Release Notes / Kunden Informationen
Hohberghorn 03.11.2024
Die Release Notes (RN) berichten über die Erweiterungen, sowie neuen Funktionalitäten und Änderungen der eIAM Services gemäss Roadmap DTI.
Einführungstermine
- REF: ⇨ 12.09.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅ - ABN: ⇨ 09.10.2024 ↴
⚒ Regressionstests ❌❎ ✉➔ eIAM ⚒✅ - PROD: ⇨ 03.11.2024
Sonntag ⚒ Endabnahme ❎❎ ✉➔ eIAM
- Trennung der SOAP Webservice Schnittstelle (eIAM-WS) für BVerw interne und externe Verwendung
- Einführung neues (non Standard) Claim "adminOrganizationUID" für Identitäten im Enterprise Kontext
- Unterstützung von Testing mit eIAM - Canary Testing
- Unterstützung von Testing mit eIAM - Autologon verhindern
- Bereitstellung von eIAM im Campus Rechenzentrum in Frauenfeld
Regressionstests durch eIAM Kunden
Ihre Mitarbeit ist notwendig und sehr wichtig. Wir hatten in den letzten Releases ausschliesslich dort Probleme in den höheren Betriebsumgebungen (ABN, PROD), wo Applikationen ihre Regressionstests im Vorfeld auf REF und/oder ABN nicht durchgeführt hatten. Dies sind unnötige Probleme, welche wir gemeinsam vermeiden können. Wir zählen hier auf Ihre Unterstützung. Es ist wichtig, dass Sie ihre Regressionstests sorgfältig durchführen und dem Testing Team allfällige Probleme zeitnah und qualifiziert melden.Ablauf und Erwartungshaltung bei der SR Einführungen
Um den stabilen und sicheren produktiven eIAM Service gewährleiten zu können, benötigen wir bis zum SR Rollout auf die PRODUKTION aussagekräftige Regressionstests der Applikationen in der REF- und ABN-Instanzen. Dazu stehen Ihnen pro Instanz in der Regel 10 Werkstage zur Verfügung. Beachten Sie, dass Sie in den ersten 2 Tagen nach der Installation von einem Early Live Support Team profitieren können, dass Sie bei Problemen zeitnah unterstützt.Diese Release Notes helfen Ihnen bei der Planung der Regressionstests in Bezug auf Ihrer genutzten eIAM Funktionalitäten und dient Ihnen auch als Informationsquelle für Ihre Endkundenkommunikation. Bitte beachten Sie dabei, dass die finale Version der Release Notes mit allen notwendigen Details erst kurz vor der produktiven Installation geliefert wird.
Wichtig
Teilen Sie uns Ihre Testergebnisse (positiv oder negativ) mittels Feedback-Formular Kunden-Regressionstests
eIAM Ansprechpartner
Sollten Sie Fragen oder Anliegen haben zu eIAM, ePortal oder PAMS können Sie sich an folgende Stellen oder Personen wenden:eIAM Anlaufstellen
- Testing Fragen
- eIAM-Testing-Team: Testing-eiam@bit.admin.c
- Betriebliche Fragen
- eIAM-Plattform-Team:
eIAM-Operations@bit.admin.ch / +41 (0)58 469 88 55
Edgar Kälin BIT (PO eIAM Plattform-Team) - Integration von neuen Lösungen
- eIAM-Integration-Team:
eIAM-Integrations@bit.admin.ch / +41 (0)58 469 88 55
Danny Rothe BIT (PO eIAM Integration) - ePortal Fragen
- eIAM-ePortal-Team:
eportal@bit.admin.ch
Dilek Hoza BIT (PO ePortal) - Allgemeine Fragen, Mgmt-Fragen oder Beschwerden
- Roger.Zuercher@bit.admin.c
h , Serviceverantwortlicher eIAM / Projektleiter (BO-eIAM) - Neu Anforderungen an eIAM
- E-Mail Adresse anzeige
n , Serviceverantwortlicher föderatives IAM (BO-eIAM)
Kadir Gelme (SM eIAM Testing)
Neuerungen
Trennung der SOAP Webservice Schnittstelle (eIAM-WS) für BVerw interne und externe Verwendung
Die eIAM SOAP Webservice Schnittstelle (eIAM-WS) bietet eine Schnittstelle, über welche Attribute und Rolleninformationen aus dem eigenen eIAM-Access-Mandanten abgefragt und auch updatet werden können. Der Zugriff auf diese Schnittstelle erfolgt von der Anwendung lesend und schreibend und kann innerhalb und ausserhalb der Netzwerke der Bundesverwaltung angesprochen werden. Bisher wurde dafür ein Endpunkt angeboten, welcher sowohl aus den Netzen der Bundesverwaltung wie auch aus dem Internet verwendet werden konnte. Wie bereits über die Vorabinformation im Release Grünhorn angekündigt, werden mit dem Release "Hohberghorn" aus Sicherheits- und Stabilitätsgründen diese Endpunkte aufgetrennt. Ab dem Release "Hohberghorn" von eIAM wird der DNS Eintrag dieser Schnittstelle in den Netzen der BVerw neu auf eine interne IP Adresse zeigen. Die Adresse aus dem Internet bleibt bestehen. Bitte stellen Sie bereits sicher, dass die Kommunikationsverbindungen von Ihren Anwendungen auf die neuen Endpunkte möglich sind und die Verbindungen nicht z.B. durch Firewalls blockiert werden.Neue Endpunkte für eIAM-WS für Web Service Clients aus den Netzen der Bundesverwaltung:
| Umgebung / Stages | Endpunkt | IP Adresse | Port | Protokoll |
|---|---|---|---|---|
| Referenz (REF) | https://services.gate-r .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.1.79 | 443 | TPC/https |
| Abnahme (ABN) | https://services.gate-a .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.0.97 | 443 | TPC/https |
| Produktion (PROD) | https://services.gate .eiam.admin.ch/nevisidm/services/v1_45/AdminService | 10.179.0.98 | 443 | TPC/https |
Bitte testen Sie die Verbindungen mittels IP Adresse und Port. Da die DNS Einträge auch aus den Netzen der BVerw noch auf die bisherigen IP Adressen auflösen.
Die Anpassung der DNS Auflösung erfolgt erst mit dem Rollout des Release "Hohberghorn".
Einführung neues (non Standard) Claim "adminOrganizationUID" für Identitäten im Enterprise Kontext
Für gewisse Anwendungen ist es wichtig zu wissen, in welcher Organisationseinheit das auf die Zielapplikation zugreifende Subjekt organisatorisch geführt wird um dazu Entscheidungen innerhalb der Applikation zu treffen. Der "Central Identity Store" (CIS) stellt das Attribut "adminOrganizationUID" zur Verfügung. Es handelt sich dabei um einen stabilen Identifikator, welcher auch bei einer Umbenennung einer Organisationseinheit stabil bleibt. Z.B. hat das Bundesamt für Informatik und Telekommunikation (BIT) die adminOrganizationUID=uid-a877466-2f59451-18e5b407ab7–78d0. Das neue Attribut "adminOrganizationUID" kann auf Wunsch des eIAM Kunden im Token an seine Anwendung mitgegeben werden. Es handelt sich um ein nicht Standard Attribut. Das bedeutet, dass dieses zusätzliche Attribut speziell durch den Kunden bei der Integration seiner Anwendung oder bei einer Erweiterung der bestehenden Integration bestellt werden muss. Das Attribut ist selbstverständlich nur vorhanden, wenn es sich dabei um eine im CIS geführte Enterprise Identität handelt.Unterstützung von Testing mit eIAM - Canary Testing
eIAM nutzt eine moderne Continuous Integration / Continuous Deployment Infrastruktur. Diese ermöglicht ein Canary-Deployment der eIAM-Komponenten. Dabei können zwei Release-Versionen parallel laufen. Standardmäßig werden alle Anfragen der Benutzer an die "aktive" Version weitergeleitet, damit der Regelbetrieb nicht beeinträchtigt wird. Voraussetzung, dass Testverantwortliche Neuerungen und/oder Bugfixes auf dem Canary Deployment testen können ist, dass diese Nutzer vor dem Login ein entsprechendes Canary Cookie setzen.Auf der Seite können die «Canary Cookies» im aktuell verwendeten Browser für die verschiedenen Betriebsumgebungen/Stages (REF/ABN/PROD) individuell gesetzt werden. Die Cookies lassen sich mit den angebotenen Funktionen wieder deaktivieren und/oder auch ganz löschen.
Weitere Erläuterungen zur Handhabung des "Canary Cookies" finden Sie auf unserer Hilfeseite: Testing im Canary Mode Unterstützung von Testing . . .
Unterstützung von Testing mit eIAM - Autologon verhindern
Innerhalb des Bundesnetzes (auch mit VPN Verbindung) wird der Benutzer beim Login via eIAM in der Regel automatisch mit dem Identitätsprovider FED-LOGIN eingeloggt. Dieser enthält die Standardidentitäten für Mitarbeiter der Bundesverwaltung, welche sich im Bundesnetz befinden. Dieses Verhalten ist für Anwender sehr komfortabel. Es kann aber in gewissen Fällen (z.B. beim Testing) hinderlich sein. Mit dem "Autologon Cookie" kann dieser Autologon Mechanismus übersteuert werden, damit einerseits die Auswahl der für die Anwendung verfügbaren Identitätsprovider angezeigt wird und andererseits das Login auf dem FED-LOGIN IdP nicht automatisch mit Kerberos (Active Directory Single-Sign On) ausgeführt wird. Das Autologon Cookie kann individuell pro Betriebsumgebung/Stages von eIAM (REF/ABN/PROD) gesetzt werden.Auf der Seite können die «Autologon Cookies» im aktuell verwendeten Browser für die verschiedenen Betriebsumgebungen/Stages (REF/ABN/PROD) individuell gesetzt werden. Die Cookies lassen sich mit den angebotenen Funktionen wieder deaktivieren und/oder auch ganz löschen.
Weitere Erläuterungen zur Handhabung des "Autologon Cookies" finden Sie auf unserer Hilfeseite: Testing ohne Autologon Autologon im Bundesnetz verhindern . . .
Bereitstellung von eIAM im Campus Rechenzentrum in Frauenfeld
Die Bereitstellung von eIAM im Campus Rechenzentrum kann für die Kernkomponenten von eIAM (Core) mit dem Release "Hohberghorn" abgeschlossen werden. Beim Core von eIAM handelt es sich um alle generisch genutzten Komponenten von eIAM wie z.B. die Identity Provider IdP (CH-LOGIN, FED-LOGIN, IdP-Base), den Bundes-Trust-Broker BTB und die IDM Services, in welchen die Identitäten und Berechtigungen verwaltet werden.Damit ist eIAM im Katastrophenfall (Ausfall des Rechenzentrum Primus in Bern) in der Lage, die eIAM Services aus dem Rechenzentrum Campus in Frauenfeld für Applikationen, welche entweder ebenfalls in Frauenfeld oder ausserhalb des BIT Betrieben werden, zu erbringen.
In der kommenden Phase werden nun die RP-PEP Komponenten im Campus RZ bereitgestellt.