Release Notes / Kunden Informationen
Eiger 21.04.2024
Stand: Final (08.04.2024)
Die Release Notes (RN) berichten über die Erweiterungen, sowie neuen Funktionalitäten und Änderungen der eIAM Services gemäss Roadmap DTI.
Bitte beachten Sie, dass Termine für die Fertigstellung von Dokumentationen und Konzepten sich in der Regel auf das Ende einer Release Periode beziehen und nichts mit den einzelnen Release Zeitpunkten (Release Terminen) für Funktionalitäten zu tun haben.
Einführungstermine
- REF: ⇨ 27.02.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅ - ABN: ⇨ 20.03.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅ - PROD: ⇨ 21.04.2024
Sonntag ⚒ Endabnahme ❎❎ ✉➔ eIAM
- FED-LOGIN - Unterstützung mehrerer publizierter Smartcard Zertifikate
- CH-LOGIN - Neuregistrierung - Einschränkung mTAN (SMS) auf Schweizer Mobiltelefonnummern - Nachtrag 23.04.2024
- CH-LOGIN - Verbesserung der BYOI IdP Auswahl
- Architekturänderung für OIDC Integrationen
- Migrationen auf die neue eIAM CI/CD Automationsplattform
Regressionstests durch eIAM Kunden
Ihre Mitarbeit ist notwendig und sehr wichtig. Wir hatten in den letzten Releases ausschliesslich dort Probleme in den höheren Betriebsumgebungen (ABN, PROD), wo Applikationen ihre Regressionstests im Vorfeld auf REF und/oder ABN nicht durchgeführt hatten. Dies sind unnötige Probleme, welche wir gemeinsam vermeiden können. Wir zählen hier auf Ihre Unterstützung. Es ist wichtig, dass Sie ihre Regressionstests sorgfältig durchführen und dem Testing Team allfällige Probleme zeitnah und qualifiziert melden.Ablauf und Erwartungshaltung bei der SR Einführungen
Um den stabilen und sicheren produktiven eIAM Service gewährleiten zu können, benötigen wir bis zum SR Rollout auf die PRODUKTION aussagekräftige Regressionstests der Applikationen in der REF- und ABN-Instanzen. Dazu stehen Ihnen pro Instanz in der Regel 10 Werkstage zur Verfügung. Beachten Sie, dass Sie in den ersten 2 Tagen nach der Installation von einem Early Live Support Team profitieren können, dass Sie bei Problemen zeitnah unterstützt.Diese Release Notes helfen Ihnen bei der Planung der Regressionstests in Bezug auf Ihrer genutzten eIAM Funktionalitäten und dient Ihnen auch als Informationsquelle für Ihre Endkundenkommunikation. Bitte beachten Sie dabei, dass die finale Version der Release Notes mit allen notwendigen Details erst kurz vor der produktiven Installation geliefert wird.
Wichtig
Teilen Sie uns Ihre Testergebnisse (positiv oder negativ) mittels Feedback-Formular Kunden-Regressionstests
eIAM Ansprechpartner
Sollten Sie Fragen oder Anliegen haben zu eIAM, ePortal oder PAMS können Sie sich an folgende Stellen oder Personen wenden:eIAM Anlaufstellen
×
- Testing Fragen
- eIAM-Testing-Team: Testing-eiam@bit.admin.c
- Betriebliche Fragen
- eIAM-Plattform-Team:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM Plattform-Team) - Integrtion von neuen Lösungen
- eIAM-Integration-Team:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe BIT (PO eIAM Integration) - Allgemeine Fragen, Mgmt-Fragen oder Beschwerden
- Roger.Zuercher@bit.admin.c
h , Serviceverantwortlicher eIAM / Projektleiter (BO-eIAM) - Neu Anforderungen an eIAM
- E-Mail Adresse anzeige
n , Serviceverantwortlicher föderatives IAM (BO-eIAM)
Kadir Gelme (SM eIAM Testing)
Neuerungen
FED-LOGIN - Unterstützung mehrerer publizierter Smartcard Zertifikate
Bisher konnten Personen mit mehreren publizierten Smartcard Zertifikaten lediglich eines der Zertifikate für die Authentifizierung an FED-LOGIN nutzen, weil eIAM nur ein Zertifikat pro Identität unterstützte. Dies führte in der Vergangenheit dazu, dass sich Benutzer mit mehreren Smartcards ggf. nicht an FED-LOGIN authentifizieren konnten, weil ihr aktuell verwendetes Smartcard Zertifikat nicht in eIAM bekannt war. Neu können pro Identität mehrere Smartcard basierte Zertifikate für das Login an FED-LOGIN verwendet werden.CH-LOGIN - Neuregistrierung - Einschränkung mTAN (SMS) auf Schweizer Mobiltelefonnummern - Nachtrag 23.04.2024
CH-LOGIN unterstützt neben anderen Verfahren mTAN (SMS) als zweiten Faktor für die Authentifizierung. Services, welche den Versand von SMS anbieten, werden vermehrt Ziel von Attacken, die darauf abzielen, SMS in hoher Zahl in Länder mit schwach regulierten Telekommunikationsanbietern zu versenden. Angreifer profitieren, indem sie einen Teil der Roaming Gebühren vom Mobilfunkbetreiber erhalten. Leider war und ist auch CH-LOGIN von solchen sogenannten SMS-Pumping Angriffen betroffen. Es entstehen durch den Versand von solchen SMS hohe Kosten für den Service eIAM ohne dass diese versendeten SMS einen Nutzwert im Service haben. Der Service eIAM und BK-DTI haben sich daher entschlossen, bei der Registrierung den Einsatz von SMS als zweiten Faktor auf Schweizer Mobiltelefonnummern (Ländervorwahl +41) einzuschränken. Bereits registrierte, ausländische Mobiltelefonnummern sind von dieser Änderung nicht betroffen und können weiterhin genutzt werden. Als zweiter Faktor für Neuregistrierungen von CH-LOGIN Identitäten für Personen ohne Schweizer Mobiltelefonnummer stehen die Login Faktoren "FIDO Sicherheitsschlüssel" und "TOTP (Authenticator App)" zur Verfügung.CH-LOGIN - Verbesserung der BYOI IdP Auswahl
CH-LOGIN ermöglicht das Login mit externen Identitäten durch die Föderation mit sogenannten Bring Your Own Identity (BYOI) Providern. Dies sind z.B. AGOV, BE-LOGIN, Switch edu-ID und weitere. Bisher war es nach der Auswahl eines dieser Identitätsprovider für die aktuelle Authentifizierung über eine bestimmte Zeitdauer nicht mehr möglich, einen anderen Identitätsprovider auszuwählen. Selbst wenn der Benutzer die Authentifizierung komplett neu aus der Anwendung heraus gestartet hat. Dies führte dazu, dass dem Benutzer durch CH-LOGIN keine Auswahl mehr angezeigt wurde. Sein Browser wurde automatisch auf den zuvor gewählten Identitätsprovider weitergeleitet. Dies hatte negative Effekte insbesondere dann, wenn ein Benutzer irrtümlich einen falschen Identitätsprovider ausgewählt hatte. Dieses Verhalten wird mit dem Release "Eiger" korrigiert. Neu kann der Benutzer bei einer neuen Authentifizierungsanfrage auf CH-LOGIN immer den BYOI Identitätsanbieter wählen.Architekturänderung für OIDC Integrationen
Alle Anwendungen, welche mit OIDC (OpenID Connect) als Föderationsprotokoll an eIAM angeschlossen sind, werden mit dem Service Release "Eiger" neu direkt am eIAM TrustBroker (BTB) angeschlossen. Bisher waren diese über einen zusätzlichen Vermittler zwischen BTB und Applikation angeschlossen. Mit dieser Änderung kann die Komplexität der Integrationsarchitektur verringert werden. Auf der Seite der mit eIAM integrierten Anwendungen muss dabei nichts geändert werden. Die für die Föderation mit OIDC verwendeten URL und Signaturzertifikate bleiben unverändert. Jedoch müssen, wie bereits im Vorfeld informiert, die mit OIDC integrierten Anwendungen vertieft auf Regressionen getestet werden.Anwendungen, die auf REF explizit Probleme im Kontext BTB Migration gemeldet hatten, werden auf ABN selbstverständlich nicht migriert. Auf PROD werden nur Anwendungen auf BTB migriert, die explizit positive Rückmeldung gegeben haben. Die restlichen Anwendungen werden im Lauf der nächsten Monate migriert.
Migrationen auf die neue eIAM CI/CD Automationsplattform
Alle Komponenten von eIAM, sowohl zentrale als auch kundenspezifische, werden sukzessive und gestaffelt auf die neue CI/CD (Continous Integration / Continous Deployment) Betriebsplattform migriert. Diese containerbasierte Betriebsplattform hilft uns eIAM besser zu skalieren und den Anforderungen bezüglich Integrationen und Weiterentwicklung im Service eIAM auch in der Zukunft nachzukommen. Auch mit dem Service Release "Eiger" werden wieder diverse Komponenten von der klassischen eIAM Betriebsplattform auf die neue CI/CD Betriebsplattform migriert. Im Idealfall laufen diese Migrationen für Sie als Kunde von eIAM wie auch für Anwender Ihrer Applikationen transparent ab. Kunden, welche von der Migration direkt betroffen sind, sind jeweils über die geplante Migration informiert.Nähere Informationen finden Sie unter: eIAM Automation (CI/CD)