eIAM Support
- eIAM Support
Support
Anleitungen zur Selbsthilfe
Wir haben für die Endanwendenden verschiedenste Anleitungen zur Selbsthilfe erstellt. Diese finden Sie unter den nachfolgenden Links getrennt nach Login-Methode.Anleitungen für das CH-LOGI
Anleitungen für das FED-LOGI
Links auf alle Anleitungen ▼
×
CH-LOGIN
Kontoverwaltung
- MyAccount Home Seite - Favoriten setzte
n - CH-LOGIN - Passwort vergesse
n - Benutzerprofil Daten änder
n - CH-LOGIN - Änderung der E-Mail Adress
e - CH-LOGIN - Passwort änder
n - CH-LOGIN - Sicherheitsfragen erfassen oder änder
n - CH-LOGIN - Wiederherstellung des Login Zweitfaktors in Selbstbedienun
g
Zweitfaktor Verwaltung
- CH-LOGIN - Registrierung mTAN als zweiter Fakto
r - CH-LOGIN - Registrierung der Authenticator App als zweiter Fakto
r - CH-LOGIN - Registrierung eines FIDO Sicherheitsschlüssel als zweiter Fakto
r - CH-LOGIN - Registrierung der Mobile ID als zweiter Fakto
r - CH-LOGIN - Bestellung Vasco Digipass Authentifiziere
r
Verwaltung externer Identitäten (BYOI)
- CH-LOGIN - AGOV-Identität (BYOI) mit eIAM verknüpfe
n - CH-LOGIN - Ergänzung CH-LOGIN mit Loginfaktore
n - CH-LOGIN - Login mit Bring Your Own Identity (BYOI
) - CH-LOGIN - Bestehende Verknüpfung mit externer (BYOI) Identität lösche
n - Übergang CH-LOGIN zu AGOV Fall «Abschaltung BYOI IDP Kanton Bern»
Weitere Anleitungen
- Step-UP einer CH-LOGIN-Identitä
t - Visuelle Login-Prüfung VL
P - Testing ohne Autologo
n - Testing im Canary Mod
e - Lösen von Cookie-Probleme
n - Anleitung zum Erstellen eines SAML-Trac
e - Nutzung oder Abbestellung des IE7 Kompatibilitätsmodus in Edg
e - Verwendung von SharePoint mit MS-Office Anwendunge
n
FED-LOGIN
- FED-LOGIN ohne Smartcard nutzen (für Smartcard-Inhabende
) - FED-LOGIN - Access App Registrierun
g - FED-LOGIN - Registrierung Sicherheitsschlüssel (FIDO2
) - FED-LOGIN totally smartcardless (Externe Mitarbeitende z. B. Mobile-VDI Nutzer ohne Smartcard-Ausrüstung
) - FED-LOGIN IM Anleitung zwecks FED-LOGIN totally smartcardles
s - MyAccount Home Seite - Favoriten setzte
n - FED-LOGIN - Passwort vergesse
n - FED-LOGIN Access App entferne
n - FED-LOGIN - Sicherheitsschlüssel entfernen (FIDO2
) - Hilfe Button in der FED-LOGIN Access Ap
p - Liste der Betriebssysteme, auf welchen die FED-LOGIN Access App funktionier
t - Verwendung von SharePoint mit MS-Office Anwendunge
n
CH2A
- Upgrade CH-LOGIN zu AGOV Supportcase "Kein Mailbox Zugriff"
- Upgrade CH-LOGIN zu AGOV Supportcase «Sicherheitsfragen vergessen»
AGOV help
Wichtig: Bitte erstellen Sie keine eigenen Anleitungen für CH-LOGIN und FED-LOGIN gerne können Sie auf die von uns erstellten mehrsprachigen Hilfeseiten referenzieren. Das erspart Ihnen Aufwand und Ihre Dokumente sind so in Bezug auf eIAM immer aktuell.
Support Formulare
Sowohl bei CH-LOGIN, als auch bei FED-LOGIN gilt der Grundsatz der Selbsthilfe. Die Endanwendenden sollen immer zuerst versuchen ihre Schwierigkeiten über die Selbsthilfe eigenständig zu lösen. Sollte dies nicht gelingen, haben wir nachfolgende Formulare für die entsprechenden Support Anfragen betreffend einem Login-Problem, einer Account-Mutation oder -Rücksetzung erstellt.- Support Anfrage für LOGIN Probleme
- Support Anfrage für CH-LOGIN Mutationen
- Support Anfrage für FED-LOGIN Rücksetzung für Nutzer ohne Smartcard
Managed Techuser Formulare
eIAM bietet die Nutzung und Einrichtung von «Managed Techuser» an. Die Techuser werden durch das Team von eIAM Operations gemäss den Bestellangaben des Kunden bereitgestellt und gemanagt.Folgende drei Techuser Kategorien stehen Ihnen dabei zur Verfügung:
1. Techuser zur Nutzung der von eIAM bereitgestellten APIs ▼×
Diese Kategorie der Techuser wird vor allem in der automatischen Benutzerverwaltung eingesetzt. eIAM bietet dazu 2 APIs an, ein SOAP Interface für den direkten Zugriff auf die Benutzerverwaltung im NevisIDM (siehe Details zu eIAM-AMW), sowie ein REST Interface, über welches die Funktionalitäten des delegierten Managements als Service genutzt werden können (siehe Details zu eIAM-RDM).
Bitte beachten Sie folgende notwendigen Vorbereitungen vor der Bestellung:
- Bei Accounts mit Softzertifikat erfolgt die Authentifizierung mittels eines X.509 Zertifikats der Klasse C (die Klassen D und E sind nicht unterstützt).
- Das Zertifikat muss vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
- Das Zertifikat ist lautend auf den technischen Benutzer, der zum Aufbau der Verbindung verwendet wird.
- Das Zertifikat muss mindestens die folgenden Key Usages beinhalten:
- X509v3 Key Usage: Digital Signature
- X509v3 Extended Key Usage: TLS Web Client Authentication
- In der Bestellung ist der Public Key als PEM-File mitzuliefern.
- Der ISBO des Amtes (siehe Liste der ISBD/ISB
O ) muss via Mail den Einsatz des Techusers genehmigen. - Für das Lifecycle Management des «Managed Techuser» muss eine verantwortliche, zentrale Stelle definiert sein (keine dedizierte Person), welche die technischen Zusammenhänge kennt und Zertifikatsaustausch durchführen kann, z.B. ein Applikationsmanagement Team.
Bestellformular für die Einrichtung eines Techusers für eIAM-RDM
×
Diese Kategorie der Techuser wird vorallem in der SOAP-basierten Server (Consumer) zu Server (Provider) Kommuikation über einen Web Service Gateway eingesetzt. eIAM bietet dazu den eIAM Web Service Gateway (eIAM-WSG) zur Authentifizierung an. Details zu dieser Leistung finden sich unter eIAM-WSG.
Bitte beachten Sie folgende notwendigen Vorbereitungen vor der Bestellung:
- Die verwendeten Accounts müssen vorgängig bei über ICD – CIS & Directories via Remedy bestellt werden. Das Team erstellt einen Account im Datenbezugspunkt, welcher zu eIAM provisioniert wird und einem geregelten Lifecycle unterliegt. Es gelten dabei folgende Namenskonventionen:
- SN= SVC-<Stage>-<Departement>-<Amt>-<APPL>
- Stage: DEV, TST, REF, ABN, PRD
- Departement: EDI, EDA, EFD, EJPD, WBF, UVEK, VBS
- Amt (Kürzel): z.B. BIT, BFS, etc.
- Appl (Kürzel): z.B. IDM, LVS, AWISA
- Stage: DEV, TST, REF, ABN, PRD
- givenName = TU
- displayName analog SN
- SN= SVC-<Stage>-<Departement>-<Amt>-<APPL>
- Bei Accounts mit Softzertifikat erfolgt die Authentifizierung mittels eines X.509 Zertifikats der Klasse C (die Klassen D und E sind nicht unterstützt).
- Das Zertifikat muss vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
- Das Zertifikat ist lautend auf den technischen Benutzer, der zum Aufbau der Verbindung verwendet wird.
- Das Zertifikat muss mindestens die folgenden Key Usages beinhalten:
- X509v3 Key Usage: Digital Signature
- X509v3 Extended Key Usage: TLS Web Client Authentication
- X509v3 Key Usage: Digital Signature
- In der Bestellung ist der Public Key als PEM-File mitzuliefern.
- Das Zertifikat muss vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
- Der ISBO des Amtes (siehe Liste der ISBD/ISB
O ) muss via Mail den Einsatz des Techusers genehmigen. - Für das Lifecycle Management des «Managed Techuser» muss eine verantwortliche, zentrale Stelle definiert sein (keine dedizierte Person), welche die technischen Zusammenhänge kennt und Zertifikatsaustausch durchführen kann, z.B. ein Applikationsmanagement Team.
3. Techuser zur interaktiven Nutzung (als User) von eIAM als Services via Web-UI ▼
×
Diese Kategorie wird im automatisierten Testing, Monitoring sowie der Datenverarbeitung eingesetzt. eIAM bietet dazu 4 Account Typen von gemanagten «Techusern» für die interaktive Nutzung von eIAM Service via Web-UI, insbesondere für das Login auf Fachapplikationen:
- CH-LOGIN mit fixem mTAN und ReCaptcha Whitelisting
geeignet für Applikationen mit QoA30 und tiefer. - Accounts mit Softzertifikat der Klasse C für Authentifizierung via FED-LOGIN mittels Zertifikat standardmässig geeignet für Appl mit QoA30 und tiefer.
- Account aus Active Directory (AD) mit Trust AD Resource Forrest ADR.ADMIN.CH, z.B. F-Account für Authentifizierung via FED-LOGIN über Kerberos geeignet für Appl mit QoA40 und tiefer.
- T-Account (personengebundene Test-Identität mit dedizierter SG-PKI Smartcard und AD-Referenz) zur Authentifizierung via FED-LOGIN (Smartcard- oder AD-Authentifizierung via Kerberos) geeignet für Applikationen mit QoA60 und tiefer.
Bitte beachten Sie folgende notwendigen Vorbereitungen vor der Bestellung:
- Die nachfolgenden Accounts müssen bereits bestehen;
- CH-LOGIN muss durch Besteller vorgängig erstellt werden (siehe Anleitung CH-LOGIN - Registrierun
g ). Wichtig: SMS (mTan) als Zweitfaktor muss vorgängig ebenfalls eingerichtet werden, sonst kann kein fixer mTan hinterlegt werden. - F-Account muss via Remedy MAC bestellt werden (Link Remed
y ). - T-Account muss via Remedy MAC bestellt werden (Link Remed
y ).
- CH-LOGIN muss durch Besteller vorgängig erstellt werden (siehe Anleitung CH-LOGIN - Registrierun
- Die Accounts mit einem Softzertifikat müssen vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
- Das Zertifikat muss X.509 Zertifikat der Klasse C sein.
- Das Zertifikat ist lautend auf den technischen Benutzer der zum Aufbau der Verbindung verwendet wird.
- Das Zertifikat muss mindestens die folgenden Key Usages beinhalten:
- X509v3 Key Usage: Digital Signature
- In der Bestellung ist der Public Key als PEM-File mit zu liefern.
- Der ISBO des Amtes (siehe Liste der ISBD/ISB
O ) muss via Mail den Einsatz des Techusers genehmigen. - Für das Lifecycle Management des «Managed Techusers» muss eine verantwortliche, zentrale Stelle definiert sein (keine dedizierte Person), welche die technischen Zusammenhänge kennt und Zertifikatsaustausch durchführen kann. z.B. ein Applikations Management Team. Ausnahme hier sind T-Accounts, welche persönlich sind.
Bitte beachten Sie, dass eIAM Operations nur sicherstellt, dass die Techuser inkl. der Identitätsreferenz (Account im Access Mandanten des Kunden) korrekt erstellt sind. Es obliegt dem GKA/BVA diesen Techuser-Accounts, die für den Einsatzzweck notwendigen Berechtigungen im Access Mandanten zu erteilen.Bestellformular für die Einrichtung eines Techuser CH-LOGIN mit fixem mTAN
Bestellformular für die Einrichtung eines Techuser Accounts mit Softzertifikat
Bestellformular für die Einrichtung eines Techuser Accounts mit AD-Trust (z.B. F-Account)
Bestellformular für Einrichtung eines Techuser T-Account