Qualité de l'authentification (QoA)
Le concept QoA traite des différentes classes QoA, de leur définition et de leur classification. Dans ce contexte, chaque méthode d'authentification (credentials avec ou sans second facteur) correspond exactement à une classe QoA définie.En spécifiant la classe QoA correspondante dans le protocole de fédération SAML/OIDC, les avantages sont les suivants :
- Une application métier ne doit pas se soucier de la configuration fastidieuse des différentes méthodes d'authentification.
- Il suffit de décider quelle classe QoA est souhaitée ou exigée pour l'application métier à intégrer. En spécifiant la classe QoA correspondante dans le protocole de fédération, on s'assure automatiquement que l'utilisateur se voit proposer toutes les méthodes d'authentification autorisées qui correspondent au moins à cette classe QoA.
- Les nouvelles méthodes d'authentification intégrées au concept QoA sont ainsi automatiquement disponibles, sans qu'il soit nécessaire d'adapter l'application.
- L'introduction de nouvelles méthodes d'authentification devient ainsi transparente pour l'application métier.
-
- FIs FED-LOGIN/BYOI et QoA (Credentials/Types de vérification)
IdP+Credential(s)+Type de vérification = Qualité de l'identité numérique
Tant les procédures d'authentification (Credentials) utilisées lors d'une inscription que le degré de vérification (type de clarification) d'une identité sont déterminants pour la qualité d'une identité numérique. eIAM décrit cela comme Quality of Authentication (QoA).Pour les QoA40, 50 & 60, la identité numérique sous-jacente n'est pas simplement enregistrée en tant que telle, mais clarifiée (nom, prénom, date de naissance, type et numéro de carte d'identité). Les identités électroniques clarifiées permettent de savoir qui a été équipé et donc, si nécessaire, d'exercer un recours contre ces personnes.
Les contrôles d'identité se basent toujours sur des pièces d'identité officielles valables avec photo et sur la présence simultanée adéquate de la personne à contrôler. Les pièces d'identité sont enregistrées.
Dans quels cas les identités avec QoA 40, 50 et 60 doivent-elles être utilisées ?
- Accès aux ressources TIC de l'administration fédérale dans un contexte d'entreprise (pour les collaborateurs internes et externes ainsi que les partenaires) : L'exigence minimale est QoA40.
- Accès aux données nécessitant une protection accrue Selon la politique de zone actuelle, QoA50 est requis. Ceci n'est possible qu'avec des tokens hardcrypto comme la carte à puce*, les Access App's ou au moyen de clés de sécurité FIDO et Mobile ID avec VIPS.*La contrainte de la carte à puce (QoA60), ne peut plus être utilisée que dans des cas exceptionnels et justifiés après consultation de la ChF TNI.
- Exigence du processus commercial de pouvoir identifier clairement la personne qui agit (capacité de recours) : L'exigence minimale est QoA40. Dans certains cas, cela peut également être fait par l'application cible, par exemple en téléchargeant une copie de carte d'identité dans l'application.
Différentes classes de QoA par eIAM-stage
À la demande du client, la flexibilité des différentes classes de QoA par eIAM-stage a été implémentée dans eIAM. Si un client a besoin d'un QoA inférieur dans un environnement non productif, cela peut être mis en œuvre en respectant les règles suivantes.Règles relatives à la qualité de l'authentification (QoA) ▼×
- Responsabilités et compétences
- Le besoin de protection de l'application avec le [linktext:niveau de protection] qui en résulte définit la qualité minimale de l'authentification (classe QoA) de l'environnement de production.
- Le responsable de l'application détermine avec l'ISBO responsable la qualité minimale requise de l'authentification (classe QoA) pour l'accès à ses instances d'application (PROD, ABN et REF).
- Le besoin de protection de l'application avec le [linktext:niveau de protection] qui en résulte définit la qualité minimale de l'authentification (classe QoA) de l'environnement de production.
- Exceptions dans les environnements non productifs (ABN/REF)
- Si des exigences QoA différentes s'appliquent dans un environnement non productif, cela doit être confirmé par écrit (e-mail signé) par l'ISBO responsable à l'eIAM SIE.
- Cette exception n'est autorisée que si aucune donnée nécessitant un niveau de protection élevé n'est traitée.
- Si des exigences QoA différentes s'appliquent dans un environnement non productif, cela doit être confirmé par écrit (e-mail signé) par l'ISBO responsable à l'eIAM SIE.
- Demande de QoA par la Relying Party
- Une Relying Party intégrée à eIAM peut soit :
- demander la classe QoA minimale à eIAM pendant la durée de la requête de fédération.
- la définir dans eIAM lors de l'intégration (durée de définition).
- demander la classe QoA minimale à eIAM pendant la durée de la requête de fédération.
- Une Relying Party intégrée à eIAM peut soit :
- Rejet de la demande de fédération en cas d'absence d'indication de QoA
- Si la Relying Party ne définit pas de QoA, ni au moment de la définition, ni au moment de l'exécution, eIAM rejette la demande de fédération.
- Application de l'exigence de QoA la plus élevée
- Si un QoA plus élevé a été défini au moment de la définition, eIAM DOIT l'appliquer même si le Relying Party autorise un QoA inférieur au moment de l'exécution.
- Si un QoA plus élevé est exigé au moment de l'exécution qu'au moment de la définition, eIAM DOIT également appliquer le QoA plus élevé.
- Si un QoA plus élevé a été défini au moment de la définition, eIAM DOIT l'appliquer même si le Relying Party autorise un QoA inférieur au moment de l'exécution.
- QoA dans les zones protégées
- Si le Relying Party est exploité dans une zone avec des exigences de sécurité accrues (par exemple SZ+ Basic), eIAM DOIT respecter le QoA de cette zone.
- Un QoA inférieur ne peut être autorisé ni au moment de la définition ni au moment de l'exécution, car le RP-PEP (Relying Party Policy Enforcement Point) régit l'accès.
- Si le Relying Party est exploité dans une zone avec des exigences de sécurité accrues (par exemple SZ+ Basic), eIAM DOIT respecter le QoA de cette zone.
- Modèle d'intégration uniforme pour les environnements de production
- Si une zone avec des exigences QoA plus élevées est utilisée dans l'environnement de production, le même modèle d'intégration (avec RP-PEP) DOIT être utilisé dans tous les environnements d'exploitation de la partie utilisatrice.
- Même si aucune zone RP-PEP n'est nécessaire dans les niveaux d'intégration inférieurs (ABN/REF), eIAM applique les exigences de QoA de production dans tous les environnements.
- Si une zone avec des exigences QoA plus élevées est utilisée dans l'environnement de production, le même modèle d'intégration (avec RP-PEP) DOIT être utilisé dans tous les environnements d'exploitation de la partie utilisatrice.
- Identification du QoA dans le jeton
- eIAM DOIT identifier le QoA dans le jeton pour le Relying Party.
- La Relying Party DOIT s'assurer que la QoA indiquée dans le jeton répond à ses exigences.
- eIAM DOIT identifier le QoA dans le jeton pour le Relying Party.
Méthodes de connexion (méthodes d'identification et de clarification)
FED-LOGIN Méthodes de connexio
×
Le CH-LOGIN est un service de fournisseur d'identité à 2 facteurs (nom d'utilisateur/mot de passe et clé de sécurité FIDO/Mobile ID/mTAN/AuthApp) qui est mis à disposition par le service eIAM. Le CH-LOGIN peut être utilisé pour les applications les plus diverses de l'administration fédérale. Cela permet aux offices de mettre à disposition des utilisateurs internes et/ou externes plusieurs procédures de login pour leurs applications spécialisées.
Types de clarification :
×
La connexion avec un mot de passe et un second facteur comme mTAN (SMS) ou une application Authenticator (OATH) est une méthode alternative, mais elle est classée comme moins sécurisée (QoA40). Cela peut entraîner un refus d'accès à certaines applications. Nous vous recommandons donc d'enregistrer votre Mobile ID pour bénéficier de la meilleure expérience utilisateur.
×
Mobile ID
La Mobile ID est un certificat enregistré sur les cartes SIM (Subscriber Identity Module, y compris eSIM) des fournisseurs de téléphonie mobile (actuellement uniquement suisses) (fournisseurs voir ). Elle peut être utilisée comme credential et est préalablement enregistrée par les utilisateurs en libre-service sur MyAccount. Le système cible qui demande un moyen d'authentification et de preuve d'identité et qui accepte pour cela l'ID mobile envoie un message push dédié à l'appareil mobile qui utilise la carte SIM correspondante. L'utilisateur final doit alors saisir un mot de passe sur cet appareil mobile afin de transmettre l'ID mobile au système cible demandeur.
Remarque importante
Le Mobile ID dans le contexte de l'administration fédérale ne s'adresse pas au grand public. Il ne peut être utilisé au sein de l'administration fédérale que sur invitation. Vous recevez l'invitation de votre contact spécialisé auprès de l'administration fédérale, accompagnée d'un code dit MIO (Mobile ID-Onboarding Code).
Clé de sécurité
Informations sur Clés de sécurité
L'utilisation du Mobile ID et/ou d'une clé de sécurité FIDO comme credential ne conduit pas automatiquement à une identité électronique vérifiée, pour cela il faut en plus effectuer une identification vidéo.
×
L'appel vidéo est effectué dans le navigateur d'un PC ou d'un téléphone portable, il n'est donc pas nécessaire d'installer / de disposer d'un logiciel particulier. Lors de l'appel vidéo, un agent humain de la société d'identification vidéo mandatée (actuellement Intrum, horaires de service : du lundi au samedi de 08h00 à 17h00) vérifie l'authenticité et la validité de la pièce d'identité, la cohérence de la photo avec le visage de la personne présente et la présence physique de la personne lors de l'appel vidéo.
Liste complète des pays et des documents d'identité autorisés Liste des pay
Informations détaillées : Identification par vide
×
AGOV access Apps
Le login AGOV fonctionne via une application pour smartphone ou une clé de sécurité (FIDO). Le choix est laissé à l'utilisateur final. Lien vers les instructions : AGOV - Enregistre
Types de clarification :
×
L'appel vidéo est effectué dans le navigateur d'un PC ou d'un téléphone portable, il n'est donc pas nécessaire d'installer / de disposer d'un logiciel particulier. Lors de l'appel vidéo, un agent humain de la société d'identification vidéo mandatée (actuellement Intrum, horaires de service : du lundi au samedi de 08h00 à 17h00) vérifie l'authenticité et la validité de la pièce d'identité, la cohérence de la photo avec le visage de la personne présente et la présence physique de la personne lors de l'appel vidéo.
Liste complète des pays et documents d'identité autorisés Liste des pay
Remarque
Le coût de la vérification de l'identité vidéo est facturé au propriétaire de l'application cible, sachant qu'une vérification de l'identité est valable pendant 5 ans pour l'ensemble de l'écosystème AGOV et ne doit pas être effectuée plusieurs fois.
×
Service de la Poste suisse : identification de la personne et établissement d'une copie de la pièce d'identité à la porte (lettre avec vérification de l'identité).
Pièces d'identité acceptées[u :]
×
Les utilisateurs finaux AGOV peuvent faire vérifier leur identité en se rendant à un guichet AGOV cantonal, si le canton en propose, et en présentant une pièce d'identité valable. Les cantons décident des titres de séjour qu'ils autorisent.
Remarque
AGOV est le nouveau CH-LOGIN, c'est-à-dire un fournisseur d'identité du service standard « Gestion des identités et des accès » de l'administration fédérale. AGOV sera disponible pour une utilisation productive à partir de janvier 2024 et remplacera le CH-LOGIN dans un délai utile. Lien d'information: AGOV le nouveau CH-LOGIN
AGOV est le nouveau CH-LOGIN, c'est-à-dire un fournisseur d'identité du service standard « Gestion des identités et des accès » de l'administration fédérale. AGOV sera disponible pour une utilisation productive à partir de janvier 2024 et remplacera le CH-LOGIN dans un délai utile. Lien d'information: AGOV le nouveau CH-LOGI
Spécifications
SAML spécification QoAOIDC Spécification QoA
Informations détaillées sur QoA (accès interne uniquement) :