Release Notes / Kunden Informationen
Grünhorn 08.09.2024
Stand: Final (03.09.2024)
Die Release Notes (RN) berichten über die Erweiterungen, sowie neuen Funktionalitäten und Änderungen der eIAM Services gemäss Roadmap DTI.
Bitte beachten Sie, dass Termine für die Fertigstellung von Dokumentationen und Konzepten sich in der Regel auf das Ende einer Release Periode beziehen und nichts mit den einzelnen Release Zeitpunkten (Release Terminen) für Funktionalitäten zu tun haben.
Einführungstermine
- REF: ⇨ 02.07.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅ - ABN: ⇨ 14.08.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅ - PROD: ⇨ 08.09.2024
Sonntag ⚒ Endabnahme ❎❎ ✉➔ eIAM
- CH-LOGIN - Verzicht auf Registrierung eines zweiten Login Faktors als Opt-Out Option
- SharePoint - Unterstützung föderiertes Login mit MS-Office Applikationen (MS-OFBA)
- Migration von eIAM auf die BIT RHOS Container Plattform
- Vorinformation nächstes Release "Hohberghorn" - Trennung der SOAP Webservice Schnittstelle (eIAM-WS) für BVerw interne und externe Verwendung
Regressionstests durch eIAM Kunden
Ihre Mitarbeit ist notwendig und sehr wichtig. Wir hatten in den letzten Releases ausschliesslich dort Probleme in den höheren Betriebsumgebungen (ABN, PROD), wo Applikationen ihre Regressionstests im Vorfeld auf REF und/oder ABN nicht durchgeführt hatten. Dies sind unnötige Probleme, welche wir gemeinsam vermeiden können. Wir zählen hier auf Ihre Unterstützung. Es ist wichtig, dass Sie ihre Regressionstests sorgfältig durchführen und dem Testing Team allfällige Probleme zeitnah und qualifiziert melden.Ablauf und Erwartungshaltung bei der SR Einführungen
Um den stabilen und sicheren produktiven eIAM Service gewährleiten zu können, benötigen wir bis zum SR Rollout auf die PRODUKTION aussagekräftige Regressionstests der Applikationen in der REF- und ABN-Instanzen. Dazu stehen Ihnen pro Instanz in der Regel 10 Werkstage zur Verfügung. Beachten Sie, dass Sie in den ersten 2 Tagen nach der Installation von einem Early Live Support Team profitieren können, dass Sie bei Problemen zeitnah unterstützt.Diese Release Notes helfen Ihnen bei der Planung der Regressionstests in Bezug auf Ihrer genutzten eIAM Funktionalitäten und dient Ihnen auch als Informationsquelle für Ihre Endkundenkommunikation. Bitte beachten Sie dabei, dass die finale Version der Release Notes mit allen notwendigen Details erst kurz vor der produktiven Installation geliefert wird.
Wichtig
Teilen Sie uns Ihre Testergebnisse (positiv oder negativ) mittels Feedback-Formular Kunden-Regressionstests
eIAM Ansprechpartner
Sollten Sie Fragen oder Anliegen haben zu eIAM, ePortal oder PAMS können Sie sich an folgende Stellen oder Personen wenden:eIAM Anlaufstellen
×
- Testing Fragen
- eIAM-Testing-Team: Testing-eiam@bit.admin.c
- Betriebliche Fragen
- eIAM-Plattform-Team:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM Plattform-Team) - Integration von neuen Lösungen
- eIAM-Integration-Team:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe BIT (PO eIAM Integration) - ePortal Fragen
- eIAM-ePortal-Team:
eportal@bit.admin.ch
Dilek Hoza BIT (PO ePortal) - Allgemeine Fragen, Mgmt-Fragen oder Beschwerden
- Roger.Zuercher@bit.admin.c
h , Serviceverantwortlicher eIAM / Projektleiter (BO-eIAM) - Neu Anforderungen an eIAM
- E-Mail Adresse anzeige
n , Serviceverantwortlicher föderatives IAM (BO-eIAM)
Kadir Gelme (SM eIAM Testing)
Neuerungen
CH-LOGIN - Verzicht auf Registrierung eines zweiten Login Faktors als Opt-Out Option
Bei der Neuregistrierung von CH-LOGIN Identitäten war in der Vergangenheit die Erfassung und Nutzung eines zweiten Login Faktors (Authenticator App, FIDO Sicherheitsschlüssel oder mTAN-SMS) eine vom Benutzer wählbare Option, wenn die Registrierung aus dem Aufruf einer Applikation resultierte, welche keinen zweiten Faktor erzwungen hat. Die meisten in eIAM integrierten Anwendungen verlangen mittlerweile aus Sicherheitsgründen, dass beim Login neben dem Passwort ein zweiter Faktor verwendet wird. Neu ist die Registrierung eines zweiten Faktors Standard. Der Benutzer muss also aktiv wählen (Opt-Out), dass er keinen zweiten Faktor registrieren will. Tut er dies nicht, so wird er standardmässig durch den Prozess zur Erfassung eines zweiten Faktors geleitet. Die Option keinen zweiten Faktor zu registrieren wird natürlich nur dann bei der Registrierung angeboten, wenn die vom Benutzer aufgerufene Zielapplikation ein Login ohne zweiten Faktor erlaubt.SharePoint - Unterstützung föderiertes Login mit MS-Office Applikationen (MS-OFBA)
Der Login auf Microsoft SharePoint der Bundesverwaltung () erfolgt aus den Netzen der Bundesverwaltung direkt über Active Directory und ohne eIAM. Aus dem Internet ist dies nicht möglich. Hier erfolgt der Login über eIAM. Dabei kann SharePoint entweder von einem Web Browser oder von einer MS-Office Applikation aufgerufen werden. Wird SharePoint direkt von einer MS-Office Applikation aufgerufen und es ist ein Login notwendig, so setzt Microsoft dafür ein proprietäres Protokoll (MS-OFBA) und einen noch auf Internet Explorer basierenden Protocol-Client in der MS-Office Applikation ein. Dieser Protocol-Client unterstützt viele heute als Standard geltende JavaScript Funktionen nicht. Dies äussert sich negativ durch Warnungen und Fehlermeldungen beim Login. Es kann auch dazu führen, dass Logins auf von eIAM angebotenen Identity Providern (IdP) gar nicht funktionieren. Mit dem Release "Grünhorn" stellt eIAM für die Nutzung von SharePoint mit MS-Office Applikationen ein Login Verfahren zur Verfügung, welches durch seine Architektur das Benutzererlebnis verbessert. Dabei kann beim Login der moderne Standard Web Browser auf dem Gerät des Benutzers verwendet werden.Migration von eIAM auf die BIT RHOS Container Plattform
Die "Red Hat OpenShift Container Platform" (RHOS) ist die strategische Plattform des BIT zum Betrieb von containerisierten Anwendungen. Die Migration des Service eIAM von der bisherigen "SUSE Rancher" Container Plattform auf die "RHOS" Plattform ist daher strategisch wichtig und eine Voraussetzung dafür, dass eIAM georedundant in Primus und Campus angeboten werden kann. Mit dem letzten Release "Finsteraarhorn" von eIAM wurden die Kernkomponenten von eIAM, auf RHOS migriert. Ab dem eIAM Release "Grünhorn" werden nun die RP-PEP (ReverseProxy-Policy Enforcement Point), welche den Zugriff auf Applikationen in den Netzen der Bundesverwaltung regeln, sowie die STS-PEP, die von Applikationen ohne einen RP-PEP genutzt werden, ebenfalls auf die RHOS Infrastruktur migriert. Für Sie als Kunde von eIAM ist diese Änderung transparent und es bedarf keiner Anpassung in den Anwendungen. Wir benötigen allenfalls Ihre Unterstützung für die Freischaltung von Kommunikationsverbindungen (Firewall Öffnungen) zwischen dem eIAM RP-PEP und Ihrer Anwendung. Dies ist lediglich der Fall, falls die Öffnung der nötigen Kommunikationsverbindungen nicht durch eIAM bestellt werden können/dürfen. In diesem Fall werden die Anwendungsverantwortlichen vom eIAM Team kontaktiert und mit den nötigen Informationen für die Firewall Öffnung versorgt. So, dass Sie von Ihrer Seite die Firewall Öffnung bestellen können.Vorinformation nächstes Release "Hohberghorn" - Trennung der SOAP Webservice Schnittstelle (eIAM-WS) für BVerw interne und externe Verwendung
Die eIAM SOAP Webservice Schnittstelle (eIAM-WS) bietet eine Schnittstelle, über welche Attribute und Rolleninformationen aus dem eigenen eIAM-Access-Mandanten abgefragt und auch updatet werden können. Der Zugriff auf diese Schnittstelle erfolgt von der Anwendung lesend und schreibend und kann innerhalb und ausserhalb der Netzwerke der Bundesverwaltung angesprochen werden. Bisher wurde dafür ein Endpunkt angeboten, welcher sowohl aus den Netzen der Bundesverwaltung wie auch aus dem Internet verwendet werden konnte. Ab dem kommenden Release "Hohberghorn" werden aus Sicherheits- und Stabilitätsgründen diese Endpunkte aufgetrennt. Ab dem kommenden Release "Hohberghorn" von eIAM wird der DNS Eintrag dieser Schnittstelle in den Netzen der BVerw neu auf eine interne IP Adresse zeigen. Die Adresse aus dem Internet bleibt bestehen. Bitte stellen Sie bereits vorbereitend sicher, dass die Kommunikationserverbindungen von Ihren Anwendungen auf die neuen Endpunkte möglich sind und die Verbindungen nicht z.B. durch Firewalls blockiert werden.Neue Endpunkte für eIAM-WS für Web Service Clients aus den Netzen der Bundesverwaltung:
| Umgebung / Stages | Endpunkt | IP Adresse | Port | Protokoll |
|---|---|---|---|---|
| Referenz (REF) | https://services.gate-r .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.1.79 | 443 | TPC/https |
| Abnahme (ABN) | https://services.gate-a .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.0.97 | 443 | TPC/https |
| Produktion (PROD) | https://services.gate .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.0.98 | 443 | TPC/https |
Bitte testen Sie die Verbindungen mittels IP Adresse und Port. Da die DNS Einträge auch aus den Netzen der BVerw noch auf die bisherigen IP Adressen auflösen. Die Anpassung der DNS Auflösung erfolgt erst mit dem Rollout des Release "Hohberghorn".