait d'enregistrer des jetons VASCO émis par l'OFIT comme second facteur fort. Avec AGOV-First, il n'est plus possible d'enregistrer les jetons VASCO comme nouveaux moyens d'authentification pour les identités CH-LOGIN. Les CH-LOGIN avec des jetons VASCO déjà enregistrés continueront à fonctionner avec des jetons VASCO comme facteur secondaire.

Remarque : Veuillez noter qu'il s'agit explicitement du réenregistrement de jetons VASCO pour les identités CH-LOGIN. « L'OTP-Login » est une autre méthode de login. Elle n'est pas concernée par ce changement et ne doit pas être confondue avec le CH-LOGIN.

Illustration CH-LOGIN TUILE
CH-LOGIN TUILE
Illustration OTP-Login TUILE
OTP-Login TUILE

CH-LOGIN - Fade-out de l'assistance Vérification d'identité par vidéo

Jusqu'à présent, il était possible d'améliorer les identités CH-LOGIN avec des moyens de preuve d'identité de niveau « élevé » (Mobile ID / clé de sécurité FIDO2) en passant du niveau QoA30 au niveau QoA50 par un processus de vérification avec identification vidéo (VIPS). Avec AGOV-First, cette mise à niveau n'est plus proposée pour les identités CH-LOGIN. Les utilisateurs qui ont besoin d'une nouvelle identité vérifiée dans le contexte eGOV doivent créer un login AGOV, effectuer le processus d'identification dans AGOV et mettre à niveau leur CH-LOGIN existant avec leur login AGOV vérifié.

Les CH-LOGIN qui avaient déjà effectué ce processus de vérification avant AGOV-First conservent leur statut de clarification jusqu'à l'expiration de la validité de l'identification (5 ans à compter de la réalisation de l'identification vidéo).

AGOV - Prise en charge des identités AGOV vérifiées dans eIAM (QoA50)

Jusqu'à présent, les identités AGOV pouvaient déjà être utilisées dans eIAM. Les identités AGOV étaient toutefois acceptées comme méthode de connexion alternative dans le contexte CH-LOGIN, de manière analogue à d'autres identités dites Bring Your Own Identity (BYOI), et uniquement avec une classification « normale », c'est-à-dire de niveau « moyen » selon Si001. Même si l'authentification de l'utilisateur a été effectuée avec un credential de niveau « élevé » et que l'identité du propriétaire du login AGOV a été établie par un processus de clarification de haute qualité. Avec AGOV-First, les utilisateurs peuvent également utiliser des applications de l'administration fédérale dans le contexte eGOV avec leur login AGOV, si l'application exige une authentification de qualité « élevée » (jusqu'à QoA50).

Si le niveau QoA est trop bas, l'utilisateur est informé après l'authentification qu'il a besoin d'un AGOV-Login vérifiée et est guidé vers la procédure à suivre pour obtenir un AGOV-Login vérifiée au niveau QoA50. La procédure est décrite ici : AGOV-Login vérifiée (QoA50).

Avec la version Lenzspitze et le déploiement d'AGOV-First, les identités AGOV peuvent être utilisées dans eIAM jusqu'à un niveau QoA51. Voir également à ce sujet « AGOV - Prise en charge des identités AGOV avec numéro AHV vérifié dans eIAM (QoA51) ».

Vous trouverez des informations sur les niveaux de QoA de l'eIAM ici :

AGOV - Support des identités AGOV avec numéro AVS vérifié dans eIAM (QoA51)

AGOV est en mesure de fournir le numéro AVS vérifié pour les personnes disposant d'un login AGOV. La base pour cela est une identité AGOV vérifiée. La vérification du numéro AVS par rapport au registre CdC permet de vérifier dans AGOV si le numéro AVS appartient effectivement à cette personne. Les applications intégrées à eIAM peuvent ainsi désormais demander la qualité d'authentification QoA51. Il convient de noter que l'application ne peut alors être utilisée qu'avec AGOV comme fournisseur d'identité, car seul AGOV peut fournir le numéro AVS vérifié. Bien entendu, l'application ne peut alors être utilisée que par des personnes disposant d'un numéro AVS.

Si le niveau QoA est trop bas, l'utilisateur est informé après l'authentification qu'il a besoin d'un AGOV-Login vérifiée et est guidé vers la procédure à suivre pour obtenir un AGOV-Login vérifiée au niveau QoA51. La procédure est décrite ici AGOV-Login vérifiée avec numéro AVS (QoA51).

Vous trouverez des informations sur les niveaux QoA eIAM ici :

Mise à jour automatique des données d'identité dans eIAM - Provisionnement juste à temps

Avant AGOV-First, les utilisateurs devaient eux-mêmes mettre à jour les modifications des données d'identité (prénom, nom de famille, adresse électronique et langue de correspondance préférée) dans eIAM MyAccount. Et ce, même si l'utilisateur utilisait l'identité d'un fournisseur d'identité externe. Avec AGOV-First, les informations d'identité telles que le prénom, le nom, l'adresse e-mail et la langue de correspondance préférée sont automatiquement mises à jour dans eIAM à chaque connexion de l'utilisateur. L'avantage pour l'utilisateur : il peut gérer ses données de manière centralisée chez le fournisseur d'identité. Il n'est plus nécessaire d'administrer plusieurs fois les données chez le fournisseur d'identité et dans eIAM.

eIAM-MyAccount - Traitement des données d'identité bloqué chez les fournisseurs d'identité externes

Avec AGOV-First, le traitement des données d'identité (onglet « Profil de l'utilisateur ») est bloqué dans eIAM-MyAccount si l'utilisateur utilise l'identité d'un fournisseur d'identité externe. En effet, avec AGOV-First, ces données sont automatiquement mises à jour avec les données du fournisseur d'identité à chaque connexion. L'utilisateur est informé dans MyAccount que les données sont fournies par le fournisseur d'identité externe et qu'il doit y actualiser ses données si nécessaire. Les données mises à jour dans le fournisseur d'identité externe sont affichées à l'utilisateur dans eIAM-MyAccount après la prochaine connexion.


AGOV-First : Votre avis est important pour nous.
Si vous avez testé AGOV-First dans l'environnement REFERENCE, n'hésitez pas à nous faire part de vos expériences en utilisant Formulaire de feedback AGOV-First.