eIAM Access Request (ARQ)

eIAM-AccessRequest Description

L'application AccessRequest offre aux applications protégées par eIAM une interface Web GUI sous la forme d'une application Web. Pour les applications à l'intérieur des réseaux de l'administration fédérale, l'appel de eIAM-Access Request est automatiquement déclenché par l'absence du rôle granulaire grossier. Les applications en dehors des réseaux de l'administration fédérale doivent appeler elles-mêmes l'eIAM-AccessRequest. Elles peuvent le faire via une HTTP GET Request avec les paramètres de requête décrits ci-dessous. L'application peut afficher à l'utilisateur une page d'information avec un lien vers l'application "AccessRequest" avec les paramètres correspondants ou, en cas de droits d'accès manquants, elle peut rediriger automatiquement l'utilisateur vers l'application "AccessRequest". En outre, il est possible que les utilisateurs déjà autorisés à utiliser l'application puissent demander des autorisations supplémentaires à partir de l'application. Pour ce faire, un lien peut être proposé à l'utilisateur au sein de l'application, avec lequel il peut appeler eIAM-Access.
Lors de l'implémentation autonome du lien, il faut avant tout veiller à la convivialité.

L'application eIAM-AccessRequest supporte deux cas d'utilisation:

  1. Dans le premier cas d'utilisation, un e-mail est envoyé aux responsables des autorisations de l'application correspondante (BVA) au cours de la demande d'accès et un workflow est ainsi déclenché. Ceux-ci attribuent les autorisations nécessaires. Les rôles d'autorisation ne sont pas attribués automatiquement.

    Rôles IDM & attributions d'accès

  2. Dans le deuxième cas d'utilisation, un scénario dit "AutoRole" est pris en charge. Dans ce mode, des rôles prédéfinis peuvent être attribués automatiquement à l'utilisateur pour l'application dans l'eIAM-AM. Dans ce scénario, aucune notification par e-mail n'est envoyée. Ce mode peut être utilisé lorsque l'application souhaite saisir des attributs d'identité spécifiques. Il est ainsi possible pour l'utilisateur d'accéder à un formulaire au sein de l'application métier, sur lequel il peut saisir des attributs spécifiques à l'application.

eIAM-AccessRequest URL

L'appel de l'application AccessRequest se fait via le PEP web eIAM. L'URI absolu à utiliser est donc relatif à l'eIAM-Web PEP utilisé :

/_pep/accessRequest .

Exemple d'URL d'appel du point de vue du navigateur de l'utilisateur:
https://www.gate.amt.admin.ch/_pep/accessRequest

eIAM-AccessRequest Query Arguments

Pour les applications hébergées au sein des réseaux de l'administration fédérale, eIAM-AccessRequest est paramétré et contrôlé par eIAM-Web PEP avant l'application. Lors de l'accès à l'application "AccessRequest" depuis des applications hébergées en externe, certains arguments de requête doivent être transmis à cette requête afin de définir à quelle application la demande d'accès doit être effectuée et comment l'utilisateur peut être renvoyé dans l'application une fois la demande d'accès terminée.


Argument Description
returnURL - Adresse vers laquelle l'utilisateur sera redirigé une fois la demande d'accès terminée. L'adresse doit être codée en URL.
- Soit returnURL soit returnURLb64 doit être défini pour qu'un retour à l'application soit possible.
- Il est important de comprendre, surtout dans le scénario "AutoRole", que l'utilisateur n'obtient les rôles demandés qu'après s'être déconnecté de l'application et de l'eIAM-Web PEP et s'être reconnecté. C'est pourquoi le returnURL doit diriger l'utilisateur vers une page de l'application qui l'informe qu'il doit se reconnecter ou le returnURL pointe vers l'URL de déconnexion de l'application et déclenche ainsi une déconnexion unique SAML également de la session de l'utilisateur sur le PEP Web eIAM.
returnURLb64 - Adresse vers laquelle l'utilisateur est redirigé une fois la demande d'accès terminée. Celle-ci doit être codée en Base64.
- Soit returnURL soit returnURLb64 doit être défini pour qu'un retour à l'application soit possible.
- Il est important de comprendre, surtout dans le scénario "AutoRole", que l'utilisateur n'obtient les rôles demandés qu'après s'être déconnecté de l'application et de l'eIAM-Web PEP et s'être reconnecté. C'est pourquoi le returnURLb64 doit diriger l'utilisateur vers une page de l'application qui l'informe qu'il doit se reconnecter ou le returnURLb64 pointe vers l'URL de déconnexion de l'application et déclenche ainsi une déconnexion unique SAML également de la session de l'utilisateur sur le PEP eIAM-Web.
appl - Application dans l'AM eIAM pour laquelle la demande d'accès doit être effectuée.
- Soit applURL soit appl DOIT être défini pour que l'application puisse être identifiée pour la demande.
applURL - URL de l'application pour laquelle la demande d'accès doit être effectuée.
- Soit applURL soit appl DOIT être défini pour que l'application puisse être identifiée pour la demande.
- L'adresse doit être codée en URL.
client
(facultatif) 		- Client auquel la demande d'accès doit s'appliquer.
- Peut être utilisé, par exemple, pour supprimer la sélection du client pour les applications qui sont attribuées à plusieurs mandants.
CICD
(facultatif) 		- Le CICD détermine l'apparence des masques affichés.

eIAM-AccessRequest Exemple

Dans l'exemple suivant, l'application "AccessRequest" est appelée dans l'environnement de production via l'eIAM-Web PEP www.gate.bit.admin.ch afin de déclencher une demande d'accès pour l'utilisateur à l'application "Statistiques" du mandant "OFIT". Une fois la demande d'accès effectuée, l'utilisateur doit être redirigé vers l'URL https://www.externalhost.admin.ch/statistika/private/logout.do de l'application hébergée en dehors des réseaux de l'administration fédérale.

Appel:
https://www.gate.amt.admin.ch/_pep/accessRequest ? applURL=https%3A%2F%2Fwww.gate.bit.admin.ch%2Fstatistika%2Fprivate%2F&
client=BIT&returnURLb64=aHR0cHM6Ly93d3cuZXh0ZXJuYWxob3N0LmFkbWluLmNoL
3N0YXRpc3Rpa2EvcHJpdmF0ZS9sb2dvdXQuZG8

eIAM-AccessRequest Déroulement de la demande d'accès

Ce chapitre explique le déroulement de la demande d'accès d'un utilisateur à une application hébergée en dehors des réseaux de l'administration fédérale et à laquelle il n'a pas encore droit.

L'illustration ci-dessous montre le déroulement de l'accès d'un utilisateur à une application externe à laquelle il n'est pas encore autorisé. Le scénario de l'application externe a été choisi parce qu'il s'agit du cas le plus complexe.

L'accès à l'application déclenche l'authentification de l'utilisateur. Après l'authentification, l'application vérifie si l'utilisateur est autorisé à utiliser l'application.

Si l'utilisateur n'est pas autorisé pour l'application, l'application externe déclenche la demande d'accès avec la fonction "AccessRequest" du service eIAM.

Accès d'un utilisateur à une application à laquelle il n'a pas encore droit
Accès d'un utilisateur à une application à laquelle il n'a pas encore droit


La demande d'accès eIAM vérifie d'abord si des références d'identité ont déjà été saisies dans l'AM eIAM pour l'utilisateur. Cela se fait aussi bien dans le super-mandant eIAM-AM que dans le mandant eIAM-AM Access. Les éventuelles références d'identité encore manquantes sont automatiquement créées.

A l'aide des paramètres fournis dans l'appel de eIAM-Access Request, l'application correcte et la politique de profil correspondante sont déterminées dans le mandant eIAM-AM Access. Cela peut éventuellement nécessiter une interaction de l'utilisateur sous la forme d'une sélection par l'utilisateur, si plusieurs applications ou mandants entrent en ligne de compte.

La configuration pour l'eIAM Access Request est lue à partir de la Profile Policy de l'application dans l'eIAM-AM, par exemple si des rôles doivent être attribués automatiquement et lesquels. De même, on détermine quelle information doit être affichée à l'utilisateur comme message de clôture. Il peut s'agir soit d'une information selon laquelle l'accès est déjà possible après la déconnexion et la nouvelle connexion, soit d'une information selon laquelle un administrateur doit d'abord encore traiter la demande d'accès et que l'utilisateur sera ensuite informé en conséquence par l'administrateur. Dans le message de clôture, l'utilisateur voit un lien qui lui permet de revenir à l'application, si une adresse de retour a été fournie.

Les nouveaux rôles attribués après l'AccessRequest ne peuvent être utilisés que lorsque l'utilisateur se déconnecte et se reconnecte. Ce n'est qu'à ce moment-là que les rôles attribués sont repris dans la nouvelle assertion SAML et sont disponibles pour eIAM-Web PEP et l'application. Pour les applications qui utilisent le service eIAM-Web et qui sont donc protégées par un eIAM PEP, cette nouvelle connexion est directement déclenchée par le eIAM-Web PEP. Pour les applications externes qui ne sont pas derrière le PEP eIAM-Web, cela doit être déclenché par l'application elle-même. L'adresse de retour dans l'application DOIT donc pointer sur l'URL de déconnexion de l'application dans le "scénario AutoRole".

eIAM-AccessRequest Session Handling

La demande d'accès ne gère qu'une seule session pendant la demande d'accès. Dès que celle-ci est terminée, la session est fermée.

eIAM-AccessRequest Single Sign-On

L'eIAM-Web PEP représente un SAML FI par rapport à l'application "Access Request". Il envoie l'utilisateur à l'application "AccessRequest" avec une réponse SAML qu'il a émise (scénario initié par l'FI).

eIAM-AccessRequest Single Logout

L'application AccessRequest mène une session avec l'utilisateur uniquement pendant la demande d'une nouvelle autorisation. Lorsque la demande d'accès est terminée, cette session est automatiquement fermée dans l'application "AccessRequest". L'application "AccessRequest" ne lance pas de Single Logout et la session sur l'application "AccessRequest" ne doit pas être fermée par SAML Single Logout.