SR-Diolinoir — eIAM - documentation technique

Release Notes / Informations clients

>>> Diolinoir 7 août 2022 <<

Etat: Finale

Les notes de mise à jour (RN) rendent compte des extensions, ainsi que des nouvelles fonctionnalités et des modifications apportées aux services eIAM conformément à la feuille de route TNI.

Veuillez noter que les dates de finalisation de la documentation et des concepts se réfèrent généralement à la fin d'une période de release et n'ont rien à voir avec les différentes dates de release (dates de sortie) pour les fonctionnalités.

Dates de lancement / Changements Nouveautés

REF: 28 juin 2022 <Tests!> ABN: 13 juillet 2022 <Tests!> PROD: 7 août 2022

Déploiement de la version 1 de nHEC+ avec les fonctionnalités suivantes

Nouveau concept QoA
VIPS (identification vidéo)
CH-LOGIN avec Mobile ID

Suppression de l'ID-linking
- l'ID-linking entre le compte fédéral et le compte eGOV (CH-LOGIN) est supprimé et nettoyé pour tous les utilisateurs.
Consistency Checker (CC)

Le CC a été introduit avec le service release "Freiburger" pour le processus d'identification VIPS. Avec l'introduction de la release Diolinoir, la synchronisation des attributs de base entre l'identités de fédération et les identité référence peut désormais être assurée pour toutes les identités de fédération. L'activation de cette synchronisation est recommandée.

La création d'un root account par l'utilisateur est empêchée lors de l'onboarding HR.

;

Déroulement et attentes lors des introductions SR

Afin de pouvoir garantir un service eIAM stable et sûr en production, nous avons besoin, jusqu'au déploiement du SR sur la PRODUCTION, de tests de régression significatifs des applications dans les instances REF et ABN. Vous disposez pour cela d'au moins 14 jours par étape. Veuillez planifier vos activités de test suffisamment tôt dans ces périodes, afin que les éventuelles versions de correction de bugs soient possibles à temps.

Ces notes de mise à jour vous aident à planifier les tests de régression en relation avec les fonctionnalités eIAM que vous utilisez et vous servent également de source d'information pour la communication avec vos clients finaux. Veuillez noter que la version finale des Release Notes avec tous les détails nécessaires ne sera livrée que peu avant l'installation productive.

Important
Si vous rencontrez des problèmes lors de vos tests de régression, informez immédiatement notre équipe de test à: Testing-eiam@bit.admin.ch. Nos collègues prendront note de vos commentaires, les examineront et les consolideront. Nous vous remercions d'ores et déjà de votre aide et de votre soutien, qui nous permettront de maintenir et d'améliorer le niveau de qualité élevé des Service Releases !

Interlocuteur eIAM

Si vous avez des questions ou des demandes concernant eIAM, ePortal ou PAMS, vous pouvez vous adresser aux services ou personnes suivants ;

points de contact eIAM

Questions de testing

eIAM-Testing-Team:

Testing-eiam@bit.admin.ch

Questions opérationnelles

L'équipe de la plateforme eIAM:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM plateforme team)

Intégration de nouvelles solutions

équipe d'intégration eIAM:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe BIT (PO intégration eIAM)

Questions générales, questions Mgmt ou plaintes

Roger.Zuercher@bit.admin.ch , responsable de service eIAM / chef de projet (BO-eIAM)

Nouvelles exigences pour eIAM

Afficher l'adresse électronique , Responsable de service IAM fédératif (BO-eIAM)

Release Notes

nHEC+ Version 1

nHEC+ permet de vérifier les comptes auto-enregistrés du CH-LOGIN, avec leurs attributs non vérifiés comme le nom, le prénom, au moyen d'une identification vidéo. L'avantage est qu'il est ainsi possible d'obtenir une meilleure qualité des attributs et une plus grande force d'authentification qu'auparavant. Ainsi, il est désormais possible d'accéder à des systèmes dédiés pour les logins CH, qui exigent une authentification et une vérification de haute qualité et dépendent de l'obtention de données d'identité correctes. La qualité de ces données est représentée par le concept QoA. Afin d'atteindre cette qualité élevée, une autre procédure d'authentification a été introduite, le Mobile ID. Avec cette procédure et l'identification vidéo, nous obtenons une identité électronique vérifiée avec la QoA50.

Même sans l'utilisation du Mobile ID, nHEC+ avec mTAN ou AuthAPP avec identification vidéo offre un grand avantage. Bien qu'une QoA40 plus basse soit atteinte ici, les attributs sont présents dans l'eIAM avec une qualité élevée. Les applications qui ont aujourd'hui établi leurs propres processus de vérification pour l'onboarding ou qui en auront besoin à l'avenir peuvent ainsi miser sur une nouvelle solution efficace pour inviter des identités vérifiées dans leurs applications ou les autoriser directement.

La première version de nHEC+ est déployée avec cette version. La première version comprend notamment les fonctionnalités suivantes:

Nouveau concept QoA
CH-LOGIN avec Mobile ID
VIPS (identification vidéo)

Concept QoA
Le nouveau concept QoA (qualité de l'authentification) traite principalement des différentes classes QoA, de leur définition et de leur classification.

Qualité de l'authentification (QoA)

CH-LOGIN avec Mobile ID et VIPS
Comme nHEC+ requiert une authentification forte, l'utilisateur doit configurer le Mobile ID Credential dans MyAccount. Ceci de manière analogue à ce qui est possible pour le FED-LOGIN 2.o. Après un enregistrement réussi du Mobile ID, l'utilisateur peut se connecter à son MyAccount avec le Mobile ID et effectuer la vérification vidéo pour obtenir une identité nHEC+.

Auto-enregistrement non vérifié ou avec identification vidéo

Suppression de l'ID-Linking

Dans eIAM, il existe quelques centaines d'utilisateurs qui utilisent la fonctionnalité ID-Linking pour accéder aux mêmes comptes via CH-LOGIN ou un Enterprise FI (Kerberos, Cert). Cette fonctionnalité était intéressante par le passé, car elle permettait d'utiliser CH-LOGIN pour accéder à des ressources attribuées à l'identité d'interconnexion réservée à l'utilisation en entreprise. Le moteur initial de cette fonctionnalité était qu'un collaborateur pouvait également accéder aux ressources de l'entreprise via un appareil non géré, par ex. IPAD, PC privé, etc.

Grâce à la séparation définie entre Enterprise et eGov, ce lien n'est plus autorisé et viole la gouvernance. De plus, elle n'est plus nécessaire puisque le nouveau Fedlogin permet désormais d'accéder sans problème aux ressources de l'entreprise depuis un appareil non géré.

Les utilisateurs qui utilisent l'ID-Linking sont informés qu'à l'avenir, ils ne pourront plus se connecter à leur identité d'entreprise avec leur CH-LOGIN. Cela signifie que tous les droits et privilèges qui étaient accessibles via l'identité de réseau référencée ne pourront plus être utilisés avec le login CH lié, mais uniquement via le login FED. D'un point de vue technique, il a été décidé de supprimer le CH-LOGIN lié avec la suppression de l'ID-Linking. Si vous avez à nouveau besoin d'un login CH à des fins privées, vous devez créer un nouveau login avec une adresse e-mail privée.

Vous pouvez continuer à accéder à vos ressources et applications comme d'habitude via le login Fed. Il se peut que l'accès externe et d'autres procédures d'authentification doivent encore être activés pour votre login FED.

Consistency Checker (CC)

Le Consistency Checker est le renouvellement le plus important. Jusqu'à présent, les attributs de base des utilisateurs (nom, prénom, e-mail, etc.) n'étaient pas synchronisés entre l'identité fédérée (Root Account) et les références d'identité (Access Accounts). Par conséquent, au fil du temps, les attributs de base n'étaient plus cohérents entre le root account et les comptes d'accès de l'utilisateur. Les utilisateurs, mais aussi les exploitants d'applications, en étaient les victimes, car les données n'étaient pas actualisées dans l'application. Le Consistency Checker (CC) soutient la cohérence des données dans eIAM. Il synchronise les attributs de base des utilisateurs du root account vers les access account. Le CC a été introduit avec la release "Freiburger". Initialement, seules les identités qui passent par le nouveau processus d'identification (VIPS) sont synchronisées. Avec la release "Diolinoir", il est désormais possible de reprendre cette synchronisation pour toutes les références d'identité dans les access account des utilisateur via une liste blanche. A moyen terme, le Consistency Checker d'eIAM doit être activé pour chaque eIAM Access Account pour des raisons de gouvernance. C'est pourquoi eIAM prévoit un déploiement proactif.

Important: Les clients / offices eIAM ne doivent actuellement rien entreprendre. L'équipe eIAM s'occupe activement de la migration des clients vers le Consistency Checker.

Pour plus d'informations détaillées, voir

Consistency-Checker (Enforcer)

Interdire la création d'un aroot account

Dans de rares cas, il peut arriver qu'un collaborateur génère un root account par le biais d'une demande d'accès dans eIAM, bien que cela soit prévu pour les collaborateurs ou les employés cantonaux par le biais de la provision automatique. Ce problème de timing a conduit à des problèmes récurrents et à des demandes d'assistance, raison pour laquelle la création d'un root account par l'utilisateur est désormais plus possible. L'utilisateur reçoit le message ci dessus.

Lorsqu'un nouvel employé est créé dans le système RH, le provisionnement dure généralement comme suit:

collaborateur fédéral: une heure
collaborateur de canton: un jour

Si vous n'êtes toujours pas en mesure de vous connecter après un jour, veuillez contacter le support. Dans de très rares cas, le compte doit être créé manuellement par notre support, c'est souvent le cas pour les comptes techniques.

: Message d'erreur lorsqu'une SmartCard est utilisée mais qu'il n'existe pas encore d'identité de réseau