Release Notes / Kunden Informationen Dufourspitze 11.02.2024 . . .

Release Notes / Kunden Informationen

Dufourspitze 11.02.2024

Stand: Final (09.02.2024)

Die Release Notes (RN) berichten über die Erweiterungen, sowie neuen Funktionalitäten und Änderungen der eIAM Services gemäss Roadmap DTI.

Bitte beachten Sie, dass Termine für die Fertigstellung von Dokumentationen und Konzepten sich in der Regel auf das Ende einer Release Periode beziehen und nichts mit den einzelnen Release Zeitpunkten (Release Terminen) für Funktionalitäten zu tun haben.

Einführungstermine

REF: ⇨ 28.11.2023 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅
ABN: ⇨ 18.01.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅
PROD: ⇨ 11.02.2024
Sonntag ⚒ Endabnahme ❎❎ ✉➔ eIAM

Neuerungen

FED-LOGIN Usernameless/Passwordless mit Access App

AGOV als BYOI IdP für CH-LOGIN

Unterstützung von Miliz-Identitäten

Unterstützung von CIS geführten S-Usern

Dekommissionierung von legacy IdPs

Architekturänderung für OIDC Integrationen

Migrationen auf die neue eIAM CI/CD Automationsplattform

Regressionstests durch eIAM Kunden

Ihre Mitarbeit ist notwendig und sehr wichtig. Wir hatten in den letzten Releases ausschliesslich dort Probleme in den höheren Betriebsumgebungen (ABN, PROD), wo Applikationen ihre Regressionstests im Vorfeld auf REF und/oder ABN nicht durchgeführt hatten. Dies sind unnötige Probleme, welche wir gemeinsam vermeiden können. Wir zählen hier auf Ihre Unterstützung. Es ist wichtig, dass Sie ihre Regressionstests sorgfältig durchführen und dem Testing Team allfällige Probleme zeitnah und qualifiziert melden.

Ablauf und Erwartungshaltung bei der SR Einführungen

Um den stabilen und sicheren produktiven eIAM Service gewährleiten zu können, benötigen wir bis zum SR Rollout auf die PRODUKTION aussagekräftige Regressionstests der Applikationen in der REF- und ABN-Instanzen. Dazu stehen Ihnen pro Instanz in der Regel 10 Werkstage zur Verfügung. Beachten Sie, dass Sie in den ersten 2 Tagen nach der Installation von einem Early Live Support Team profitieren können, dass Sie bei Problemen zeitnah unterstützt.

Diese Release Notes helfen Ihnen bei der Planung der Regressionstests in Bezug auf Ihrer genutzten eIAM Funktionalitäten und dient Ihnen auch als Informationsquelle für Ihre Endkundenkommunikation. Bitte beachten Sie dabei, dass die finale Version der Release Notes mit allen notwendigen Details erst kurz vor der produktiven Installation geliefert wird.

Wichtig
Teilen Sie uns Ihre Testergebnisse (positiv oder negativ) mittels Feedback-Formular Kunden-Regressionstests. mit (nur aus dem BV-Netz erreichbar), damit allfällige Service Release Korrekturen rechtzeitig möglich sind.

eIAM Ansprechpartner

Sollten Sie Fragen oder Anliegen haben zu eIAM, ePortal oder PAMS können Sie sich an folgende Stellen oder Personen wenden:

eIAM Anlaufstellen

Testing Fragen

eIAM-Testing-Team:

Testing-eiam@bit.admin.ch

Betriebliche Fragen

eIAM-Plattform-Team:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM Plattform-Team)

Integrtion von neuen Lösungen

eIAM-Integration-Team:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe BIT (PO eIAM Integration)

Allgemeine Fragen, Mgmt-Fragen oder Beschwerden

Roger.Zuercher@bit.admin.ch, Serviceverantwortlicher eIAM / Projektleiter (BO-eIAM)

Neu Anforderungen an eIAM

E-Mail Adresse anzeigen, Serviceverantwortlicher föderatives IAM (BO-eIAM)

Neuerungen

FED-LOGIN Usernameless/Passwordless mit Access App

: Login mit der FED-LOGIN Access App

Der FED-LOGIN als zentraler Identity Provider (IdP) für den Enterprise Kontext der Bundesverwaltung ermöglicht den Benutzern ab Release "Dufourspitze" den sicheren und gleichzeitig komfortablen Login mit der FED-LOGIN Access App. Die FED-LOGIN Access ist ein auf FIDO Standards basierendes Identitätsnachweismittel, welches komplett ohne Eingabe von Username und Passwort funktioniert. Dies macht die FED-LOGIN Access als Authentifizierungsmittel sehr komfortabel für den Anwender. Die FED-LOGIN Access erfüllt hohe Anforderungen an die Sicherheit eines Identitätsnachweismittels. Dadurch, dass die Registrierung der FED-LOGIN Access App durch den Benutzer selbst im eIAM "MyAccount" nur nach vorgängiger Identifikation mittels Smartcard erfolgen kann, ist die Bindung zwischen der Identität des Nutzers und dem Identitätsnachweis ebenfalls auf hohen Niveau. Es entsteht damit eine Qualität des Login auf Stufe "hoch" respektive eIAM Qualitätsstufe "QoA50". Der Login mit Access App auf FED-LOGIN erlaubt somit den Zugriff auf die meisten eIAM integrierten Anwendungen inklusive solcher mit erhöhtem Schutzbedarf wie z.B. "GEVER". Die FED-LOGIN Access App wird für iOS und Android Geräte in den offiziellen App Stores "Apple App Store" und "Google Play" angeboten. Sie kann von allen mit Smartcard der SG-PKI ausgerüsteten Personen mit einem eIAM FED-LOGIN Account als Identitätsnachweismittel im Self Service registriert und im Anschluss für Logins auf dem FED-LOGIN verwendet werden.

Die FED-LOGIN Access App unterstützt die folgenden Szenarien:

Login direkt auf dem Mobilgerät, auf welchem die FED-LOGIN Access App installiert und registriert wurde (Smartphone oder Tablet). Funktion im Web Browser ruft die lokal installierte FED-LOGIN Access auf.
Login auf einem anderen Gerät z.B. privater PC, Mobile VDI oder Tablet ohne lokale FED-LOGIN Access Installation. Durch Scannen des vom FED-LOGIN beim Login angezeigten QR-Codes mit der FED-LOGIN Access App wird der Benutzer angemeldet.

Detaillierte Informationen über die Nutzung der FED-LOGIN Access App finden Sie hier:
FED-LOGIN - Access App Registrierung

Bemerkung: Die Unterstützung der FED-LOGIN Access App für Benutzer, welche nicht mit einer Smartcard der SG-PKI ausgerüstet sind (sog. "totallySmartcardless") erfolgt in einem späteren Release von eIAM.

AGOV als BYOI IdP für CH-LOGIN

AGOV ist das neue CH-LOGIN. Also Identitätsverbund IDV und Identitätsprovider IDP des Standarddienstes "Identitäts- und Zugriffsverwaltung" der Bundesverwaltung. AGOV steht ab Januar 2024 zur produktiven Nutzung bereit und wird das CH-LOGIN in nützlicher Frist ersetzen. Neue Endbenutzende haben während des Parallelbetriebs die freie Wahl, ob sie sich im CH-LOGIN oder in AGOV registrieren.

Unterschiede CH-LOGIN und AGOV:
AGOV verzichtet auf die veralteten Loginfaktoren des CH-LOGIN wie Passwörter und SMS-mTAN und setzt auf die stark gehärtete FIDO-basierte AGOV-Access-App und alternativ auf FIDO-Hardware-Tokens.

AGOV steht nebst den Bundesbehörden auch allen anderen Verwaltungsebenen der Schweiz zur Verfügung (Kantone, Gemeinden, Städte), das CH-LOGIN ist auf die Bundesverwaltung beschränkt.

Weitere Informationen zum CH-LOGIN-Nachfolger siehe .

Bitte beachten Sie Folgendes zum AGOV Support:

Grundsätzlich erfolgt für Anwenderinnen und Anwender der Support im SelfService über oder FAQ .
- Das auf diesem AGOV-help bereitgestellte Kontaktformular für ein Support Ticket wird in der Startphase durch den Bürgersupport BIT betreut.
- Im Kontaktformular muss der Kontext der AGOV-Nutzung im Sinne der Applikation angegeben werden. Hier haben wir diejenigen Applikationen aufgeführt für welche aktuell am meisten neue CH-LOGIN eröffnet werden und wo potentiell die meisten Kundenanfragen auftreten können. Alle weiteren Applikationen sind in einer eigenen Kategorie zusammengefasst.
  
  Aktuelle Liste
Wichtig: Fälle, welche durch Anwenderinnen und Anwender an die Supportorganisationen der Ämter und Fachanwendungen gemeldet werden, können wie bis anhin über Remedy Incident dem BIT weiter gemeldet werden (Incident bitte für Service AGOV an Gruppe AEP erstellen, danke).

Ein Support Ticket für die Gruppe AEP im Remedy erfassen.

Unterstützung von Miliz-Identitäten

Angehörige der Armee, welche Aufgaben im Bereich der zivilen Bundesverwaltung ausüben müssen, werden mit elektronischen Identitäten der zivilen Bundesverwaltung ausgerüstet. Dazu werden sie auch mit Smartcard und Active Directory Account der zivilen Bundesverwaltung versorgt. Ab dem Release "Dufourspitze", werden diese Identiäten in eIAM nutzbar gemacht. So, dass Personen, die mit entsprechenden Identitäten ausgerüstet sind, diese im Rahmen ihrer definierten Aufgaben für den Zugriff auf eIAM integrierte Anwendungen nutzen können.

Unterstützung von CIS geführten S-Usern

S-User sind elektronische Identitäten von Systemen. Sie werden benötigt, wenn sich ein System für den Zugriff auf ein anderes System authentifizieren muss. Bisher wurden solche S-User nicht aus dem Central Identity Store (CIS) an eIAM geliefert und waren auch nicht am Datenbezugspunkt (DBP) sichtbar. Neu werden diese Identitäten an eIAM geliefert und können in eIAM genutzt werden.

Dekommissionierung von legacy IdPs

Der FED-LOGIN 2.0 unterstützt und erweitert die Authentifizierungsbedürfnisse, welche in der Vergangenheit in eIAM durch mehrere, verschiedene IdP angeboten wurden. Alle Anwendungen, welche noch die legacy IdP "IdP-Cert" (Authentifizierung mit Zertifikat Class-B/Class-C der SG-PKI), "IdP-Kerb" (Authentifizierung mit Kerberos Ticket ausgestellt durch einen vertraute Active Directory Forest) und FED-LOGIN 1.0 verwendet haben, wurden auf FED-LOGIN 2.0 migriert und können damit vom vollen Funktionsumfang im Enterprise Kontext profitieren. Die legacy IdP werden mit Release "Dufourspitze" dekommissioniert.

Architekturänderung für OIDC Integrationen

Alle Anwendungen, welche mit OIDC (OpenID Connect) als Föderationsprotokoll an eIAM angeschlossen sind, werden mit dem Release "Dufourspitze" neu direkt am eIAM TrustBroker (BTB) angeschlossen. Bisher waren diese über einen zusätzlichen Vermittler zwischen BTB und Applikation angeschlossen. Mit dieser Änderung kann die Komplexität der Integrationsarchitektur verringert werden. Auf der Seite der mit eIAM integrierten Anwendungen muss dabei nichts geändert werden. Die für die Föderation mit OIDC verwendeten URL und Signaturzertifikate bleiben unverändert. Jedoch müssen, wie bereits im Vorfeld informiert, die mit OIDC integrierten Anwendungen vertieft auf Regressionen getestet werden.

Anwendungen, die auf REF explizit Probleme im Kontext BTB Migration gemeldet hatten, werden auf ABN selbstverständlich nicht migriert. Auf PROD werden nur Anwendungen auf BTB migriert, die explizit positive Rückmeldung gegeben haben. Die restlichen Anwendungen werden im Lauf der nächsten Monate migriert.

Migrationen auf die neue eIAM CI/CD Automationsplattform

Alle Komponenten von eIAM, sowohl zentrale als auch kundenspezifische, werden sukzessive und gestaffelt auf die neue CI/CD (Continous Integration / Continous Deployment) Betriebsplattform migriert. Diese containerbasierte Betriebsplattform hilft uns eIAM besser zu skalieren und den Anforderungen bezüglich Integrationen und Weiterentwicklung im Service eIAM auch in der Zukunft nachzukommen. Auch mit dem Service Release "Dufourspitze" werden wieder diverse Komponenten von der klassischen eIAM Betriebsplattform auf die neue CI/CD Betriebsplattform migriert. Im Idealfall laufen diese Migrationen für Sie als Kunde von eIAM wie auch für Anwender Ihrer Applikationen transparent ab. Kunden, welche von der Migration direkt betroffen sind, sind jeweils über die geplante Migration informiert.

Nähere Informationen finden Sie unter: eIAM Automation (CI/CD)