Release Notes / Kunden Informationen

>>> Diolinoir 7. August 2022 <<<

Stand: Final


Die Release Notes (RN) berichten über die Erweiterungen, sowie neuen Funktionalitäten und Änderungen der eIAM Services gemäss Roadmap DTI.

Bitte beachten Sie, dass Termine für die Fertigstellung von Dokumentationen und Konzepten sich in der Regel auf das Ende einer Release Periode beziehen und nichts mit den einzelnen Release Zeitpunkten (Release Terminen) für Funktionalitäten zu tun haben.

Einführungstermine / Neuerungen


REF: 28. Juni 2022  <Tests!> ABN: 13. Juli 2022  <Tests!>  PROD: 7. August 2022
  • Rollout der nHEC+ Version 1 mit folgenden Features
    • Neues QoA-Konzept
    • VIPS (Videoidentifikation)
    • CH-LOGIN mit Mobile ID

  • Entfernung ID-Linking
    • das ID-Linking zwischen Bundes- und dem eGOV-Account (CH-LOGIN) wird für alle Benutzer aufgehoben und aufgeräumt.

  • Consistency Checker (CC)
    • Der CC wurde mit dem "Freiburger" Service Release für den VIPS Identifikationsprozess eingeführt. Mit der Einführung des Release Diolinoir kann nun die Synchronisation der Stammattribute zwischen dem Root- und den Access-Accounts für alle Verbundsidentitäten sichergestellt werden.

  • Die Benutzer Root-Account Erstellung wird beim HR-Onboarding unterbunden

Ablauf und Erwartungshaltung bei der SR Einführungen

Um den stabilen und sicheren produktiven eIAM Service gewährleiten zu können, benötigen wir bis zum SR Rollout auf die PRODUKTION aussagekräftige Regressionstests der Applikationen in der REF- und ABN-Instanzen. Dazu stehen Ihnen pro Stage jeweils mindestens 14 Tage zur Verfügung. Planen Sie Ihre Testaktivitäten bitte früh in diese Perioden, damit allfällige Bugfix-Releases rechtzeitig möglich sind.

Diese Release Notes helfen Ihnen bei der Planung der Regressionstests in Bezug auf Ihrer genutzten eIAM Funktionalitäten und dient Ihnen auch als Informationsquelle für Ihre Endkundenkommunikation. Bitte beachten Sie dabei, dass die finale Version der Release Notes mit allen notwendigen Details, erst kurz vor der produktiven Installation geliefert wird.

Wichtig
Sollten Sie bei Ihren Regressionstests auf Probleme stossen informieren Sie umgehend unser Testing Team unter: Testing-eiam@bit.admin.ch. Die Kollegen werden Ihren Input aufnehmen, prüfen und konsolidieren. Wir danken hier bereits für Ihre wichtige Mithilfe und Unterstützung um den erreichten, hohen Qualitätsstandard der Service Releases zu halten und weiter ausbauen zu können!

eIAM Ansprechpartner

Sollten Sie Fragen oder Anliegen haben zu eIAM, ePortal oder PAMS können Sie sich an folgende Stellen oder Personen wenden;

eIAM Anlaufstellen
×

Release Notes

nHEC+ Version 1


nHEC+ ermöglicht es, die selbstregistrierten Accounts des CH-LOGIN, mit ihren nicht verifizierten Attribute wie Name, Vorname mittels einer Videoidentifikation zu verifizieren. Vorteil davon ist, dass dadurch eine höhere Qualität der Attribute und auch eine höhere Authentifizierungstärke als bisher erreicht werden kann. Damit steht neu nun auch die Möglichkeit für CH-LOGINs auf dedizierte Systeme zuzugreifen, welche eine hohe Qualität der Authentifizierung und Abklärung verlangen und darauf angewiesen sind korrekte Identitätsdaten zu erhalten. Die Qualität der dies wird mit dem QoA-Konzept abgebildet. Damit diese hohe Qualität erreicht werden kann, wurde neu auch ein weiteres Authentifizierungsverfahren eingeführt, die Mobile ID, mit diesem Verfahren und der Videoidentifikation erhalten wir eine abgeklärte elektronische Identität mit der QoA50.

Auch ohne der Verwendung der Mobile ID, bietet nHEC+ mit mTAN oder der AuthAPP mit Videoidentifikation einen grossen Vorteil. Obwohl hier eine tiefere QoA40 erreicht wird, sind die Attribute im eIAM mit hoher Qualität vorhanden. Applikationen, die heute eigene Verifikationsprozesse für das Onboarding etabliert haben oder in Zukunft benötigen, können hiermit auf eine neue effiziente Lösung setzen um abgeklärte Identitäten in ihren Applikationen einzuladen oder direkt zu berechtigen.

Mit diesem Release wird die erste Version von nHEC+ ausgerollt. In der ersten Version beinhaltet dies namentlich folgende Features:

  • Neues QoA-Konzept
  • CH-LOGIN mit Mobile ID
  • VIPS (Videoidentifikation)
QoA-Konzept
Das neuen QoA-Konzept (Qualität der Authentifizierung) befasst sich vor allem mit den verschiedenen QoA-Klassen und deren Definition und Einstufung. Dabei ergeben sich durch das neue Konzept folgende Vorteile:
  • Eine Fachapplikation muss sich nicht weiter um komplizierte Konfigurationen auf Seiten eIAM kümmern. Es muss lediglich entschieden werden, welche QoA gewünscht ist für die zu integrierende Fachapplikation. Ist der Entscheid für eine QoA gefallen und wurde diese konfiguriert, wird automatisch sichergestellt, dass die zugelassenen Authentisfizerungsmethoden angeboten werden.
  • Neue Authentifizierungsmethoden stehen so automatisch zur Verfügung, wenn diese in das QoA-Konzept aufgenommen wurden.
  • Neue Anforderungen an die Anbindung von neuen IdPs oder an Authentifizierungsmethoden bzw. an weitere Business Anforderungen können schneller und flexibler reagiert werden.
  • Ein wesentlicher Punkt ist, dass neu auch die Qualität der Registrierung der Identität in der QoA berücksichtigt wird. Beispiel: Ein selbstregistrierter CH-LOGIN mit Passwort und mTAN hat maximal eine QoA von 30! Wird jedoch eine Videoidentifikation durchgeführt, kann die QoA bis auf 40 erhöht werden. (In diesem Release werden noch nicht alle möglichen Kombinationen von Registrierung und den Verschiedenen Authentifizierungsmitteln angeboten. Aktuell nur Passwort mit Mobile ID)

Qualität der Authentifizierung (QoA)

CH-LOGIN mit Mobile ID und VIPS
Da nHEC+ eine starke Authentifizierung voraussetzt, muss der Benutzer im MyAccount sich das Mobile ID Credential einrichten. Dies analog wie es für den FED-LOGIN 2.o möglich ist. Nach einer erfolgreichen Registrierung der Mobile ID, kann der Benutzer sich mit der Mobile ID auf dem MyAccount einloggen und die Videoabklärung durchführen um eine nHEC+ Identität zu erlangen.

Damit eine nHEC+ Identität erstellt werden kann, muss ein CH-LOGIN mittels einer Videoabklärung heraufgestuft werden. Dies geschieht direkt im MyAccount durch den Endbenutzer. Diese Abklärung ist kostenpflichtig für den Benutzer oder er kann einen Voucher einlösen, welcher er z.B. von einem Bundesamt bekommen hat.

Selbstregistrierung unabgeklärt oder mit Videoidentifikation

Entfernung ID-Linking

In eIAM existieren einige hundert Benutzer, welche die Funktionalität ID-Linking nutzen, um über CH-LOGIN oder einen Enterprise IdP (Kerberos, Cert) auf die selben Konten zuzugreifen. Dies war in der Vergangenheit ein interessantes Feauture, da man dadurch den CH-LOGIN verwenden konnte, um auf Ressourcen zuzugreifen, welche der Verbundsidentität zugewiesen wurden, welche für den Einsatz im Unternehmen vorbehalten war. Ursprünglicher Treiber dieser Funktionalität war, dass ein Mitarbeiter auch über ein nicht verwaltetes Gerät auf Ressourcen im Unternehmen zugreifen konnte wie z.B. IPAD, privater PC etc.

Durch die definierte Trennung von Enterprise und eGov ist diese Verlinkung nicht mehr erlaubt und verletzt die Governance. Zudem wird diese auch nicht mehr benötigt, da der neue Fedlogin nun auch die Möglichkeit bietet, sich problemlos von einem nicht verwalteten Gerät sich auf seine Unternehmensressourcen zu zugreifen.

Benutzer die ID-Linking verwenden werden darüber informiert dass sie in Zukunft nicht mehr mit ihrem CH-LOGIN auf ihre Unternehmens Verbundsidentät anmelden können. Heisst alle Recht und Privilegien, welche über die referenzierte Verbundsidentät zugreifbar waren können nicht mehr mit dem verlinkten CH-LOGIN verwendet werden, sondern nur noch über den FED-Login. Aus technischer Sicht wurde entschieden den verlinkten CH-LOGIN mit dem entfernen des ID-Linking zu löschen. Sollten sie für private Zwecke wieder einen CH-LOGIN benötigen, müssen sie einen neuen Login mit privater eMail Adresse erstellen.

Über den Fed-Login können sie weiterhin wie gewohnt auf ihre Ressourcen und Applikationen zugreifen. Evtl. muss der Zugriff für extern und weitere Authentifizierungsverfahren für ihren FED-Login noch aktiviert werden.

Consistency Checker (CC)

Der Consistency Checker ist die wichtigste Erneuerung. Bisher wurden die Benutzer Stammattribute (Name, Vorname, E-Mail etc.) zwischen der Verbundsidentität (Root Account) und den Identitäsreferenzen (Access Accounts) nicht synchronisiert. Dies hat dazu geführt, dass über die Zeit hinweg die Stammattribute zwischen dem Roort Account und den Access Accounts des Benutzers nicht mehr konsistent waren. Leidtragende waren die Benutzer aber auch die Applikationsbetreiber, da die Daten in der Applikation nicht aktualisiert wurden. Der Consistency Checker (CC) unterstützt die Konsistenz der Daten in eIAM. Er synchronisiert die Benutzer Stammattribute vom Root Account zu den Access Accounts. Der CC wurde mit dem Release «Freiburger» eingeführt. Initial werden nur Identitäten synchronisiert, welche den neuen Identifikationsprozess (VIPS) durchlaufen. Mit dem Release «Diolinoir» kann nun über ein Whitelisting diese Synchronisation für alle Identitätsreferenzen im Accessmandant übernommen werden. Der eIAM-Consistency Checker muss mittelfristig aus Governance Gründen für jeden eIAM Access Account aktiviert sein. Daher plant eIAM einen proaktiven Rollout.

Wichtig: eIAM Kunden / Ämter müssen aktuell nichts unternehmen. Das eIAM Team geht aktiv auf die Kunden zu bzgl. der Umstellung auf den Consistency Checker.

Weitere ausführliche Informationen finden Sie unter

Consistency-Checker (Enforcer)

Root-Account Erstellung unterbinden

In seltenen Fällen kann es vorkommen, dass ein Mitarbeiter über einen Access Request in eIAM eine Verbundsidentät (Root Account) generiert, obwohl für Mitarbeiter oder Kantonsarbeiter dies über die automatische Provisonierung vorgesehen ist. Dieses Timingproblem hat zu immer wiederkehrenden Problemen und Support-Anfragen geführt, weshalb nun die Root Account Erstellung durch den Benutzer unterbunden wird. Der Benutzer erhält die Nachfolgende Meldung.

Wird ein neuer Mitarbeiter im HR-System erstellt, dauert die Provisionierung allgemein wie folgt:

  • Bundesmitarbeiter: eine Stunde
  • Kantonsmitarbeiter: einen Tag
Sollten sie nach einem Tag noch immer nicht in der Lage sein sich erfolgreich anzumelden, melden sie sich bitte beim Support. In sehr seltenen Fällen muss der Account von Hand von unserem Support erstellt werden, dies ist oft bei technischen Accounts der Fall.
Fehlermeldung
Fehlermeldung, wenn eine SmartCard verwendet wird, jedoch noch keine Verbundsidentität vorhanden ist