Schnittstelle eIAM-AMW
(eIAM-Accessmandanten Web GUI)Im Service eIAM wurde Identity und Access Management getrennt. Die Gründe bestehen vor allem darin, dass Identitäten zentral in der Bundesverwaltung gepflegt werden, während die Zugriffsberechtigungen dezentral von den einzelnen Ämtern oder externen Administratoren im Auftrag von Ämtern administriert werden. Das Access Management erfolgt im eIAM-AM des Services eIAM.
Im Access Management (AM) Mandant werden vor allem Berechtigungsrollen gepflegt. Es können natürlich auch andere Attribute wie Strasse, Ort, etc. gepflegt werden, um so die Identitätsrefernzen besser den Benutzern zuordnen zu können. Diese Attribute sind jedoch nur innerhalb von eIAM-AM verfügbar und werden nicht mit der SAML Assertion an die Applikation geliefert. eIAM-AM stellt Schnittstellen in Form einer Web Applikation und eines Web Services zur Verfügung. Über diese Schnittstellen dürfen Attribute hinzufügt, geändert oder gelöscht werden und Berechtigungsrollen administriert werden.
«NICHT erlaubt ist die Erstellung oder Änderung, von Identitäten oder Identitätsreferenzen im Access Mandant des Amtes, da dafür eine komplexe Businesslogik notwendig ist.»
eIAM-AM Web GUI
IDM ist das zentrale Management-Tool für Verwaltung der IDM-Rollen, Mandanten, Organisationen, Fachapplikationen, Geschäfts- und Fachapplikationsrollen und die Benutzerdaten und Profil. Es kann aus dem Bundesverwaltung Netz und aus dem Internet aufgerufen werden. Eine vorgängige Authentifizierung und Autorisierung ist natürlich notwendig. Aus Sicherheitsgründen erlaubt die Schnittstelle nur die Authentifizierung mittels Kerberos IdP und Swiss Government PKI (SG-PKI) IdP innerhalb der des BV-Netzes. Ausserhalb des BV-Netzes ist die Authentifizierung nur mittels Swiss Government PKI (SG-PKI) IdP möglich.eIAM-AM Web Service Schnittstelle
Authentifizierung für Webservices SOAPÜber diese SOAP-basierte Webservices Schnittstelle auf den Access Management Mandanten im eIAM können Attribute des Benutzers geändert werden wie zum Beispiel Berechtigungsrollen. Es ist auch möglich über diese Schnittstelle Benutzer zu archivieren. Die Verwaltung der technischen Benutzer und deren Berechtigungen erfolgt durch den Kunden selbst, analog zu seinen Webapplikationen, im eIAM-AM. Die Informationen über die Identität des zugreifenden Subjekts (technischer Benutzer) und dessen Berechtigungsrollen im eIAM-AM werden dem Webservice mittels standardisiertem SAML 2.0 Token wahlweise im SOAP-Header oder in einem HTTP-Header weitergegeben. Pro zu schützendem Webservice wird ein eIAM-WSG benötigt.
Service Endpunkte der Schnittstelle
| STAGE | URL |
|---|---|
| Referenz (REF) | https://services.gate-r.eiam.admin.ch/nevisidm/services/v1_45/AdminService |
| Abnahmen (ABN) | https://services.gate-a.eiam.admin.ch/nevisidm/services/v1_45/AdminService |
| Produktion (PROD) | https://services.gate.eiam.admin.ch/nevisidm/services/v1_45/AdminService |
NICHT erlaubt ist die Erstellung oder Änderung, von Identitäten oder Identitätsreferenzen im Access Mandant des Amtes, da dafür eine komplexe Businesslogik notwendig ist.
Mitwirkungspflicht des Kunden
Der Leistungsbezüger einer SOAP-basierte Webservices Schnittstelle ist gemäss SLA verpflichtet mindestens einmal jährlich zu prüfen, ob seine Schnittstelle der aktuellen Version entspricht. Auf der BIT Kundenplattform steht den Applikationsverantwortlichen jeweils ein WSDL-KIT 1.45 (ZIP) als ZIP-Datei mit der aktuellsten Version zur Verfügung. Wir empfehlen allen Applikationsverantwortlichen das Update der Schnittstelle zeitnah umzusetzen. Bei allfälligen Problemen wenden Sie sich bitte an eIAM-Operations@bit.admin.c