Modèles d'intégration (Pattern)

Comme les exigences IAM varient fortement selon l'application, eIAM propose différents modèles d'intégration (patterns) existants. Le dossier eIAM doit aider à définir le pattern d'intégration optimal pour les besoins de l'application à intégrer. La modification ultérieure du pattern d'intégration est liée à des efforts, tant du côté de l'application que du côté de l'eIAM.

Pattern - Intégration sans gestion des accès dans l'eIAM (Authentication Only)


Avec cette forme d'intégration, seul le service d'authentification est proposé.
Avec cette forme d'intégration, seul le service d'authentification est proposé.

  • Dans ce pattern d'intégration, aucun RP-PEP n'est nécessaire en amont, car l'application ne présente pas de besoins de protection accrus. La communication se fait directement entre le navigateur web et l'application.
  • Dans ce schéma d'intégration, l'application ne reçoit que la prestation "Authentification" du service eIAM.
  • La gestion complète des accès, y compris la gestion des autorisations, est assurée par l'application elle-même.
  • L'identité d'authentification (IdP) doit alors être liée à une identité fédérée!
  • Le résultat est un token avec les informations suivantes:
    • Identifiant de l'identité électronique (persistant)
    • quelques attributs du sujet accédant (contenu et qualité dépendent de l'identité)
    • Information sur la qualité de l'authentification effectuée.
  • Les fonctions eIAM suivantes ne peuvent pas être commandées avec le modèle Authentication Only
    • eIAM-AM (gestion des accès)
    • eIAM-LDS (répertoire LDAP avec informations sur les utilisateurs)
    • eIAM-Webservice (service web comme interface avec eIAM)
    • Mise à disposition des données d'identité de eIAM pour l'application

Conforme à la performance 1 d'eIAM sous

Pattern - Intégration avec la gestion des accès dans l'eIAM


L'accès à l'application doit se faire par le biais d'une demande d'accès de l'utilisateur au BVA (gestionnaire des utilisateurs de l'application) compétent.
L'accès à l'application doit se faire par le biais d'une demande d'accès de l'utilisateur au BVA (gestionnaire des utilisateurs de l'application) compétent.

  • Dans ce pattern d'intégration, aucun RP-PEP n'est nécessaire en amont, car l'application ne présente pas de besoins de protection accrus. La communication se fait directement entre le navigateur web et l'application.
  • Dans ce schéma d'intégration, l'application continue à recevoir la prestation "authentification" du service eIAM.
  • Dans le mandant eIAM-AM de l'IP, les autorisations (rôles) et autres attributs peuvent être gérés par le sujet. La gestion des accès peut être effectuée entièrement ou partiellement dans l'eIAM-AM. Pour les applications avec une logique d'autorisation complexe, il est recommandé de le prévoir dans l'application.
  • Le résultat est un token avec les informations suivantes:--
    • Identifiant de l'identité électronique (persistant)
    • quelques attributs du sujet accédant (contenu et qualité dépendant de l'identité)
    • Information sur la qualité de l'authentification effectuée
    • Rôles et attributs issus de la gestion des accès dans l'eIAM (eIAM-AM)
  • L'application peut obtenir tous les attributs requis par l'eIAM à partir du jeton via le sujet accédant.
Correspond à l'eIAM Performance 1 et 7 sous [l :]https://www.eiam.swiss/?c=f!eiamfunc!pub&l=fr[:l]

Pattern - Intégration avec la gestion des accès dans eIAM (eIAM-AM) et backchannel pour les attributs


L'accès à l'application se fait par l'envoi automatisé d'un mail avec un code unique d'onboarding à l'utilisateur.
L'accès à l'application se fait par l'envoi automatisé d'un mail avec un code unique d'onboarding à l'utilisateur.

  • Dans ce pattern d'intégration, aucun RP-PEP n'est nécessaire en amont, car l'application ne présente pas de besoins de protection accrus. La communication se fait directement entre le navigateur web et l'application.
  • Dans ce schéma d'intégration, l'application continue à recevoir la prestation "authentification" du service eIAM.
  • Dans le mandant eIAM-AM de l'IP, les autorisations (rôles) et autres attributs peuvent être gérés par le biais du sujet. La gestion des accès peut être effectuée entièrement ou partiellement dans l'eIAM-AM. Pour les applications avec une logique d'autorisation complexe, il est recommandé de le prévoir dans l'application.
  • Le résultat est un token avec les informations suivantes:
    • Identifiant de l'identité électronique (persistant)
    • -certains attributs du sujet accédant (contenu et qualité dépendant de l'identité)
    • Information sur la qualité de l'authentification effectuée
    • Rôles et attributs de la gestion des accès dans l'eIAM (eIAM-AM)
  • L'application ne peut pas obtenir tous les attributs nécessaires de l'eIAM à partir du jeton via le sujet accédant (par ex. seulement l'identifiant)
  • L'application doit obtenir des attributs supplémentaires à partir d'eIAM par l'intermédiaire du sujet d'accès via un backchannel. Pour cela, eIAM offre:
    • Une interface de service Web (SOAP Web Service)
    • Une interface ldap (accès en lecture seule possible)
Conforme à l'eIAM performance 1,7 et 9 sous

Pattern - Intégration avec la gestion des accès dans eIAM et RP-PEP en amont




  • Dans ce pattern d'intégration, un RP-PEP est nécessaire en amont, car l'application présente un besoin de protection accru et se trouve donc dans une zone de réseau correspondante.
  • Toute la communication se fait du navigateur web à l'application via le RP-PEP. Le RP-PEP impose que l'accès à l'application ne soit possible que si:
    • le sujet accédant a été préalablement authentifié avec succès
      • --l'authentification a été effectuée avec la qualité minimale acceptée
    • le sujet accédant a un rôle correspondant dans l'AM eIAM qui autorise cet accès
  • Dans ce pattern d'intégration, l'application continue d'obtenir la prestation "authentification" du service eIAM.
  • Dans ce modèle, au moins un rôle d'autorisation générale doit être géré dans l'AM eIAM, qui permet à l'utilisateur d'accéder à l'application via le RP-PEP dans la zone sécurisée.
  • Dans le mandant eIAM-AM de l'IP, les autorisations (rôles) et autres attributs peuvent être gérés par le biais du sujet. La gestion des accès peut être effectuée entièrement ou partiellement dans l'eIAM-AM. Pour les applications avec une logique d'autorisation complexe, il est recommandé de le prévoir dans l'application.
  • Le résultat est un token avec les informations suivantes:
    • Identifiant de l'identité électronique (persistant)
    • -certains attributs du sujet accédant (contenu et qualité dépendant de l'identité)
    • Information sur la qualité de l'authentification effectuée
    • Rôles et attributs issus de la gestion des accès dans l'eIAM (eIAM-AM)
  • L'application peut obtenir tous les attributs requis par l'eIAM à partir du jeton via le sujet accédant.
Correspond à la performance eIAM 1,7 et 11 sous