Release Notes / Informations clients
Grünhorn 08.09.2024
Stade: Finale (03.09.2024)
Les notes de mise à jour (RN) rendent compte des extensions, ainsi que des nouvelles fonctionnalités et des modifications apportées aux services eIAM conformément à la feuille de route TNI.
Veuillez noter que les dates de finalisation de la documentation et des concepts se réfèrent généralement à la fin d'une période de release et n'ont rien à voir avec les différentes dates de release (dates de sortie) pour les fonctionnalités.
Dates de lancement
- REF: ⇨ 02.07.2024 ↴
⚒ Tests de régression ❌❎ ✉➔ eIAM ⚒✅ - ABN: ⇨ 14.08.2024 ↴
⚒ Tests de régression ❌❎ ✉➔ eIAM ⚒✅ - PROD: ⇨ 08.09.2024
Dimanche ⚒ Contrôle final ❎❎ ✉➔ eIAM
- CH-LOGIN - Renonciation à l'enregistrement d'un deuxième facteur de connexion comme option opt-out
- SharePoint - Support de la connexion fédérée avec les applications MS-Office (MS-OFBA)
- Migration d'eIAM vers la plateforme de conteneurs RHOS de l'OFIT
- Information préalable pour le prochain release « Hohberghorn » - séparation de l'interface SOAP Webservice (eIAM-WS) pour l'utilisation interne et externe a l'administration fédérale.
Tests de régression par les clients eIAM
Votre collaboration est nécessaire et très importante. Dans les dernières releases, nous avons eu des problèmes dans les environnements d'exploitation supérieurs (ABN, PROD) exclusivement là où les applications n'avaient pas effectué leurs tests de régression en amont sur REF et/ou ABN. Ce sont des problèmes inutiles que nous pouvons éviter ensemble. Nous comptons ici sur votre soutien. Il est important que vous effectuiez vos tests de régression avec soin et que vous signaliez les éventuels problèmes à l'équipe de test en temps voulu et de manière qualifiée.Déroulement et attentes lors des introductions SR
Afin de pouvoir garantir un service eIAM stable et sûr en production, nous avons besoin, jusqu'au déploiement du SR sur la PRODUCTION, de tests de régression significatifs des applications dans les instances REF et ABN. Normalement, vous disposez de 10 jours ouvrables par instance pour cela. Notez que pendant les deux premiers jours suivant l'installation, vous pouvez bénéficier d'une équipe d'assistance Early Live qui vous aidera rapidement en cas de problème.Ces notes de mise à jour vous aident à planifier les tests de régression en relation avec les fonctionnalités eIAM que vous utilisez et vous servent également de source d'information pour la communication avec vos clients finaux. Veuillez noter que la version finale des Release Notes avec tous les détails nécessaires ne sera livrée que peu avant l'installation productive.
Important
Communiquez-nous vos résultats de test (positifs ou négatifs) au moyen du Formulaire de feedback de vos tests de régression
Interlocuteur eIAM
Si vous avez des questions ou des demandes concernant eIAM, ePortal ou PAMS, vous pouvez vous adresser aux services ou personnes suivants ;Points de contact eIAM
×
- Questions de testing
- eIAM-Testing-Team: Testing-eiam@bit.admin.c
- Questions opérationnelles
- L'équipe de la plateforme eIAM:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin OFIT (PO eIAM plateform team) - Intégration de nouvelles solutions
- équipe d'intégration eIAM:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe OFIT (PO intégration eIAM) - Questions ePortal
- eIAM-ePortal-Team:
eportal@bit.admin.ch
Dilek Hoza OFIT (PO ePortal) - Questions générales, questions Mgmt ou plaintes
- Roger.Zuercher@bit.admin.c
h , responsable de service eIAM / chef de projet (BO-eIAM) - Nouvelles exigences pour eIAM
- Afficher l'adresse électroniqu
e , Responsable de service IAM fédératif (BO-eIAM)
Kadir Gelme (SM eIAM Testing)
Changements - Nouveautés
CH-LOGIN - Renonciation à l'enregistrement d'un deuxième facteur de connexion comme option opt-out
Lors du nouvel enregistrement d'identités CH-LOGIN, la saisie et l'utilisation d'un deuxième facteur de connexion (Authenticator App, clé de sécurité FIDO ou mTAN-SMS) était dans le passé une option pouvant être choisie par l'utilisateur si l'enregistrement résultait de l'appel d'une application qui n'imposait pas de deuxième facteur. La plupart des applications intégrées dans eIAM exigent désormais, pour des raisons de sécurité, l'utilisation d'un deuxième facteur en plus du mot de passe lors du login. Désormais, l'enregistrement d'un deuxième facteur est standard. L'utilisateur doit donc choisir activement (opt-out) de ne pas enregistrer de deuxième facteur. S'il ne le fait pas, il sera guidé par défaut à travers le processus d'enregistrement d'un deuxième facteur. L'option de ne pas enregistrer de deuxième facteur n'est bien sûr proposée lors de l'enregistrement que si l'application cible appelée par l'utilisateur permet un login sans deuxième facteur.SharePoint - Support du login fédéré avec les applications MS-Office (MS-OFBA)
La connexion à Microsoft SharePoint de l'administration fédérale () s'effectue depuis les réseaux de l'administration fédérale directement via Active Directory et sans eIAM. Cela n'est pas possible depuis Internet. Le login se fait ici via eIAM. SharePoint peut être appelé soit par un navigateur web, soit par une application MS-Office. Si SharePoint est appelé directement à partir d'une application MS-Office et qu'un login est nécessaire, Microsoft utilise pour cela un protocole propriétaire (MS-OFBA) et un client protocole encore basé sur Internet Explorer dans l'application MS-Office. Ce client protocole ne supporte pas de nombreuses fonctions JavaScript considérées aujourd'hui comme standard. Cela se traduit négativement par des avertissements et des messages d'erreur lors de la connexion. Il peut aussi arriver que les connexions aux fournisseurs d'identité (IdP) proposés par eIAM ne fonctionnent pas du tout. Avec le release « Grünhorn », eIAM met à disposition une procédure de connexion pour l'utilisation de SharePoint avec des applications MS-Office, qui améliore l'expérience de l'utilisateur grâce à son architecture. Lors de la connexion, le navigateur web standard moderne peut être utilisé sur l'appareil de l'utilisateur.Migration d'eIAM vers la plateforme de conteneurs RHOS de l'OFIT
La « Red Hat OpenShift Container Platform » (RHOS) est la plate-forme stratégique de l'OFIT pour l'exploitation d'applications conteneurisées. La migration du service eIAM de l'ancienne plate-forme de conteneurs « SUSE Rancher » vers la plate-forme « RHOS » est donc stratégiquement importante et constitue une condition préalable pour que l'eIAM puisse être proposé de manière géoredondante dans Primus et Campus. Avec le dernier release « Finsteraarhorn » d'eIAM, les composants principaux d'eIAM ont été migrés vers RHOS. A partir du release eIAM « Grünhorn », les RP-PEP (ReverseProxy-Policy Enforcement Point), qui règlent l'accès aux applications dans les réseaux de l'administration fédérale, ainsi que les STS-PEP, qui sont utilisés par les applications sans RP-PEP, seront également migrés vers l'infrastructure RHOS. Pour vous, client d'eIAM, ce changement est transparent et ne nécessite aucune adaptation dans les applications. Nous avons tout au plus besoin de votre soutien pour l'activation des liens de communication (ouvertures de pare-feu) entre le RP-PEP eIAM et votre application. C'est uniquement le cas si l'ouverture des connexions de communication nécessaires ne peut/doit pas être commandée par eIAM. Dans ce cas, les responsables de l'application seront contactés par l'équipe eIAM et recevront les informations nécessaires pour l'ouverture du pare-feu. Ainsi, vous pouvez commander l'ouverture du pare-feu de votre côté.Information préalable pour le prochain release « Hohberghorn » - séparation de l'interface SOAP Webservice (eIAM-WS) pour l'utilisation interne et externe a l'administration fédérale.
L'interface SOAP Webservice eIAM (eIAM-WS) offre une interface permettant d'interroger et de mettre à jour les attributs et les informations de rôle de son propre mandant eIAM-Access. L'accès à cette interface se fait par l'application en lecture et en écriture et peut être adressé à l'intérieur et à l'extérieur des réseaux de l'administration fédérale. Jusqu'à présent, un point final était proposé à cet effet, qui pouvait être utilisé aussi bien depuis les réseaux de l'administration fédérale que depuis Internet. A partir du prochain release « Hohberghorn », ces points finaux seront séparés pour des raisons de sécurité et de stabilité. A partir du prochain release « Hohberghorn » d'eIAM, l'enregistrement DNS de cette interface dans les réseaux de l'administration fédérale pointera désormais vers une adresse IP interne. L'adresse provenant d'Internet reste inchangée. Veuillez vous assurer dès la préparation que les connexions de communication de vos applications vers les nouveaux points finaux sont possibles et que les connexions ne sont pas bloquées par des pare-feux par exemple.Nouveaux points finaux pour eIAM-WS pour les clients de services web des réseaux de l'administration fédérale :
| Environnement / Stages | Point final | Adresse IP | Port | Protocole |
|---|---|---|---|---|
| Référence (REF) | https://services.gate-r .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.1.79 | 443 | TPC/https |
| Acceptation (ABN) | https://services.gate-a .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.0.97 | 443 | TPC/https |
| Production (PROD) | https://services.gate .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.0.98 | 443 | TPC/https |
Veuillez tester les connexions au moyen de l'adresse IP et du port. Comme les enregistrements DNS des réseaux de l'administration fédérale se résolvent encore sur les adresses IP actuelles. L'adaptation de la résolution DNS ne sera effectuée qu'avec le déploiement du release « Hohberghorn ».