Release Notes / Kunden Informationen

>>> Breithorn 6. August 2023 <<<

Stand: Final

Die Release Notes (RN) berichten über die Erweiterungen, sowie neuen Funktionalitäten und Änderungen der eIAM Services gemäss Roadmap DTI.

Bitte beachten Sie, dass Termine für die Fertigstellung von Dokumentationen und Konzepten sich in der Regel auf das Ende einer Release Periode beziehen und nichts mit den einzelnen Release Zeitpunkten (Release Terminen) für Funktionalitäten zu tun haben.

Einführungstermine / Neuerungen


REF: 27. Juni 2023  <Tests!> ABN: 12. Juli 2023  <Tests!>  PROD: 6. August 2023

  • Durchgehend entfernbare eIAM Stage-Banner
  • MyAccount - Einstiegsseite neu "Home"
  • MyAccount - Favoriten setzten
  • MyAccount – FED-LOGIN Aktivierung
  • Management von technischen Identitäten in eIAM
  • Anpassung Bot-Schutz für Zugriffe von ausserhalb der Bundesverwaltung
  • Migrationen auf die neue eIAM CI/CD Automationsplattform

Regressionstests durch eIAM Kunden
Ihre Mitarbeit ist notwendig und sehr wichtig. Wir hatten in den letzten Releases ausschliesslich dort Probleme in den höheren Betriebsumgebungen (ABN, PROD), wo Applikationen ihre Regressionstests im Vorfeld auf REF und/oder ABN nicht durchgeführt hatten. Dies sind unnötige Probleme, welche wir gemeinsam vermeiden können. Wir zählen hier auf Ihre Unterstützung. Es ist wichtig, dass Sie ihre Regressionstests sorgfältig durchführen und dem Testing Team allfällige Probleme zeitnah und qualifiziert melden.

Ablauf und Erwartungshaltung bei der SR Einführungen

Um den stabilen und sicheren produktiven eIAM Service gewährleiten zu können, benötigen wir bis zum SR Rollout auf die PRODUKTION aussagekräftige Regressionstests der Applikationen in der REF- und ABN-Instanzen. Dazu stehen Ihnen pro Stage jeweils mindestens 14 Tage zur Verfügung. Planen Sie Ihre Testaktivitäten bitte früh in diese Perioden, damit allfällige Bugfix-Releases rechtzeitig möglich sind.

Diese Release Notes helfen Ihnen bei der Planung der Regressionstests in Bezug auf Ihrer genutzten eIAM Funktionalitäten und dient Ihnen auch als Informationsquelle für Ihre Endkundenkommunikation. Bitte beachten Sie dabei, dass die finale Version der Release Notes mit allen notwendigen Details, erst kurz vor der produktiven Installation geliefert wird.

Wichtig
Sollten Sie bei Ihren Regressionstests auf Probleme stossen informieren Sie umgehend unser Testing Team unter: Testing-eiam@bit.admin.ch. Die Kollegen werden Ihren Input aufnehmen, prüfen und konsolidieren. Wir danken hier bereits für Ihre wichtige Mithilfe und Unterstützung um den erreichten, hohen Qualitätsstandard der Service Releases zu halten und weiter ausbauen zu können!

eIAM Ansprechpartner

Sollten Sie Fragen oder Anliegen haben zu eIAM, ePortal oder PAMS können Sie sich an folgende Stellen oder Personen wenden;

eIAM Anlaufstellen
×

Release Notes

Durchgehend entfernbare eIAM Stage-Banner

Die sogenannten «Stage-Banner» in der linken oberen Ecke der Webseiten von eIAM sind sehr praktisch für Anwendende, da sie daran einfach erkennen können, dass sie sich auf einer nicht produktiven Umgebung bewegen. Sie können aber hinderlich sein, wenn Dokumentationen bereits erstellt werden sollen, bevor eine Funktion auf der produktiven Umgebung verfügbar ist. Auf Wunsch unserer Kunden sind diese «Stage-Banner» nun überall in eIAM wegklickbar. Beim nächsten Aufruf der Seite erscheint das Stage-Banner wieder.
Bild mit dem eIAM Stage-Banner TEST
eIAM Stage-Banner TEST
Bild mit dem ausgeblendeten eIAM Stage-Banner
Ohne eIAM Stage-Banner


MyAccount - Einstiegsseite neu "Home"

Bisher wurden die Anwendenden bei Aufruf von MyAccount im Web Browser auf den Bereich «Benutzerprofil» geleitet.

Neu werden die Anwendenden automatisch auf den Bereich «Home» geleitet. In dieser Ansicht sieht er die Auswahl von Anwendungen, für welche er Berechtigungen im eIAM besitzt und kann diese aus diesem Bereich aufrufen, sofern ein entsprechender Link für die Anwendung in eIAM hinterlegt ist.

Bitte beachten Sie, dass dies für den direkten Aufruf von MyAccount gilt. Wird MyAccount aus einer Anwendung heraus aufgerufen (Single Sign-On aus der Applikation und Rücksprung in die Applikation), so wird der Bereich «Home» grundsätzlich nicht angezeigt. In diesem Fall wird der Benutzer weiterhin auf den Bereich «Benutzerprofil» geleitet.

MyAccount - Favoriten setzen

Speziell bei Anwendenden mit Berechtigungen für viele in eIAM verwaltete Anwendungen, kann es störend sein, wenn man die am häufigsten verwendeten Anwendungen im MyAccount immer erst suchen muss.

Neu bietet MyAccount den Anwendenden die Möglichkeit, Favoriten zu setzen. Dies geschieht durch das Anklicken des Sternsymbols in der Anwendungskachel. So markierte Anwendungen werden automatisch unter «Favoriten» geführt und sind dadurch für die Anwendenden schneller im Zugriff. Natürlich können die Anwendenden durch das Anklicken des Sterns in der Kachel eine Anwendung auch wieder aus seinen Favoriten entfernen.

Je nach Grösse des Bildschirms werden die Favoriten ganz oben (kleine Bildschirme z.B. Smartphone) oder links angezeigt (grosse Bildschirme).

Bild um die Applikations-Favoriten zu setzen.
Favoriten setzen.


MyAccount – FED-LOGIN Aktivierung

FED-LOGIN erlaubt es, dass die Anwendenden nach der Authentifizierung mit Smartcard alternative Identitätsnachweismittel wie Passwort und Zweitfaktoren (z.B. Mobile ID, mTAN/SMS, Authenticator App) im MyAccount registrieren und im Anschluss auf FED-LOGIN nutzen kann (z.B. für die Authentifizierung mit FED-LOGIN Identität auf einem Mobiltelefon.

Bei der Registrierung mussten in der Vergangenheit die Anwendenden nach dem Registrieren der Identitätsnachweismittel explizit seinen FED-LOGIN Account für die Nutzung der alternativen Identitätsnachweismittel aktivieren. Dies führte dazu, dass Anwendende diesen Schritt versehentlich nicht durchführten und ihre Authentifizierung im Anschluss nicht funktionierte.

Neu wird nach dem registrieren eines zweiten Faktors der FED-LOGIN Login ohne Smartcard automatisch aktiviert.

Management von technischen Identitäten in eIAM

Der eIAM FED-LOGIN ermöglicht die Authentifizierung mittels Smartcard, Active Directory Single Sign-On (Kerberos Ticket), Software Zertifikat Classe-C und alternativen Identitätsnachweismitteln wie Passwort und Mobile ID oder mTAN/SMS respektive Authenticator App (OATH).

In der Vergangenheit war es möglich, sich mit FED-LOGIN mittels Software Zertifikaten oder Active Directory Accounts am FED-LOGIN zu authentifizieren, auch wenn eine Identität, repräsentiert durch das Zertifikat oder den Active Directory Account eIAM nicht im eIAM über den Provisionierungsprozess aus dem Central Identity Store (CIS) bekannt war. Das Identitätsnachweismittel (Zertifikat oder Kerberos Ticket) konnte dazu verwendet werden, eine eIAM Verbundidentität und Identitätsreferenzen in Access Mandanten im Selbstregistrierungsverfahren zu erstellen. Dies führt zu Problemen mit der Governance im Enterprise Kontext. Da im Enterprise Kontext der Life Cycle sämtlicher Identitäten verwaltet sein muss.

Ab dem Release Breithorn ist es nicht mehr möglich, eine mit FED-LOGIN nutzbare Identität im Selbstregistrierungsverfahren zu erstellen und mittels Selbstadministration in MyAccount zu pflegen.

Persönliche, im FED-LOGIN nutzbare und im CIS geführte Identitäten werden über Provisionierungsprozesse automatisch gepflegt. Andere, im FED-LOGIN nutzbare Identitäten müssen über Life Cycle Prozesse in eIAM selbst über nachvollziehbare Prozesse erstellt und gepflegt werden.

Dies betrifft insbesondere Identitäten mit Authentifizierungen mittels Software Zertifikaten der SG-PKI Klasse C und Active Directory Accounts, welche nicht gemäss Central Identity Store direkt einem Mitarbeiter (intern/extern) der BVerw zugeordnet sind (z.B. F-Accounts, S-Accounts, T-Accounts).

Nähere Informationen finden Sie auf der Seite unter: Formulare: Managed Techuser

Der Versuch, sich mittels einer in eIAM unbekannten Identität auf FED-LOGIN zu authentifizieren, führt dazu, dass den Anwendenden eine entsprechende Meldung angezeigt wird.

Fehlermeldung unbekannte Identität
Fehlermeldung


Anpassung Bot-Schutz für Zugriffe von ausserhalb der Bundesverwaltung

Der Service eIAM muss bei einigen Prozessen davor geschützt werden, dass Aktionen automatisiert durchgeführt werden und damit dem Service Schaden zugefügt wird. Dies betrifft neuralgische Operationen wie das Auslösen von E-Mails respektive SMS oder das automatisierte Erstellen von Benutzerkonten. Die bisherige Lösung arbeitete für die Anwendenden komplett transparent im Hintergrund. Sie hatte jedoch den grossen Nachteil, dass echte Benutzer, welche fälschlicherweise als Bot erkannt wurden, keine Möglichkeit hatten zu beweisen, dass sie tatsächlich kein Bot sondern ein Mensch sind. Die neue Lösung ist ebenfalls transparent für die Anwendenden, solange sie mit genügend hohen Wahrscheinlichkeit als Mensch erkannt werden. Im Fall, dass das System (Google reCAPTCHA) die Wahrscheinlichkeit, dass es sich um einen Mensch handelt, als zu tief einstuft, wird die Person im einfachen Fall aufgefordert eine Checkbox anzuklicken. Ist auch bei dieser Aktion die Bot Erkennung immer noch nicht überzeugt, dass es sich um einen Mensch handelt, werden die Anwendenden dazu aufgefordert ein Captcha auszufüllen. Bei der eingesetzten Captcha Lösung Google reCAPTCHA handelt es sich um eine etablierte und weit verbreitete Bot-Erkennungslösung von Google, welche barrierefrei ist.
Abbildung Google reCAPTCHA als Bot-Erkennungslösung.
Google reCAPTCHA

Um das End zu End Testing und das Monitoring aus den Netzen der Bundesverwaltung mit automatisierten Prozessen zu ermöglichen, wird bei Zugriffen aus den Netzen der Bundesverwaltung prinzipiell kein Captcha eingesetzt.

Migrationen auf die neue eIAM CI/CD Automationsplattform

Alle Komponenten von eIAM, sowohl zentrale als auch kundenspezifische, werden sukzessive und gestaffelt auf die neue CI/CD (Continous Integration / Continous Deployment) Betriebsplattform migriert. Diese containerbasierte Betriebsplattform hilft uns eIAM besser zu skalieren und den Anforderungen bezüglich Integrationen und Weiterentwicklung im Service eIAM auch in der Zukunft nachzukommen. Auch mit dem Release Breithorn werden wieder diverse Komponenten von der klassischen eIAM Betriebsplattform auf die neue CI/CD Betriebsplattform migriert. Im Idealfall laufen diese Migrationen für Sie als Kunde von eIAM wie auch für Anwendenden Ihrer Applikationen transparent ab. Kunden, welche von der Migration direkt betroffen sind, werden im Voraus über die geplante Migration informiert.

Nähere Informationen darüber finden Sie unter: eIAM Automation (CI/CD)