Integrationsmuster (Pattern)

Da sich die IAM Anforderungen je nach Anwendung stark unterscheiden, bietet eIAM verschiedene, bestehende Integrationsmuster (Pattern) an. Das eIAM-Dossier soll dabei helfen, das für die Bedürfnisse der zu integrierenden Anwendung optimale Integrationspattern festzulegen. Die nachträgliche Änderung des Integrationspatterns ist auf Seite der Anwendung wie auch auf Seite eIAM mit Aufwand verbunden.

Pattern - Integration ohne Access Management im eIAM (Authentication Only)


Mit dieser Form der Integration wird einzig die Authentifizierungsleistung angeboten.
Mit dieser Form der Integration wird einzig die Authentifizierungsleistung angeboten.

  • In diesem Integrationspattern wird kein vorgeschalteter RP-PEP benötigt, da die Applikation keinen erhöhten Schutzbedarf ausweist. Die Kommunikation erfolgt vom Web Browser direkt mit der Applikation.
  • In diesem Integrationspattern bezieht die Applikation lediglich die Leistung "Authentifizierung" vom Service eIAM.
  • Das komplette Access Management inklusive der Verwaltung von Berechtigungen erfolgt durch die Applikation selbst.
  • Die Authentifizierende Identität (IdP) muss dabei mit einer Verbundidentität verknüpft sein!
  • Das Resultat ist ein Token mit folgenden Informationen:
    • Identifier der elektronischen Identität (persistent)
    • einige Attribute des zugreifenden Subjekts (Inhalt und Qualität abhängig von der Identität)
    • Information zur Qualität der durchgeführten Authentifizierung
  • Folgende eIAM Funktionen können mit dem Authentication Only Pattern nicht bestellt werden
    • eIAM-AM (Zugangsverwaltung)
    • eIAM-LDS (LDAP-Verzeichnis mit Benutzerinformationen)
    • eIAM-Webservice (Webservice als Schnittstelle zu eIAM)
    • Bereitstellung von Identitätsdaten aus eIAM für die Applikation

Entspricht der eIAM Leistung 1 unter

Pattern - Integration mit Access Management im eIAM


Der Applikationszugriff muss dabei über einen Benutzer Zugriffsantrag an den zuständigen BVA (Benutzerverwalter Applikation) erfolgen.
Der Applikationszugriff muss dabei über einen Benutzer Zugriffsantrag an den zuständigen BVA (Benutzerverwalter Applikation) erfolgen.

  • In diesem Integrationspattern wird kein vorgeschalteter RP-PEP benötigt, da die Applikation keinen erhöhten Schutzbedarf ausweist. Die Kommunikation erfolgt vom Web Browser direkt mit der Applikation.
  • In diesem Integrationspattern bezieht die Applikation weiterhin die Leistung "Authentifizierung" vom Service eIAM.
  • Im eIAM-AM Mandant der VE können Autorisierungen (Rollen) und weitere Attribute über das Subjekt verwaltet werden. Das Access Management kann vollständig oder teilweise im eIAM-AM durchgeführt werden. Bei Anwendungen mit komplexer Berechtigungslogik empfiehlt es sich dies in der Applikation vorzusehen.
  • Das Resultat ist ein Token mit folgenden Informationen:
    • Identifier der elektronischen Identität (persistent)
    • einige Attribute des zugreifenden Subjekts (Inhalt und Qualität abhängig von der Identität)
    • Information zur Qualität der durchgeführten Authentifizierung
    • Rollen und Attribute aus dem Access Management im eIAM (eIAM-AM)
  • Die Applikation kann alle aus eIAM benötigten Attribute über das zugreifende Subjekt aus dem Token beziehen.
Entspricht der eIAM Leistung 1 und 7 unter

Pattern - Integration mit Access Management in eIAM (eIAM-AM) und Backchannel für Attribute


Der Applikationszugriff erfolgt über einen automatisierten Mailversand mit einmaligem Onboarding-Code an den Benutzer.
Der Applikationszugriff erfolgt über einen automatisierten Mailversand mit einmaligem Onboarding-Code an den Benutzer.

  • In diesem Integrationspattern wird kein vorgeschalteter RP-PEP benötigt, da die Applikation keinen erhöhten Schutzbedarf ausweist. Die Kommunikation erfolgt vom Web Browser direkt mit der Applikation.
  • In diesem Integrationspattern bezieht die Applikation weiterhin die Leistung "Authentifizierung" vom Service eIAM.
  • Im eIAM-AM Mandant der VE können Autorisierungen (Rollen) und weitere Attribute über das Subjekt verwaltet werden. Das Access Management kann vollständig oder teilweise im eIAM-AM durchgeführt werden. Bei Anwendungen mit komplexer Berechtigungslogik empfiehlt es sich dies in der Applikation vorzusehen.
  • Das Resultat ist ein Token mit folgenden Informationen:
    • Identifier der elektronischen Identität (persistent)
    • einige Attribute des zugreifenden Subjekts (Inhalt und Qualität abhängig von der Identität)
    • Information zur Qualität der durchgeführten Authentifizierung
    • Rollen und Attribute aus dem Access Management im eIAM (eIAM-AM)
  • Die Applikation kann nicht alle aus eIAM benötigten Attribute über das zugreifende Subjekt aus dem Token beziehen (z.B. nur den Identifier)
  • Die Applikation muss zusätzliche Attribute über das zugreifende Subjekt über einen sog. Backchannel aus eIAM beziehen. Dafür bietet eIAM:
    • Eine Web Service Schnittstelle (SOAP Web Service)
    • Eine ldap Schnittstelle (nur lesender Zugriff möglich)
Entspricht der eIAM Leistung 1,7 und 9 unter

Pattern - Integration mit Access Management in eIAM und vorgeschaltetem RP-PEP




  • In diesem Integrationspattern wird ein vorgeschalteter RP-PEP benötigt, da die Applikation einen erhöhten Schutzbedarf ausweist und sie daher in einer entsprechenden Netzwerkzone steht.
  • Sämtliche Kommunikation erfolgt vom Web Browser über den RP-PEP zur Applikation. Der RP-PEP setzt durch, dass der Zugriff auf die Applikation nur möglich ist wenn:
    • das zugreifende Subjekt vorgängig erfolgreich authentifiziert wurde
    • die Authentifizierung mit der minimal akzeptierten Qualität durchgeführt wurde
    • das zugreifende Subjekt eine entsprechende Rolle im eIAM-AM hat, welche diesen Zugriff erlaubt
  • In diesem Integrationspattern bezieht die Applikation weiterhin die Leistung "Authentifizierung" vom Service eIAM.
  • In diesem Pattern muss mindestens eine sog. Grobautorisierungsrolle im eIAM-AM verwaltet werden, welche dem User erlaubt über den RP-PEP in die abgesicherte Zone auf die Applikation zuzugreifen.
  • Im eIAM-AM Mandant der VE können Autorisierungen (Rollen) und weitere Attribute über das Subjekt verwaltet werden. Das Access Management kann vollständig oder teilweise im eIAM-AM durchgeführt werden. Bei Anwendungen mit komplexer Berechtigungslogik empfiehlt es sich dies in der Applikation vorzusehen.
  • Das Resultat ist ein Token mit folgenden Informationen:
    • Identifier der elektronischen Identität (persistent)
    • einige Attribute des zugreifenden Subjekts (Inhalt und Qualität abhängig von der Identität)
    • Information zur Qualität der durchgeführten Authentifizierung
    • Rollen und Attribute aus dem Access Management im eIAM (eIAM-AM)
  • Die Applikation kann alle von eIAM benötigten Attribute über das zugreifende Subjekt aus dem Token beziehen.
Entspricht der eIAM Leistung 1,7 und 11 unter