SR-Finsteraarhorn — eIAM - Technische Dokumentation

Release Notes / Kunden Informationen

Finsteraarhorn 07.07.2024

Stand: Final (01.07.2024)

Die Release Notes (RN) berichten über die Erweiterungen, sowie neuen Funktionalitäten und Änderungen der eIAM Services gemäss Roadmap DTI.

Bitte beachten Sie, dass Termine für die Fertigstellung von Dokumentationen und Konzepten sich in der Regel auf das Ende einer Release Periode beziehen und nichts mit den einzelnen Release Zeitpunkten (Release Terminen) für Funktionalitäten zu tun haben.

Einführungstermine

REF: ⇨ 29.04.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅
ABN: ⇨ 29.05.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅
PROD: ⇨ 07.07.2024
Sonntag ⚒ Endabnahme ❎❎ ✉➔ eIAM

Neuerungen

FED-LOGIN - Unterstützung von Access App für Benutzer ohne Smartcard

FED-LOGIN - Access App für Authentifizierung verwenden: Entscheidung merken

FED-LOGIN - Alternativen zum SSO Login mit Kerberos Ticket

FED-LOGIN, CH-LOGIN - Neues Verhalten bei PW Reset

Neues Attribut "Geburtsdatum" in eIAM verfügbar

Regressionstests durch eIAM Kunden

Ihre Mitarbeit ist notwendig und sehr wichtig. Wir hatten in den letzten Releases ausschliesslich dort Probleme in den höheren Betriebsumgebungen (ABN, PROD), wo Applikationen ihre Regressionstests im Vorfeld auf REF und/oder ABN nicht durchgeführt hatten. Dies sind unnötige Probleme, welche wir gemeinsam vermeiden können. Wir zählen hier auf Ihre Unterstützung. Es ist wichtig, dass Sie ihre Regressionstests sorgfältig durchführen und dem Testing Team allfällige Probleme zeitnah und qualifiziert melden.

Ablauf und Erwartungshaltung bei der SR Einführungen

Um den stabilen und sicheren produktiven eIAM Service gewährleiten zu können, benötigen wir bis zum SR Rollout auf die PRODUKTION aussagekräftige Regressionstests der Applikationen in der REF- und ABN-Instanzen. Dazu stehen Ihnen pro Instanz in der Regel 10 Werkstage zur Verfügung. Beachten Sie, dass Sie in den ersten 2 Tagen nach der Installation von einem Early Live Support Team profitieren können, dass Sie bei Problemen zeitnah unterstützt.

Diese Release Notes helfen Ihnen bei der Planung der Regressionstests in Bezug auf Ihrer genutzten eIAM Funktionalitäten und dient Ihnen auch als Informationsquelle für Ihre Endkundenkommunikation. Bitte beachten Sie dabei, dass die finale Version der Release Notes mit allen notwendigen Details erst kurz vor der produktiven Installation geliefert wird.

Wichtig
Teilen Sie uns Ihre Testergebnisse (positiv oder negativ) mittels Feedback-Formular Kunden-Regressionstests. mit (nur aus dem BV-Netz erreichbar), damit allfällige Service Release Korrekturen rechtzeitig möglich sind.

eIAM Ansprechpartner

Sollten Sie Fragen oder Anliegen haben zu eIAM, ePortal oder PAMS können Sie sich an folgende Stellen oder Personen wenden:

eIAM Anlaufstellen

Testing Fragen

eIAM-Testing-Team:

Testing-eiam@bit.admin.ch

Betriebliche Fragen

eIAM-Plattform-Team:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM Plattform-Team)

Integration von neuen Lösungen

eIAM-Integration-Team:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe BIT (PO eIAM Integration)

ePortal Fragen

eIAM-ePortal-Team:
eportal@bit.admin.ch
Dilek Hoza BIT (PO ePortal)

Allgemeine Fragen, Mgmt-Fragen oder Beschwerden

Roger.Zuercher@bit.admin.ch, Serviceverantwortlicher eIAM / Projektleiter (BO-eIAM)

Neu Anforderungen an eIAM

E-Mail Adresse anzeigen, Serviceverantwortlicher föderatives IAM (BO-eIAM)

Neuerungen

FED-LOGIN - Unterstützung von Access App für Benutzer ohne Smartcard

FED-LOGIN unterstützt die Verwendung von Loginfaktoren alternativ zur Smartcard. Dies auch für Personen, welche nicht mit einer Smartcard ausgerüstet sind (totally Smartcardless). Bisher musste von Benutzern ohne Smartcard zwingend Passwort und Mobile ID fürs Login verwendet werden. Neu können auch Benutzer mit FED-LOGIN Identität, welche nicht mit einer Smartcard ausgerüstet sind beim Onboarding die FED-LOGIN Access App als Loginfaktor registrieren. Damit entfällt die Einschränkung, dass der Anwender eine Mobile ID fähige SIM Karte eines Schweizer Telekommunikationsanbieters besitzen muss. Im Rahmen der Passwordless Strategie muss ab diesem Release die Neuregistrierung für "totally Smartcardless" mit FED-LOGIN Access App erfolgen. Mobile ID wird nicht mehr angeboten für Neuregistrierungen. Link auf die Anleitung: FED-LOGIN totally smartcardless

FED-LOGIN - Access App für Authentifizierung verwenden Entscheidung merken

: FED-LOGIN mit Access App

Wenn sich ein Benutzer mit einer FED-LOGIN Identität mit einem Smartphone authentifiziert, so tut er dies vorzugsweise mit der FED-LOGIN Access App. Ab Release "Finsteraarhorn" kann der Benutzer die Entscheidung, dass er die FED-LOGIN Access App für das Login nutzen will im Browser speichern. So, dass bei zukünftigen Logins nicht erneut gewählt werden muss, dass dafür die FED-LOGIN Access App verwendet werden soll. Der Browser merkt sich diese Entscheidung. Bitte beachten Sie, dass das Popup mit der Bestätigung des Anwenders, ob die FED-LOGIN Access App geöffnet werden darf, eine Funktion des Betriebssystems des Smartphones ist und nicht übersprungen werden kann.

FED-LOGIN - Alternativen zum SSO Login mit Kerberos Ticket

War die Authentifizierung durch den FED-LOGIN mit einem Kerberos Ticket (Active Directory SSO) erfolgreich, es konnte jedoch in eIAM keine Identität mit entsprechendem Active Directory Account gefunden werden, wurde die gesamte Authentifizierung als gescheitert angesehen. Der Benutzer hatte keine Möglichkeit, sich alternativ zum Active Directory SSO mit seiner Smartcard oder der FED-LOGIN Access App anzumelden. Ab dem Release Finsteraarhorn bietet der FED-LOGIN dem Benutzer immer die alternativen Loginmöglichkeiten an, wenn eine Authentifizierung über Kerberos Ticket nicht möglich war.

FED-LOGIN, CH-LOGIN - Neues Verhalten bei PW Reset

Bislang wurde beim Password Reset Flow der Status (success, failed, etc.) vom IDP (CH-LOGIN, FED-LOGIN) immer als Status-Responder-Code an die Relying-Party weitergereicht. Wenn der PEP Empfänger des Status-Responder-Codes war, konnte er diesen entsprechend auflösen und dem User eine aussagekräftige Nachricht anzeigen (Passwort Reset war erfolgreich/nicht erfolgreich etc.). Wenn der Status-Responder-Code nun aber weitergereicht wurde an Keycloak, konnte dieser den Code nicht auflösen und hat dem User eine "unschöne", wenig aussagekräftige Nachricht angezeigt. Mit Finsteraarhorn wird nun das Weitergeben eines Status-Responder-Codes im Falle eines Password Resets unterbunden und der IDP (CH-LOGIN, FED-LOGIN) ist nun direkt für das Anzeigen einer aussagekräftigen Nachricht verantwortlich.

Neues Attribut "Geburtsdatum" in eIAM verfügbar

Ab dem Release "Finsteraarhorn" steht mit "Geburtsdatum" ein neues Attribut in eIAM zur Verfügung. Dieses Attribut kann zur Laufzeit im Token von eIAM geliefert werden. Das Geburtsdatum des Subjekts wird nur dann geliefert, wenn dieses verifiziert ist. Die Verifikation geschieht einerseits durch HR Prozesse bei internen Mitarbeitern der Bundesverwaltung, anderseits bei Identitätsverifikationen in AGOV oder CH-LOGIN. Es handelt sich beim Geburtsdatum um ein optionales Attribut, welches nur dann von eIAM im Token geliefert wird, wenn der Kunde dieses über die Integration der Anwendung anfordert.

Beachten Sie, dass bei externen Mitarbeitern der Bundesverwaltung und Mitarbeitern der kantonalen Verwaltungen mit FED-LOGIN Identität das Geburtsdatum nicht geliefert werden kann, da dieses nicht verifiziert vorliegt. Obwohl die Qualität der Authentifizierung auf hohem Niveau (QoA50/QoA60) zum Beispiel mit Smartcard erfolgt ist.