Rollout des delegierten Managements

Das delegierte Management findet nicht im IDM statt, sondern in einem dedizierten Web-User Interface vom eIAM AdminPortal. Dieses kann auch durch die Zielapplikation über eine Schnittstelle automatisch bespielt werden.

API eIAM-RDM eIAM-RDM ermöglicht das Einladen von . . .

Um die Delegierung an eine oder mehrere interne oder externe Organisationseinheiten vornehmen zu können, werden durch Sie in eIAM sogenannte Units eröffnet, welche diese Organisationseinheiten repräsentieren. Die Units sind also eine Strukturierung Ihres eIAM-Accessmandanten. Pro Unit laden Sie, ebenfalls im vorerwähnten Web-User Interface, mindestens einen Delegierten Manager ein. Der delegierte Manager kann nun selbständig innerhalb seiner Unit «seine» Benutzer einladen und berechtigen. Die Eigenschaften der Unit, sprich welche Rollen und Attribute für welche Zielapplikationen darin vergeben werden können, stellen Sie als Unit-Eröffner selber ein, ebenso, ob die Delegierten Manager selber Sub-Units eröffnen und delegieren können.

Die zentrale Eigenschaft des delegierten Managements sind die vorerwähnten Einladungen, also das Einladen der Delegierten Manager und das Einladen der Benutzer durch die Delegierten Manager. Das Einladungsverfahren bringt den Vorteil, dass die Benutzer angelegt und auch bereits berechtigt werden können, bevor man deren elektronische Identität kennt. Die Benutzer erhalten einen Onboarding Code, z. B. per E-Mail, welchen Sie mit einer adäquaten elektronischen Identität ihrer Wahl einlösen werden, im Moment des Einlösens wird die elektronische Identität mit dem im delegierten Management vorbereiteten Benutzerdatensatz verbunden.

Welche elektronischen Identitäten adäquat sind, ist über die Integration der angesteuerten Zielapplikation definiert. Sind Benutzer, die nicht mit Smartcards der Bundesverwaltung ausgerüstet werden können, das Zielpublikum, bietet das CH-LOGIN die selbstregisrierte, unabgeklärte Variante mit einem oder zwei Loginfaktoren (mTAN und Authenticator App) und eine abgeklärte Variante, letztere mit einem Hardcrypto-Token (FIDO Sicherheitsschlüssel, Mobile ID) und einer Videoidentifikation (VIPS) oder dem Vasco-Token als zweiten Faktor.

Für die Verwendung von ungeklärten (selbstregistrierten) wie auch geklärten (zertifizierten Identitäten) elektronischen Identitäten im Verkehr mit der Bundesverwaltung wird BYOI in Zukunft auch im Rahmen der delegierten Verwaltung von eIAM häufiger werden.

Vorbereitung

Die Nutzung des delegierten Managements setzt eine seriöse Vorbereitung voraus. Wie bereits erwähnt ist dabei der organisatorische Aspekt derjenige auf den der Schwerpunkt gesetzt werden muss. Selbstverständlich braucht es auch technische und fachliche Vorbereitungen. Diese setzen aber auf der organisatorischen Vorbereitung auf. Grundsätzlich steht die Funktionalität des eIAM AdminPortals innerhalb eIAM bereits zur Verfügung und kann jederzeit genutzt werden.

Vorgehensweise

Die nachfolgende Grafik veranschaulicht die einzelnen Phase der Vorgehensweise des Rollout des delegierten Managements im Rahmen eines Projektes.
Projekt Phasen des delegierten Management Rollouts
Projekt Phasen des delegierten Management Rollouts

*(nur nach Bedarf)
Phase Initialisierung
  • Projekt Management
    • Im Rahmen eines Beratungsgespräches auf Basis eines eIAM Dossiers wird gemeinsam zwischen Leistungserbringer und Leistungsbezüger geklärt, ob sich das delegierte Management für die Use Cases des Amtes eignen
    • Im Rahmen der Klärung wird das elektronissche eIAM Dossier online gemeinsam ausfüllt und/oder ggf. gemeinsam ergänzt und korrigiert
  • Organisatorisches Management
    • Es muss geklärt werden, welche Stellen in einen allfälligen Rollout des delegierten Managements eingebunden werden. Das beinhaltet auch Ansprechpartner in Drittkreisen (z.B. bei Firmen und Kantonen)
  • Technisches Management
    • Es muss geklärt werden, welche Ansprechpersonen aus technischer Sicht seitens Fachanwendungen in das Rollout und bez. einer allfälligen Schnittstellenanpassung und Migration mit eingebunden werden müssen. Das beinhaltet auch Personen bei Drittlieferanten von Fachanwendungen
  • Fachliches Management
    • Es muss geklärt werden, welche fachlichen Verantwortlichen für Fachanwendungen, sowie welche Betriebsorganisationen (Level 1 bis Level 3) im Rahmen des Rollouts eingebunden und geschult werden müssen
    • Es muss geklärt werden wer bez. Endanwender Schulung in die Rollout Planung eingebunden werden muss
Analysephase
  • Projekt Management
    • Durch die vielfältigen Aufgaben und Abstimmungen braucht es einen Projektrahmen, welcher das Ganze Vorhaben des Rollouts des delegierten Managements koordiniert. Die entsprechende Projektstruktur ist durch das Amt aufzusetzen und zu definieren
    • Die Einführung des delegierten Managements braucht in Abhängigkeit zu den verschiedensten Aktivitäten einen genauen Zeitplan. Je nachdem, ob Schnittstellen angepasst und/oder Migrationsaspekte berücksichtigt werden, dauert der Rollout ggf. Wochen bis Monate (bspw. Swissmedic als Pilot dauerte 9 Monate)
    • Das Projekt ist dafür verantwortlich, dass die fachliche Ausgangslage im Sinne der Geschäftsprozesse in angemessenem Masse berücksichtigt werden. Diese können durch das delegierte Management grundlegend ändern und müssen entsprechend nachdokumentiert sein. (Beispiel Swissmedic: Zugriff mit Abklärung und Dokumentenaustausch dauerte 3 Tage. Durch Dezentralisierung mit delegiertem Management kann der Nutzer ohne Dokumentenaustausch innert 30 Minuten onboarded werden)
  • Organisatorisches Management
    • Das Amt muss die Unit-Struktur festlegen und kann sich dabei an Ihren Geschäftsprozessen orientieren. Es müssen dabei fachliche, wie organisatorische Aspekte berücksichtigt werden. Grundsätzlich gibt es für jeden der das delegierte Management nutzt, eine Master Unit welche gleich heisst wie der Mandant
    • Durch die Mandanten Struktur von eIAM als technische Rahmenbedingungen müssen ggf. Abhängigkeiten über eine blosse Applikationssicht hinaus getätigt werden. Dabei können auch Amtsweite ganzheitlich Konsolidierungen im Projekt ins Auge gefasst werden. Dies sollte als Chance gesehen werden heterogen gewachsene Strukturen zu konsolidieren. Es gilt aber auch die Struktur so zu definieren, dass Sie zukünftige Anforderungen Stand hält und skalierbar ist
    • Durch das delegierte Management müssen ggf. Verantwortlichkeiten zwischen Amt und Dritten, welche das delegierte Management übernehmen neu geregelt werden. Es empfiehlt sich hier im Rahmen des Projektes den jeweiligen Rechtsdienst der Ämter zu konsultieren und allfällige Vertragsanpassungen durch Sie erarbeiten zu lassen
    • Eine frühe Kommunikation an alle Stakeholder ist eine Schlüsseltätigkeit für den Erfolg des Vorhabens. Durch die breite Wirkung des delegierten Managements macht es Sinn die Kommunikation an alle Stakeholder über die ganze Projektphase zu planen
  • Technisches Management
    • Das delegierte Management setzt ein sauberes Rollenkonzept voraus, welches genau definiert wer welche Berechtigungen für das delegierte Management und dessen Support benötigt. Dieses Rollenkonzept muss erstellt werden. Sollte bereits eines bestehen muss dieses auf die Eignung für delegiertes Management hin geprüft und ggf. angepasst werden. Es empfiehlt sich im Rahmen des Rollenkonzeptes die Möglichkeit zur Bildung von Geschäftsrollen zu prüfen. Diese können die Rollenvergabe vereinfachen, da eine funktionsspezifische Bündelung erfolgen kann. Insbesondere zukünftige neue Rollen sind so einfacher auszurollen, da man diese in stehende Sets integrieren kann
    • Für Rollen mit Attributen gibt es technische Schnittstellen für deren Einlieferung, falls diese nicht manuell gepflegt werden wollen (Beispiel Swissmedic mit über 3000 Medikamenten). Des Weiteren muss die Fachapplikation so angepasst werden, dass sie die von eIAM erhaltenen Informationen bez. dieser Attribute abfragen und auswerten kann. Solche Schnittstellen sind aktuell nicht im Standardangebot für delegiertes Management enthalten und müssen immer separat und nach Bedarf beauftragt und entwickelt werden
    • Das delegierte Management basiert auf der Nutzung von CH-LOGIN Accounts im eGov Bereich und Bundesaccounts. Ämter mit bestehenden Fachgemeinschafts-Mandanten müssen im Projekt eine Migration dieser Accounts auf CH-LOGIN Accounts mitberücksichtigen. Die Migrationsschritte müssen im Projekt analysiert und geplant werden
  • Fachliches Management
    • Das Rollenset basiert nicht nur auf technischen Aspekten, vielmehr werden dadurch auch fachliche Aspekte abgebildet. Daher braucht es bei der Definition des Rollenkonzeptes eine enge Abstimmung mit den fachlichen Verantwortlichen, damit eine sinnvolle Rollenstruktur definiert werden kann. Bei der Verwendung von Attributen auf Rollen muss auch dem Aspekt der Datenräume Rechnung getragen werden. Diese erweiterte Dimension der Berechtigung muss mit den dahinterliegenden, fachlichen Anforderungen aus den Geschäftsprozessen abgestimmt sein
    • Der Schulungsbedarf der verschiedenen Anspruchsgruppen ist zu klären und im Rahmen eines Schulungskonzeptes fest zu halten. Die Schulungen sind auf die Bedürfnisse des Amtes mit ihren spezifischen Use-Cases auszurichten. Dabei können existierende Schulungsunterlagen wiederverwendet und bedarfsorientiert angepasst werden
    • Der fachliche Rollout des delegierten Managements muss detailliert geplant werden, damit alle involvierten Anspruchsgruppen rechtzeitig den benötigten Wissenstand für Ihre tägliche Arbeit haben. Ein gestaffeltes Vorgehen ist sinnvoll, genauso wie ggf. der Aufbau einer Schulungs- und/oder Demoinfrastruktur auf vor produktiven Systemen
Umsetzungsphase
  • Projekt Management
    • Organisatorisches, technisches und fachliches Rollout braucht eine enge Abstimmung, welche nur durch eine adäquate Projektorganisation gewährleistet werden kann
    • Alle Aspekte müssen allfällige Terminverzögerungen und sonstige Herausforderungen adäquat mitberücksichtigen. Insbesondere zusätzliche Schnittstellen- und Migrationsaspekte müssen sorgfältig begleitet werden
  • Organisatorisches Management
    • Es empfiehlt sich bei Vergabe des delegierten Managements an Drittkreise (z.B. Firmen und Kantone) Aufgaben, Kompetenzen und Verantwortlichkeiten im Sinne von Rechten und Pflichten zwischen den Vertragsparteien in schriftlicher Form sauber zu regeln. Die Erarbeitung der dazu notwendigen vertraglichen Grundlage ist auf Basis der Geschäftsprozesse Sache des Amtes
    • Es empfiehlt sich die Kommunikation über mehrere Kanäle (Mailings (Newsletter), Briefe, Infoanlässe, Online Publikationen, usw.) zu machen. Die Kommunikation muss Empfängerspezifisch erfolgen. So benötigen Support Organisationen, sowie die Delegierten Manager andere Informationen als schlussendlich die Endanwender und reinen User, welche ggf. wegen Migrationsschritten von der Umstellung betroffen sind. Die Kommunikation muss entsprechend dem Bedarf des Amtes und Ihrer Kunden spezifisch aufgesetzt werden
  • Technisches Management
    • Auf Basis der erarbeiteten Unit Strukturen und des Rollenkonzeptes werden in der Umsetzungsphase in eIAM (IDM) die entsprechenden Daten angelegt. Dies erfolgt je nach Komplexität (Greenfield-Approach, Migration, Konsolidierung, usw.) manuell oder skriptbasiert. Durch das Staging über die Vorproduktiven Umgebungen, wie Referenz und Abnahme können im Verlaufe des Projektes Erfahrungen gemacht und kleinere Adaptionen und Korrekturen vor dem Go-Live in der Produktion noch vollzogen werden
    • Schnittstellen müssen den jeweiligen Entwicklungsteams seitens der Fachapplikation und eIAM in Auftrag gegeben werden. Es sind hier ausreichende Phasen für Integration und Testing zu planen
    • Migrationen erfolgen in der Regel skriptbasiert und basieren auf dem erarbeiteten Migrationskonzept, dass die spezifischen Besonderheiten der Applikations-Integrationen des Amtes berücksichtigt
  • Fachliches Management
    • Die initiale Rollenvergabe entsprechend dem Rollenkonzept kann sowohl manuell wie skriptbasiert erfolgen. Für Demo und Test-Zwecke ist ein manuelles Handling einfach und unterstützt ein pragmatisches, agiles Vorgehen. Für die finale Initialisierung mit Rollen sollte ein ausschliesslich skriptbasierter Ansatz gewählt werden um Fehler zu vermeiden
    • Für die Schulungen können bereits bestehende Dokumentationen genutzt und adaptiert werden. Insbesondere für den Umgang mit dem CH-LOGIN Account empfiehlt es sich nicht Amtsspezifische Dokumentationen zu erstellen, da sonst bei Releasewechseln, das Amt aufwändige Dokumentationsnachpflege durchführen muss. Ausschliesslich der Fachapplikationsspezifische Aspekte soll spezifisch auf das Amt ausgerichtet werden. Also Aspekte wie Einstiegspunkt für die Fachapplikation oder Erklärung von Rollen der Fachapplikation und deren Bedeutung für die Delegierten Manager
    • Die Durchführung der Schulung rechtzeitig umzusetzen, damit die Anspruchsgruppen durch die Umstellung in ihrem Tagesgeschäft nicht behindert werden
Anschluss
  • Projekt Management
    • Es empfiehlt sich nach Abschluss des Rollouts eine Feedbackrunde zu veranstalten
    • Die Lessons learned sind fest zu halten und geeignete Verbesserungsmassnahme für zukünftige Umstellungen sind seitens BIT zu definieren. Damit kann innerhalb des Bundes ganzheitlich von den gemachten Erfahrungen profitiert werden
    • KAIZEN, im Sinne des kontinuierlichen Verbesserungsprozesses ist auf Basis der Erfahrungen im täglichen Geschäft zu etablieren. Insbesondere die Support Organisationen sind darin zu unterstützen, dass sie auftretende Probleme mit hoher Autonomie selbst lösen können
    • Input der Endanwender sind als Change Requests und Improvements in das Release Backlog einzuspeisen, damit eine kontinuierliche Verbesserung der Funktionalität auf Basis der Kundenfeedbacks möglich wird
  • Organisatorisches Management
    • Es empfiehlt sich nach Abschluss des Rollouts im Sinne "Tue Gutes und rede darüber" entsprechend abschliessend zu informieren
    • Das Projekt hat den Leistungsauftrag an die ausführenden Organisationen zur Übergeben und die Aufgaben in den ordentlichen Betrieb zu überführen
  • Technisches Management
    • Für allfällige technische Implementation, wie Schnittstellen und Integrationen muss eine offizielle fachliche Abnahme des Leistungsbezügers gegenüber dem Leistungserbringer erfolgen. Damit wird der Go-Live festgehalten und allfällige Änderungsansprüche und Korrekturen können im Anschluss nur über entsprechende Zusatzaufträge ausgeführt werden
  • Fachliches Management
    • Die fachliche Operationalisierung stellt sicher, dass alle Anspruchsgruppen in ausreichender Form dokumentiert sind, damit sie ihre täglichen Arbeiten bewältigen können
    • Verantwortlichkeiten zwischen Leistungserbringer und Leistungsbezüger sind klar geregelt. Dies betrifft insbesondere die klare Abgrenzung der Aufgaben der verschiedenen Supportorganisationen

Initialer fachtechnischer Setup

Für das Delegierte Management ist ein initialer fachtechnischer Setup notwendig. Dieser beinhaltet insbesondere
  • die initiale Bereitstellung / Bereinigung der Unit Struktur
  • die initiale Bereitstellung / Bereinigung der Rollen-Struktur
Initiale Bereitstellung / Bereinigung der Unit Struktur
Die Unit-Struktur ist eines der zentralen Elemente über, welches das delegierte Management gesteuert wird. Die Unit Struktur will wohl überlegt sein, da Sie ganzheitlich innerhalb eines eIAM Mandanten (vielfach auf Stufe Amt) hinterlegt werden muss. Diese Struktur muss im Rahmen des Rollouts analysiert und basierend auf dem definierten Unit-Konzept entweder initial definiert und/oder ggf. entsprechend bereinigt werden.

Initiale Bereitstellung / Bereinigung der Rollen-Struktur

Vorbereitung fachliche Rollen

Initiale Rollenvergabe
Spezifische Rollen des delegierten Managements

Damit die Delegierten Administratoren die Funktionalitäten anwenden können, müssen ihnen zuerst die entsprechenden IDM Rollen in ihrem Benutzerprofil zugewiesen werden.

IDM Rollen & Zugriffsvergaben IDM ist das . . .

Rollen Name im IDM Bezeichnung Aufgaben der Rolle
DelegatedManager_DelegMgmt_Permission Delegated Administrator for DelegatedAdmin_User and DelegatedAdmin_Permission Diese Rolle ist Grundvoraussetzung für den Zugriff auf das Portal Management-GUI.
Diese Rolle erlaubt zudem die Weitergaben der Rollen DelegatedAdmin_User und DelegatedAdmin_Permission. Nur Benutzer mit dieser Rolle können das Register ‘Grant Delegated Management Permissions’ im eIAM Portal GUI einsehen.
DelegatedManager_Permission Delegated Administrator for Access Management Diese Rolle ermöglicht das Verwalten der Rollen des Benutzers im Kontext des Delegierten Managements.
DelegatedManager_SubUnit Delegated Administrator for Subunits Diese Rolle erlaubt die Verwaltung von Subunits. Mainunits können nicht verwaltet werden.
DelegatedManager_MainUnit Delegated Administrator for Subunits Diese Rolle erlaubt die Verwaltung von Main- und Subunits.
DelegatedManager_User Delegated Administrator for Identity Management Diese Rolle erlaubt die Verwaltung von Benutzerrechten und das Hinzufügen von neuen Benutzern.
DelegatedManager_Client n.a. n.a. (Mandanten-Management)



IDM Rollen: Datenraum bearbeiten

Neben den eigentlichen funktionalen Berechtigungen im eIAM-AM durch Rollen gibt es einen weiteren Typ von Berechtigungen die sogenannten Datenraum Berechtigungen. Diese steuern, auf welchen Teil der Daten die entsprechende funktionale Berechtigung angewendet werden darf. So kann beispielsweise ein Administrator mit der BVA Rolle keine Berechtigungen auf Applikationen vergeben, bis ihm mindestens ein Mandanten Datenraum und mindestens ein Datenraum einer Applikation zugewiesen wird. Die Rollen steuern folglich was der Inhaber der Rolle tun darf. Der Datenraum steuert wo er dies tun darf.

Datenraum Datenraumbeschränkung Empfehlung
Mandant Einzelne oder alle Mandanten Ein Mandant
Abteilung Einzelne oder alle Abteilungen Alle Abteilungen
Applikation Einzelne oder alle Applikationen Einzelne Applikationen
Nachdem die IDM Basisrollen für das Delegierte Management zugewiesen sind, müssen diese auf den zu verwendenden Datenraum konfiguriert werden.


Dies erfolgt über die Funktion ‘Rollen-Datenraum bearbeiten’.


die IDM Rolle ‘DelegatedManager_Permission’ muss zudem der folgende Parameter konfiguriert werden: ‘Berechtigt für die folgenden Geschäftsrollen’.

Hier sind die definierten Musterrollen zu erfassen, welche der designierte Benutzer weitervererben kann/soll.

Auf der IDM Rolle ‘DelegatedManager_User’ muss zudem sichergestellt sein, dass die erfasste Abteilung (Unit) auf dem Profil mit der erfassten Abteilung in der zugewiesenen IDM Rolle übereinstimmt.

eIAM Admin Portal Einstieg ins eIAM Admin . . .