Anforderungen an das Projekt

Bevor die Integration einer Applikation in den Service eIAM stattfinden kann, muss eine Reihe von Vorgaben und andere formalen Anforderungen eingehalten werden. Grundsätzlich macht der eIAM Service Vorgaben zur Integration von Applikationen. Das eIAM-Dossier beinhaltet verschiedene Elemente für die Informationserfassung. Die Strukturierung soll helfen die Informationen über den Projektverlauf einfacher, und dem Fortschritt entsprechend verständlicher zu erfassen. Die grafische eIAM Projekt Ablauf & Steuerung und das eIAM-Dossier soll Ihnen helfen Ihre Stakeholder korrekt zu involvieren.

Verantwortlichkeiten eIAM <=> Applikation

Die nachstehende Abbildung zeigt schematisch auf, in welchem Bereich eIAM und in welchem Bereich das Projekt die organisatorische Verantwortung hat. Die Abbildung zeigt jeweils eine Web Applikation in den Netzen der Bundesverwaltung und eine Applikation ausserhalb der Netze der Bundesverwaltung.

Verantwortlichkeiten eIAM <=> Appliaktion
Verantwortlichkeiten eIAM <=> Appliaktion

Der BIT Projektleiter, in Zusammenarbeit mit seinen Stakeholder, ist verantwortlich für folgende Aufgaben:
  • Die Bestellung von Loadbalancer sowie DNS Einträgen und anderen Infrastrukturdefiitionen für die Kommunikation zwischen eIAM-Web PEP und der Applikation.
  • Die Bestellung von Firewall Rules für die Kommunikation zwischen eIAM PEP und Loadbalancer vor der Applikation, wenn auf dem Loadbalancer nicht der Standard TCP Port 443 verwendet wird. Muss vom Applikationsverantwortlichen eine entsprechende Firewall Öffnung beantragt werden, kann die Liste der Source IP Adressen der PEP beim verantwortlichen SIE von eIAM verlangt werden.
  • Der gesamte grüne Bereich in der Abbildung liegt im Verantwortungsbereich des Kunden

Anforderungen an die Systemumgebungen

Der Service eIAM drei Betriebsumgebungen (Stages/Instanz). Die Referenz- oder Integrationsumgebung (REF), die Abnahme- oder Vorproduktionsumgebung (ABN) und die Produktionsumgebung (PROD). Diese 3 Umgebungen sind voneinander isoliert und voneinander unabhängig.

Integrationen mit eIAM finden grundsätzlich immer und ausschliesslich in der Referenzumgebung statt. Eine direkte Integration einer Applikation in der Abnahme- oder Produktionsumgebung ist nicht möglich. Aus der Referenzumgebung erfolgt nach der Freigabe durch den Kunden ein Transport (Staging) in die Abnahmeumgebung von eIAM und anschliessend innerhalb des Customer-Change-Plan (CC-Plan) in die Produktionsumgebung.

Muss für die gleiche Applikation eine weitere Betriebsumgebung (neben REF, ABN, PROD) mit eIAM integriert werden, so wird diese aus der Sicht von eIAM wie eine zusätzliche Applikationen behandelt. Da eIAM keine weitere Umgebung bereitstellen kann, muss in der Referenzumgebung eine weitere Integration stattfinden und anschliessend das Staging in die Abnahmeumgebung erfolgen.

Konformität zur IAMV bestätigen

  1. Fall: Betrieb der Applikation im Bundes Verwaltungsnetzwerk.
    Die Anforderungen an die Informationssicherheit werden gemäss IAMV eingehalten 

  2. Fall: Betrieb der Applikation in einem externen Netzwerk.
    Zur Einhaltung IAMV Art. 17 . Bekanntgabe von Personendaten an einen externen Betrieber (IaaS, PaaS, SaaS Cloud Lösungen) muss der Kunde die IAM-Föderation nach extern, mittels im eIAM-Dossier eingebautem Antragsformular, vom ISBO digital signiert und im eIAM-Dossier als PDF hochzuladen, beantragen.

Benutzer Autorisierungskonzept

Es liegt ebenso in der Verantwortung des Projektes, ein Benutzer Autorisierungskonzept, auf Basis der vorliegenden Dokumente zu erstellen.

Sicherheit

Für die Sicherheit der eIAM Plattform ist das BIT verantwortlich. Für die Sicherheit der Fachapplikation ist der das Projekt respektive der Applikationsverantwortliche zuständig.
Das BIT stellt im Rahmen des Patch- und Release-Management sicher, dass die eIAM Plattform jederzeit auf dem aktuellen Stand der Technik ist. Er spielt dabei regelmässig Sicherheits-Patches und neue Releases von Softwarekomponenten im Betriebssystem sowie in der Middleware ein. Die Einspielung dieser Patches und Releases wird dem Kunden im Voraus angezeigt (ausser bei Emergency Patches), so dass der Kunde seine Applikation allenfalls anpassen kann. Die Verantwortung für diese Arbeiten liegt ausschliesslich beim Kunden.

Schutzbedarf


Die Evaluierung des Schutzbedarfs ist Sache der Applikationseigner und wird im eIAM-Dossier NICHT abgebildet. Die Applikationseigner sind verantwortlich, dass die im vorliegenden Dossier bestellte Authentifizierungsqualität (QoA) sowie - unabhängig von eIAM - das Hosting dem Schutzbedarf gerecht werden und dass dies und etwaige Abweichungen nach unten im ISDS-Konzept klar abgebildet werden. Zu diesem Thema wird die Checkliste empfohlen.

ISDS Konzept

Das Projekt ist verantwortlich für die Erstellung eines ISDS (Informationsschutz Datenschutz) Konzept falls dies die Ergebnisse der Schutzbedarfsanalyse dieses fordert. Dieses muss spätestens vor der Überführung einer Lösung in die Abnahmeumgebung des BIT vorliegen.

Architekturkonformitätserklärung

Das Projekt ist verantwortlich für die Erstellung einer Architekturkonformitätserklärung. Diese muss spätestens vor der Überführung einer Applikation in die Abnahmeumgebung vorliegen.

eIAM-Versorgung von Cloud-Lösungen

Die Versorgung von Applikationen in AWS und Azure und anderen Clouds wird erfolgreich praktiziert. SaaS und andere Cloud-Patterns unterstehen auch der Bezugspflicht.