Consistency-Checker (Enforcer)

Ausgangslage

eIAM Benutzer Stammdaten und die Wiedererkennung von Benutzern (Sonderstellung der E-Mailadresse).

Die Daten, welche einen Benutzer, welcher sich über eIAM authentifiziert, beschreiben, bestehen hauptsächlich aus Vorname, Name und E-Mailadresse des Benutzers.

Dazu kommen technische Identifier im Sinne einer «eIAM-Kontonummer», z. B. die VerbundsID, welche die eineindeutige Wiedererkennung des Benutzers in der Zielapplikation ermöglichen.

In den Daten, welche den Benutzer beschreiben, kann es auch uneindeutige Identifier wie U/X-Nummer, Kürzel etc. geben, diese dürfen nicht zur Wiedererkennung von Benutzern verwendet werden.

Als technischer Identifier für die Wiedererkennung der Benutzer verwenden gewisse Zielapplikationen die E-Mailadresse des Benutzers, insbesondere gewisse Microsoft-Lösungen verwenden zwingend die E-Mailadresse des Benutzers als Wiedererkennungsmerkmal. Die E-Mailadresse als eineindeutiges Wiedererkennungselement wird vom BIT nicht empfohlen, es ist aber ein gängiger Weg.

Definition eIAM "Root Account" und "Access Account"

In eIAM gibt es nur einen Root Account pro authentifizierte Identität eines Benutzers (ganze Bundesverwaltung). In den Root Accounts (Verbundsidentitäten) werden den Benutzern keine Rechte für Zielapplikationen zugewiesen. In den Root Accounts werden die Stammattribute der Benutzers geführt.

Stammattribute der Benutzer
×

Die folgenden Stammattribute der Benutzer werden mittels Consistency-Checker automatisch vom Root Account zu den Access Account(s) synchronisiert:
- Name (name)
- Vorname (firstName)
- E-Mail (email)
- Anschriftzeile1 (adressLine1)
- Anschriftzeile2 (adressLine2)
- Status (status) ..aktiv, inaktiv oder archiviert
- Quellsystem (source system)

Ein Root Account eines Benutzers kann auf mehrere Access Accounts (Identitätsreferenzen) zeigen. In den Access Accounts werden den Benutzern Rechte für Zielapplikationen zugewiesen. Der Access Account fungiert somit als dedizierter Datenraum für Berechtigungen, meistens mit dem Fokus Amt (Access Client). Der Benutzer Stammdatensatz im Access Account wird beim initialen Aufbau vom Root Accounts übernommen. Dabei gilt, dass die Daten im Access Account (Name, Vorname, E-Mailadresse), zur Laufzeit mittels eIAM Authentifizierungstoken, an die Zielapplikation übermittelt werden.

Identitäten in eIAM & Units, Profile und Rollen
Identitäten in eIAM & Units, Profile und Rollen

Synchronisation der Benutzer Stammdaten vom Root Accout zu den Access Accounts
  • Bei abgeklärten elektronischen Identitäten (QoA50 und QoA60) werden die Daten im Access Account immer nachgeführt d.h. mit dem Root Account synchron und nicht manuell veränderbar.
  • Bei unabgeklärten elektronischen Identitäten (<QoA50) können die initialen Benutzerstammdaten durch den Benutzer oder den delegierten Manager im Access Account manuell verändert werden (asynchron).

Neu: eIAMs Consistency-Checker

Mit der Aktivierung des Consistency-Checker werden nun alle Benutzer Stammdaten zwischen Root Account und Access Account, auch bei unabgeklärten elektronischen Identitäten, automatisch nachgeführt d.h. synchronisiert.

Rollout des Consitency-Checker

Der eIAM Consistency-Checker muss mittelfristig aus Governance Gründen für jeden eIAM Access Account aktiviert sein. Daher plant eIAM einen proaktiven Rollout.

In den eIAM Access Accounts muss dazu gewährleistet werden, dass alle angeschlossenen Zielapplikationen mit veränderlichen Vornamen, Namen und E-Mailadressen umgehen können! Dies sicher zu stellen ist Aufgabe der eIAM Servicebezüger in den Ämtern. Verwendet eine Zielapplikation die E-Mailadresse als Wiedererkennungsmerkmal, in andern Worten als Fremd-ID / technischen Identifikator, ist dies nicht gegeben und muss angepasst werden.

Die initiale, proaktive Aktivierung erfolgte im eIAM Release «Traminer» (09.10.2022). eIAM unterstützt den flächendeckenden Rollout indem die ursprünglichen Informationen in den Access Accounts, vor der Synchronisation durch den Consistency-Checker, gespeichert werden. Damit kann bei allfälligen auftretenden Problemen ein einfaches Rollback initiiert werden. Dies unterstützt zum einen den proaktiven Rollout analog dem FED-LOGIN 2.0 und erlaubt es zum anderen, den Ämtern auf einfache Weise allfällige Problemherde und den Anpassungsbedarf bei Ihren Applikationen zu identifizieren.