Identitäts-Provider (IdP)

Bereitstellung von eigenen elektronischen Identitäten (interne Identitätsprovider AGOV, CH-LOGIN, SG-PKI, Kerberos, MDM)

• AGOV: eIAM stellt die elektronische Identität www.agov.ch für Bürgerinnen, Bürger und Vertreter der Wirtschaft im In- und Ausland zur Verfügung. AGOV-Identitäten gibt es in selbstregistrierter (unabgeklärter) und abgeklärter Qualität. Kantone und ihre Gemeinden können den eIAM-Identitätsprovider «AGOV» durch Direktanschluss ihrer Applikationen oder IAM-Systeme an AGOV nutzen, die Bundesverwaltung verwendet AGOV ausschliesslich über das IAM-System «eIAM».
  
• CH-LOGIN: CH-LOGIN ist der Vorläufer von AGOV und wird vorerst noch parallel zu AGOV
  betrieben, soll aber schrittweise heruntergefahren werden.
• FED-LOGIN mittels Smartcard (SG-PKI): Des Weiteren sind in eIAM die elektronischen
  Identitäten aus der SG-PKI (Swiss Government Public Key Infrastructure) einsetzbar, dies für
  Mitarbeitende der Bundesverwaltung und SG-PKI-Affiliierte.
  
• FED-LOGIN mittels Kerberos: Die elektronischen Identitäten der Mitarbeitenden der Bundesverwaltung können in dedizierten bundesinternen Netzen von den Zielapplikationen alternativ (anstelle der Smartcard-Zertifikatsquelle) als Kerberos-Tickets bezogen werden. Diese Bezugsart resultiert in einer Herabstufung der deklarierten Verlässlichkeit der so vermittelten subjektidentifizierenden Eigenschaften.
  
• FED-LOGIN ohneⁱ Smartcard: Nutzung von elektronischen Identitäten der SG-PKI durch
  Mitarbeitende der Bundesverwaltung mittels Benutzername, Passwort und zweiten Faktoren,
  auch aus dem Internet.
  ⁱugs. auch bezeichnet als «BV-Login
  ⁱugs. auch bezeichnet als «BV-Login»
  
• MDM: Eine Vermittlung der elektronischen Identitäten der Mitarbeitenden der Bundesverwaltung ohne Einsatz einer Smartcard bietet auch der Citrix Secure Hub, welcher im Rahmen des Mobile Device Management (MDM) der Bundesverwaltung auf iOS-Geräten als Sandbox
  zum Einsatz kommt: Webapplikationen, die im Webrowser dieser Sandbox (Citrix Secure Web Browser) laufen sowie native Mobile-Apps in dieser Sandbox können automatisch mit diesen Identitätsinformationen versorgt werden, so dass die Mitarbeitenden kein Login durchführen müssen, es ist also der Zutritt zur Sandbox ansich, abgewickelt durch die lokalen Mechanismen der iOS-Geräte, welche als Authentifikations- und Identitätsnachweismittel für die automatischen, unsichtbaren In-Sandbox-Authentifizierungen gilt. Diese Bezugsart resultiert in einer Herabstufung der deklarierten Verlässlichkeit der so vermittelten subjektidentifizierenden Eigenschaften.

  Bemerkung
  Ein MDM integriertes Gerät kann nur in einer Betriebsumgebung (Stage) registriert sein. Ein in der MDM PROD Umgebung registriertes Gerät kann daher nicht auf integrierte Anwendungen in REF oder ABN zugreifen und vice versa. Soll mittels Secure Web Browser eine Ressource in der ABN Umgebung aufgerufen werden, so muss das Endgerät ebenfalls in der MDM ABN Umgebung registriert sein.