Consistency-Checker (Enforcer)

Situation initiale

Les données de base des utilisateurs eIAM et la reconnaissance des utilisateurs (position particulière de l'adresse e-mail).

Les données qui décrivent un utilisateur qui s'authentifie via eIAM se composent principalement du prénom, du nom et de l'adresse e-mail de l'utilisateur.

S'y ajoutent des identifiants techniques au sens d'un "numéro de compte eIAM", par ex. l'identité fédérée (VerbundsID), qui permettent de reconnaître l'utilisateur de manière univoque dans l'application cible.

Dans les données décrivant l'utilisateur, il peut également y avoir des identifiants non univoques tels que le numéro U/X, des abréviations, etc. qui ne doivent pas être utilisés pour reconnaître les utilisateurs.

Comme identifiant technique pour la reconnaissance des utilisateurs, certaines applications cibles utilisent l'adresse e-mail de l'utilisateur, en particulier certaines solutions Microsoft utilisent obligatoirement l'adresse e-mail de l'utilisateur comme caractéristique de reconnaissance. L'adresse e-mail comme élément de reconnaissance univoque n'est pas recommandée par l'OFIT, mais c'est une méthode courante.

Définition eIAM "Root Account" et "Access Account"

Dans eIAM, il n'y a qu'un root account par identité d'authentification d'un utilisateur (toute l'administration fédérale). Dans les root accounts (identités fédérée), les utilisateurs n'ont pas de droits attribuer pour les applications cibles. Les attributs de base des utilisateurs sont gérés dans les root accounts.

Attributs de base des utilisateurs
×

Les attributs de base suivants des utilisateurs sont automatiquement synchronisés avec le Consistency-Checker du root account vers le(s) access account(s):
- nom (name)
- Prénom (firstName)
- E-mail (email)
- ligne d'adresse1 (adressLine1)
- ligne d'adresse2 (adressLine2)
- Statut (status) ..actif, inactif ou archivé.
- Système source (source system)

Un root account d'un utilisateur peut pointer vers plusieurs access accounts (références d'identité). Dans les access account, les utilisateurs se voient attribuer des droits pour les applications cibles. L'access account fonctionne ainsi comme un espace de données dédié aux autorisations, le plus souvent en se concentrant sur l'organisiation de l'office (Access Client). L'ensemble des données de base de l'utilisateur dans l'access account est repris par le root account lors de la création initiale. Les données du access account (nom, prénom, adresse e-mail) sont transmises à l'application cible lors de l'exécution au moyen du jeton d'authentification eIAM.

Identités dans eIAM et unités, profils et rôles
Identités dans eIAM et unités, profils et rôles

Synchronisation des données de base des utilisateurs du root accout vers les access accounts.
  • Pour les identités électroniques vérifiées (QoA50 et QoA60), les données du access account sont toujours mises à jour, c'est-à-dire qu'elles sont synchronisées avec le root account et ne peuvent pas être modifiées manuellement.
  • Pour les identités électroniques non vérifiées (<QoA50), les données de base initiales de l'utilisateur peuvent être modifiées manuellement dans l'Access Account par l'utilisateur ou le gestionnaire délégué (asynchrone).

Nouveau: Consistency-Checker d'eIAM

En activant le Consistency-Checker, toutes les données de base des utilisateurs sont désormais automatiquement mises à jour, c'est-à-dire synchronisées, entre le root account et le access account, même en cas d'identités électroniques non vérifiées.

Déploiement du Consitency-Checker

Pour des raisons de gouvernance, l'eIAM Consistency-Checker doit être activé à moyen terme pour chaque eIAM access account. C'est pourquoi eIAM prévoit un déploiement proactif.

Dans les eIAM access accounts, il faut garantir que toutes les applications cibles connectées puissent gérer des prénoms, des noms et des adresses e-mail changeants! C'est la tâche des bénéficiaires de services eIAM dans les offices de s'en assurer. Si une application cible utilise l'adresse e-mail comme caractéristique de reconnaissance, cela n'est pas garanti et doit être adapté.

L'activation proactive initiale a eu lieu dans la release eIAM "Traminer" (09.10.2022). eIAM soutient le déploiement à grande échelle en sauvegardant les informations initiales dans les access account, avant la synchronisation par le Consistency-Checker. Cela permet d'initier un simple rollback en cas de problèmes éventuels. Cela soutient d'une part le déploiement proactif de manière analogue au FED-LOGIN 2.0 et permet d'autre part aux offices d'identifier facilement les éventuels foyers de problèmes et les besoins d'adaptation de leurs applications.