eIAM Leistungsbeschrieb
Webapplikationen und native Mobile-Apps, welche elektronische Identitäten benötigen, müssen diese bei eIAM beziehen (vgl. Merkblatt), indem sie über SAML2.0, OpenID Connect oder WS-Federation an eIAM angeschlossen werden. Die Bezugspflicht ist im Marktmodell geregelt, sie gilt unabhängig vom Schutzbedarf und der Betriebsart der Zielapplikationen; eIAM versorgt alle Betriebsarten, z. B. on-premises betriebene Applikationen, Applikationen bei externen Betreibern, SaaS und andere Cloudbetriebsarten; eIAM deckt auch Spezialanforderungen von Microsoft Azure, AWS und anderen Cloudanbietern ab.
Die vorliegende Seite beschreibt die von eIAM zur Verfügung gestellten Leistungen. Die Anforderungen an die an eIAM anzuschliessenden Applikationen sind auf der Seite www.eiam.admin.ch/rfp publiziert, welche integraler Bestandteil der Anforderungen bei Beschaffungsvorhaben sein muss.
eIAM übermittelt den so angeschlossenen Applikationen (Zielapplikationen) Referenzen zu internen und externen Anbietern von elektronischen Identitäten (Identitätsprovidern (IdPs)), damit die Applikation User wiedererkennen kann. Werden abgeklärte elektronische Identitäten eingesetzt, können nebst der Wiedererkennung Aussagen mit definierter Verlässlichkeit zu Identitätseigenschaften der User gemacht werden.
Optional kann eIAM den angeschlossenen Applikationen Aussagen zu den Berechtigungen der User übermitteln (sogenanntes Accessmanagement mit Units, Profilen, Rollen und Attributen).
Die generelle Funktionsweise wird auch im eIAM-Instruktionsvideo erklärt.
Les applications web et les apps mobiles natives qui nécessitent des identités électroniques doivent les obtenir auprès du système eIAM (cf. fiche technique), en se connectant à ce dernier via SAML2.0, OpenID Connect ou WS-Federation. L’obligation d’acquisition est réglée dans le modèle de marché et s'applique indépendamment de l'exigence de protection et du mode de fonctionnement des applications cibles ; l'eIAM couvre tous les modes d'exploitation, par exemple les applications sur site, les applications hébergées par des opérateurs externes, les SaaS et d'autres modes d'exploitation en nuage ; l'eIAM couvre également les exigences par-ticulières de Microsoft Azure, AWS et d'autres fournisseurs de nuages.
Cette page décrit les services fournis par l'eIAM. Les conditions requises pour les applications à connecter à l'eIAM sont publiées sur la page www.eiam.admin.ch/rfp, ce qui doit faire partie intégrante des exigences relatives aux projets de marchés publics.
eIAM transmet des références sur des fournisseurs internes et externes d’identités électroniques (identity provider, IdP) à l’application ainsi connectée (application cible), afin que celle-ci puisse reconnaître des utilisateurs. Si des identités électroniques vérifiées sont utilisées, il est possible, en plus de la reconnaissance, d’obtenir des informations sur des propriétés de l’identité avec une fiabilité définie.
eIAM peut, en option, transmettre aux applications connectées des informations sur les autorisations des utilisateurs (par le biais de la gestion des accès avec des unités, des profils, des rôles et des attributs).
Le fonctionnement général d’eIAM est aussi expliqué dans la vidéo d’instruction.
Web applications and native mobile apps that require eIDs must obtain them from eIAM (cf. Factsheet) by connecting to it via SAML2.0, OpenID Connect or WS-Federation. The usage obligation is regulated in the market model and applies regardless of the protection requirement and the operating mode of the target applications; eIAM feeds all modes of operation, e.g. on-premises applications, applications at external operators, SaaS and other cloud modes; eIAM also covers special requirements from Microsoft Azure, AWS and other cloud providers.
This page describes the services provided by eIAM. The requirements for the applications to be connected to eIAM are published on the page www.eiam.admin.ch/rfp, which must be an integral part of the requirements for procurement projects.
References to eIDs of internal and external providers of eIDs (identity providers, or IdPs) are transmitted by eIAM to the connected applications (target applications), so that the applications can recognise the users. If authenticated eIDs are used, they also allow ID characteristics of the user to be inferred with a defined degree of reliability in addition to enabling user recognition.
As an option, eIAM can transmit information on users' permissions (access management with units, profiles, roles and attributes) to the connected applications.
The instructional video explains how eIAM works.
eIAM vermittelt den angeschlossenen Webapplikationen und nativen Mobile-Apps* (Zielapplikationen) Referenzen zu elektronischen Identitäten von internen und externen Identitätsprovidern, für die Gesamtheit des entstehenden Zusammenschlusses (Verbunds) wird der Begriff Föderation verwendet.
* Beispiel eines eIAM-Logins in einer nativen Mobile-App siehe https://apps.apple.com/ma/app/eiam-… und Quellcode dazu https://github.com/eiam-ch/eiam-ios
eIAM transmet des références sur les identités électroniques de fournisseurs internes et externes d’identités (IdPs) aux applications web et apps mobiles* natives connectées (applications cibles); la notion de «fédération» est utilisée pour désigner le regroupement ainsi créé.
* Exemple de connexion eIAM dans une application mobile native, voir https://apps.apple.com/ma/app/eiam-… et le code source correspondant https://github.com/eiam-ch/eiam-ios
References to eIDs of internal and external IdPs: are provided by eIAM to the connected web applications and native mobile apps* (target applications); the group of connections this creates is referred to as a federated identity.
* Example of an eIAM login in a native mobile app see https://apps.apple.com/ma/app/eiam-… and source code for it https://github.com/eiam-ch/eiam-ios
AGOV: eIAM stellt die elektronische Identität www.agov.ch für Bürgerinnen, Bürger und Vertreter der Wirtschaft im In- und Ausland zur Verfügung. AGOV-Identitäten gibt es in selbstregistrierter (unabgeklärter) und abgeklärter Qualität. Kantone und ihre Gemeinden können den eIAM-Identitätsprovider «AGOV» durch Direktanschluss ihrer Applikationen oder IAM-Systeme an AGOV nutzen, die Bundesverwaltung verwendet AGOV ausschliesslich über das IAM-System «eIAM».
CH-LOGIN: CH-LOGIN ist der Vorläufer von AGOV und wird vorerst noch parallel zu AGOV betrieben, soll aber schrittweise heruntergefahren werden.
FED-LOGIN mittels Smartcard (SG-PKI): Des Weiteren sind in eIAM die elektronischen Identitäten aus der SG-PKI (Swiss Government Public Key Infrastructure) einsetzbar, dies für Mitarbeitende der Bundesverwaltung und SG-PKI-Affiliierte.
FED-LOGIN mittels Kerberos: Die elektronischen Identitäten der Mitarbeitenden der Bundesverwaltung können in dedizierten bundesinternen Netzen von den Zielapplikationen alternativ (anstelle der Smartcard-Zertifikatsquelle) als Kerberos-Tickets bezogen werden. Diese Bezugsart resultiert in einer Herabstufung der deklarierten Verlässlichkeit der so vermittelten subjektidentifizierenden Eigenschaften.
FED-LOGIN ohneⁱ Smartcard: Nutzung von elektronischen Identitäten der SG-PKI durch Mitarbeitende der Bundesverwaltung mittels Benutzername, Passwort und zweiten Faktoren, auch aus dem Internet.
ⁱugs. auch bezeichnet als «BV-Login»
MDM: Eine Vermittlung der elektronischen Identitäten der Mitarbeitenden der Bundesverwaltung ohne Einsatz einer Smartcard bietet auch der Citrix Secure Hub, welcher im Rahmen des Mobile Device Management (MDM) der Bundesverwaltung auf iOS-Geräten als Sandbox zum Einsatz kommt: Webapplikationen, die im Webrowser dieser Sandbox (Citrix Secure Web Browser) laufen sowie native Mobile-Apps in dieser Sandbox können automatisch mit diesen Identitätsinformationen versorgt werden, so dass die Mitarbeitenden kein Login durchführen müssen, es ist also der Zutritt zur Sandbox ansich, abgewickelt durch die lokalen Mechanismen der iOS-Geräte, welcher als Authentifikations- und Identitätsnachweis für die automatischen, unsichtbaren In-Sandbox-Authentisierungen gilt. Diese Bezugsart resultiert in einer Herabstufung der deklarierten Verlässlichkeit der so vermittelten subjektidentifizierenden Eigenschaften.
AGOV : eIAM met l'identité électronique www.agov.ch à la disposition des citoyens et des représentants de l'économie en Suisse et à l'étranger. Les identités AGOV existent en qualité auto-enregistrée (non vérifiée) et vérifiée. Les cantons et leurs communes peuvent utiliser le fournisseur d'identités eIAM "AGOV" en connectant directement leurs applications ou leurs systèmes IAM à AGOV, l'administration fédérale utilise AGOV exclusivement via le système IAM "eIAM".
CH-LOGIN: CH-LOGIN est le prédécesseur d'AGOV et est pour l'instant encore exploité parallèlement à AGOV, mais il est prévu de le mettre progressivement hors service.
FED-LOGIN par carte à puce (SG-PKI): En outre, il est possible d’utiliser dans eIAM les identités électroniques provenant de la SG PKI (Swiss Government Public Key Infrastructure) pour le personnel de l’administration fédérale et les personnes affiliées à la SG PKI.
FED-LOGIN par Kerberos: Les identités électroniques des collaborateurs de l’administration fédérale peuvent aussi être obtenues sous la forme de tickets Kerberos (à la place des certificats de cartes à puce) pour des applications cibles sur certains réseaux internes dédiés de la Confédération. Ce mode de connexion entraîne un abaissement de la fiabilité déclarée des propriétés d'identification transmises.
FED-LOGIN sansⁱ carte à puce: Utilisation des identités électroniques du SG-PKI par les employés de l'administration fédérale via un nom d'utilisateur, un mot de passe et des seconds facteurs, également à partir d'Internet.
ⁱfam. également appelé «BV-Login»
MDM: L'application Citrix Secure Hub permet également une transmission des identités électroniques (sans carte à puce) des collaborateurs de l'administration fédérale. Dans le cadre du Mobile Device Management de l'administration fédérale, elle fournit, sur les appareils iOS, un environnement sécurisé (sandbox) aux applications web qui utilisent le navigateur web sécurisé (Citrix Secure Web Browser) et permet aux applications natives de recevoir les informations d'identification afin que les collaborateurs n'aient pas à les saisir. C'est donc l'accès à l'environnement sécurisé, exécuté en local par les appareils iOS, qui atteste de manière automatisée et invisible les authentifications et les vérifications d'identité internes à l'environnement sécurisé. Ce mode de connexion entraîne un abaissement de la fiabilité déclarée des propriétés d'identification transmises.
AGOV: eIAM provides the electronic identity www.agov.ch for citizens and business representatives in Switzerland and abroad. AGOV identities are available in self-registered (unverified) and verified quality. Cantons and their municipalities can use the eIAM identity provider "AGOV" by connecting their applications or IAM systems directly to AGOV; the Federal Administration uses AGOV exclusively via the IAM system "eIAM".
CH-LOGIN: CH-LOGIN is the predecessor of AGOV and will initially be operated in parallel with AGOV, but will be gradually phased out.
FED-LOGIN via with smartcard (SG-PKI): In addition, Federal Administration employees and affiliates of the SG PKI (Swiss Government Public Key Infrastructure) can use the SG PKI electronic IDs in eIAM.
FED-LOGIN via Kerberos: The electronic IDs for Federal Administration employees can be requested by the target applications as Kerberos tickets in dedicated internal federal networks (instead of the smartcard certificate source). This request method results in the declared reliability of the supplied subject identifier properties being downgraded.
FED-LOGIN withoutⁱ smartcard: Use of electronic identities from the SG-PKI by employees of the Federal Administration with username, password and second factors, also from the Internet.
ⁱcoll. also known as «BV-Login»
MDM: Electronic IDs for Federal Administration employees are also provided by the Citrix Secure Hub, which is used as a sandbox in the Confederation's mobile device management (MDM) on iOS devices. Web applications running in the sandbox web browser (Citrix Secure Web Browser), as well as native apps in this sandbox, can be automatically supplied with this ID information, so that employees do not have to log in. Consequently, it is the access to the sandbox itself, performed via the iOS device's local mechanisms, which counts as the credentials for the automatic, invisible "in-sandbox" authentication. This request method results in the declared reliability of the supplied subject identifier properties being downgraded.
Aus den Leistungen 1 und 2 resultiert, dass nicht die Zielapplikationen selbst die Logins (Benutzeranmeldungen) durchführen, sondern eIAM, respektive die angeschlossenen internen und externen Identitätsprovider. Dies ist ein wichtiger Sicherheitsaspekt der Föderation zwischen Identitätsprovider, eIAM und Zielapplikationen: Das Login wird immer auf der Infrastruktur des Anbieters der elektronischen Identität durchgeführt.
Welche Identitätsprovider und welche Identitätsqualitäten eine Zielapplikation akzeptiert, wird in eIAM pro Zielapplikation eingestellt (innerhalb der Rahmenbedingungen von eIAMs IdP-Konzept www.eiam.admin.ch/idp) respektive von der Zielapplikation bei eIAM angefordert.
Die für eine Zielapplikation zugelassenen Identitäts-/Authentisierungsqualitäten definieren, welche Credentials einsetzbar sind; für abgeklärte Identitäten sind mTAN-Versand (SMS) und Authenticator Apps (z. B. diejenigen von Google und Microsoft) nicht genügend, es müssen Vasco-Tokens oder wie beschrieben Zertifikate (auf Zertifikatsträgern wie Smartcard, USB-Stick, SIM-Karte/Mobile ID) eingesetzt werden.
Für die Logins betreffend die im eIAM-Kontext internen Identitätsprovider kommen folgende Credentials (Authentifikations- und Identitätsnachweismittel) zum Einsatz: Passwort, mTAN-Versand (international, SMS), Authenticator Apps, Vasco-Tokens, Zertifikate auf Schweizer SIM-Karten (sog. Mobile ID) und Zertifikate auf Zertifikatsträgern wie Smartcards und der Citrix Secure Hub auf iOS Geräten. Der Mobile ID-Einsatz ist nur für Mitarbeitende der Bundesverwaltung vorgesehen sowie für ausgewählte Affiliierte, welche das CH-LOGIN auf LOA3 einsetzen müssen. Die Vasco-Tokens werden international für abgeklärte Identitäten für Personen, welche keinen Zugang zur SG-PKI haben, eingesetzt.
Soll temporär auf eine bestimmte Applikation nicht eingeloggt werden können oder sollen vor dem Login Informationen eingeblendet werden, kann das Notification Management genutzt werden (siehe www.eiam.admin.ch/nm).
Il résulte des prestations 1 et 2 que ce ne sont pas les applications cibles elles-mêmes qui effectuent les connexions des utilisateurs, mais eIAM lui-même ou un fournisseur d'identités interne ou externe connecté. C'est un aspect de sécurité important de la fédération entre les fournisseurs d'identités, eIAM et les applications cibles: la connexion est toujours exécutée sur l'infrastructure du fournisseur d'identités électroniques.
On paramètre dans eIAM pour chaque application cible quels fournisseurs d'identités et quelles qualités d'identités elle accepte (selon les conditions fixées par le concept FI eIAM www.eiam.admin.ch/?c=!eiamidpkonzep…). Dans certains cas, l'application cible transmet à eIAM les fournisseurs et les qualités d'identités acceptés.
Les qualités d'identités et d'authentification admises pour une application cible définissent quels identifiants (credentials) peuvent être utilisés. L'envoi d'un code mTAN (par SMS) et les applications d'authentification (par ex. celles de Google ou de Microsoft) ne suffisent pas pour les identités vérifiées. Il faut utiliser des jetons Vasco ou des certificats (sur des supports tels que des cartes à puce, des clés USB, des cartes SIM ou «Mobile ID») comme décrit.
Les identifiants (moyens d'authentification et de vérification d'identité) suivants interviennent pour les connexions concernant les fournisseurs internes d'identités dans le contexte d'eIAM: mot de passe, envoi d'un code mTAN (international, SMS), applications d'authentification (authenticator apps), jetons Vasco, certificats sur cartes SIM suisses («Mobile ID»), certificats sur supports tels que cartes à puce et Citrix Secure Hub sur les appareils iOS. L'utilisation de Mobile ID n'est prévue que pour le personnel de l'administration fédérale et pour certaines personnes affiliées qui doivent utiliser CH-LOGIN au niveau d'assurance 3 (LOA3). Les jetons Vasco sont utilisés dans le monde entier pour les identités vérifiées de personnes qui n'ont pas accès à la SG-PKI.
Vous pouvez utiliser la gestion des messages si vous souhaitez empêcher temporairement la connexion à une application spécifique ou si vous souhaitez afficher des informations avant la connexion (voir www.eiam.admin.ch/nm).
As a result of Services 1 and 2, user login is not performed by the target applications, but by eIAM or a connected external IdP. This is an important security aspect of federation between IdPs, eIAM and target applications: the login is always performed on the infrastructure of the IdP.
The IdPs and ID quality levels accepted by the target application are defined in eIAM for each target application (as part of the eIAM IdP concept www.eiam.admin.ch/?c=!eiamidpkonzep…), or requested from the target application by eIAM.
The ID/authentication quality levels accepted by a target application define what credentials can be used. For authenticated IDs, mTAN (text message) transmission and authenticator apps (e.g. from Google and Microsoft) are not sufficient – Vasco tokens or certificates as described must be used (on certificate carriers such as smartcard, flash drive, SIM card/mobile ID).
For logins concerning internal IdPs in the eIAM context, the following credentials are used: password, mTAN transmission (international, text message and fixed network), authenticator apps, Vasco tokens, certificates on Swiss SIM cards ("mobile ID") and certificates on media such as smartcards and the Citrix Secure Hub on iOS devices. Use of mobile ID is planned only for Federal Administration employees and selected affiliates that use the CH-LOGIN at LOA3. Vasco tokens are used internationally for authenticated IDs for people without access to the SG PKI.
Notification management can be used if you want to temporarily prevent people from logging in to a specific application or if you want to display information prior to the login (see www.eiam.admin.ch/nm).
Der eIAM-eigene Identitätsprovider CH-LOGIN bietet elektronische Identitäten an, welche kostenlos weltweit durch Selbstregistrierung durch die Benutzenden erworben werden können. Ob eine Zielapplikation solche selbstregistrierten elektronischen Identitäten akzeptiert, und wenn ja, ob sofort nach der Selbstregistrierung ohne manuelle Freischaltung durch einen Verantwortlichen, wird in eIAM pro Zielapplikation eingestellt (vgl. dazu den nächsten Abschnitt "Onboardingverfahren").
Die Identität der Personen, die selber ein CH-LOGIN registrieren, gilt als nicht abgeklärt. Ist es notwendig, die effektive Identität der Person durch Ausweiskontrolle festzustellen und mit dem CH-LOGIN zu verknüpfen, bietet eIAM eine Videoidentifikation an.
Le fournisseur d’identités CH-LOGIN propre à eIAM propose des identités électroniques pouvant être obtenues gratuitement dans le monde entier par autoenregistrement des utilisateurs. On paramètre dans eIAM pour chaque application cible si elle accepte les identités électroniques provenant d’un autoenregistrement et, si oui, si elle le fait immédiatement après l’autoenregistrement sans libération manuelle par une personne responsable.
L'identité des personnes qui créent elles-mêmes un compte CH-LOGIN est considérée comme non vérifiée. Lorsqu'il est nécessaire d'établir l'identité de la personne sur la base d'un document d'identité et de l'associer au compte CH-LOGIN, eIAM propose une identification par vidéo.
eIAM's own IdP CH-LOGIN provides eIDs that users can obtain for free and anywhere in the world via self-registration. Whether a target application accepts such self-defined IDs and, if so, whether it does so immediately without requiring manual release by an authentication authority, is defined in eIAM for each target application.
The identity of people who register a CH-LOGIN themselves is regarded as unauthenticated. For cases where it is necessary to verify the true identity of the person by checking their ID and linking the identity to the CH-LOGIN, eIAM offers video identification.
Der Begriff Onboarding beschreibt den Prozess, der dazu führt, dass ein User mit seiner elektronischen Identität eine Zielapplikation benutzen kann.
Übliche Onboardingverfahren mittels eIAM sind:
- Zugriffsantrag automatisiert ohne Interaktion (Silent Mode)
- Zugriffsantrag mit anschliessendem Freigabeprozess in der Verantwortung des Fachs (Benutzer Zugriffsantrag -> BVA)
- Einladung zentral in der Verantwortung des Fachs (BVA -> Benutzer Onboarding-Code)
- Einladung dezentral in der Verantwortung von Organisationseinheiten/Firmen ausserhalb des Fachs
- Einladung automatisch ausgelöst durch Prozess in der Fachapplikation über die eIAM-RDM Schnittstelle
- Autoprovisioning
- Kombinationen 1&2 oder 3/4/5/6
- Authentication only
Diese Leistungsbeschreibung weicht von der "SD124-Servicespezifikation eIAM" und dem "Factsheet eIAM" ab.
La notion d’onboarding décrit le processus qui amène un utilisateur à pouvoir utiliser une application cible au moyen de son identité électronique.
Les procédures d’onboarding usuelles au moyen d’eIAM sont les suivantes:
- Demande d'accès automatisée sans interaction (Silent Mode)
- Demande d'accès suivie d'un processus de libération sous la responsabilité de l'office (utilisateur demande d'accès -> BVA)
- invitation centralisée sous la responsabilité de la l'office (BVA -> utilisateur Onboarding-Code)
- Invitation décentralisée sous la responsabilité d'unités d'organisation/d'entreprises en dehors de l'office
- Invitation déclenchée automatiquement par le processus dans l'application métier via l'interface eIAM-RDM
- Autoprovisioning
- Combinaisons 1&2 ou 3/4/5/6
- Authentification seulement
Cette description des prestations diffère de la "SD124-Servicespezifikation eIAM" et de la "Factsheet eIAM".
Onboarding describes the process allowing users to use a target application by means of their eID.
Common onboarding methods via eIAM are:
- Access request automated without interaction (Silent Mode)
- Access request with subsequent release process under the responsibility of the office (user access request -> BVA)
- Invitation centrally under the responsibility of the office (BVA -> User Onboarding Code)
- Invitation decentralised in the responsibility of organisational units/companies outside the office
- Invitation automatically triggered by process in the application via the eIAM-RDM interface
- Autoprovisioning
- Combinations 1&2 or 3/4/5/6
- Authentication only
This description of services differs from the "SD124-Servicespezifikation eIAM" and the "Factsheet eIAM".
Während dem der Bezug der elektronischen Identitäten über eIAM Pflicht ist (vgl. Marktmodell), ist der Einsatz des Accessmanagements von eIAM optional, das heisst, Berechtigungen wie Rollen und Attribute können auch anderswo, z. B. in der Zielapplikation oder einer Middleware, vergeben werden oder, was häufig gemacht wird, gemischt verortet, grobgranular in eIAMs Accessmanagement, feingranular in der Zielapplikation.
Im Accessmanagement von eIAM können die Berechtigungen über Units, Profile, Rollen und Attribute modelliert werden.
Tandis que l’obtention d’identités électroniques via eIAM est obligatoire (cf. modèle de marché), l’utilisation de la gestion des accès d’eIAM est facultative. Cela signifie que les autorisations telles que rôles et attributs peuvent être attribuées ailleurs – par ex. dans l’application cible ou un intergiciel – ou, comme c’est souvent le cas, être localisées à plusieurs endroits, de manière sommaire dans la gestion des accès d’eIAM et de manière ciblée dans l’application cible.
La gestion des accès d’eIAM permet de définir les autorisations par le biais d’unités, de profils, de rôles et d’attributs.
While it is mandatory to obtain an eID via eIAM (see market model), the use of eIAM's access management is optional, i.e. permissions such as roles and attributes can also be assigned elsewhere, for example in the target application or middleware or, as is often the case, using granular access: high-level in eIAM's access management, low-level in the target application.
In eIAM's access management, permissions can be modelled via units, profiles, roles and attributes.
eIAM-RDM: eIAM-RDM ermöglicht das Einladen von Benutzern in eIAM mittels einer REST (Representational State Transfer) API. RDM steht für Remote Delegated Management. Beim Delegierten Management geht es prinzipiell darum, dass nicht der Berechtigungsverantwortliche eines Amtes BVA Berechtigungen vergibt, sondern jemand anderes (vgl. dazu Leistung 6 auf vorliegender Seite und eIAM-Video bei Minute 11). Bei der Verwendung von RDM löst nicht ein Mensch die Einladung in eIAM aus, sondern eine Maschine. In beiden Fällen sendet eIAM der eingeladenen Person eine E-Mail mit einem Einladungstext und Onboardingcode. Die eingeladene Person löst den Onboardingcode unter Verwendung einer adäquaten elektronischen Identität ihrer Wahl einmalig ein, somit ist diese elektronische Identität über eIAM mit der Zielapplikation verbunden.
eIAM-AMW: Diese Servicekomponente bietet eine SOAP Web Service Schnittstelle, auf welcher die Anwendung mittels eines technischen Users Attribute und Rolleninformationen aus dem eigenen eIAM-Access-Mandanten abfragen und auch updaten kann. Der Zugriff auf diese Schnittstelle erfolgt von der Anwendung lesend und schreibend von innerhalb und ausserhalb der Netzwerke der Bundesverwaltung.
eIAM-LDS: Diese Servicekomponente bietet eine LDAP Schnittstelle, auf welcher die Anwendung mittels eines technischen Users Attribute und Rolleninformationen des Benutzers abrufen kann. Der Zugriff auf diese Schnittstelle erfolgt von der Anwendung nur lesend und nur innerhalb der Netze der Bundesverwaltung.
CIS-DBP*: Beim Datenbezugspunkt des Central Identity Stores CIS können identitätsstiftende Daten von Mitarbeitenden der Bundesverwaltung und Affiliierter im Enterprise-Kontext abgefragt werden.
CIS-DVP*: Datenverteilpunkt. Wie CIS-DBP, aber proaktiv provisionierend in Richtung Zielapplikationen.
*CIS-DBP und CIS-DVP sind Leistungen des CIS und nicht von eIAM, sie werden hier aber aufgeführt, da häufig im Zusammenhang mit eIAM verwendet.
※※eIAM-RDM: cette interface permet d'inviter des utilisateurs dans eIAM à l'aide d'une API REST (Representational State Transfer). RDM est le sigle de Remote Delegated Management, ce qui signifie «gestion déléguée à distance». Le principe de la gestion déléguée veut que ce n'est pas le responsable des autorisations d'un office qui attribue certaines autorisations liées à la gestion des utilisateurs, mais quelqu'un d'autre (voir prestation 6 sur cette page et vidéo eIAM , à la minute 11:15). Avec l'interface eIAM-RDM, ce n'est pas une personne, mais une machine qui déclenche l'invitation à eIAM. Dans les deux cas, eIAM envoie à l'utilisateur invité un courriel contenant un texte d'invitation et un onboarding code. La personne invitée utilise le onboarding code une seule fois en employant une identité électronique adéquate de son choix. Cette identité électronique est alors reliée par eIAM à l'application cible.
eIAM-AMW: ce composant service fournit une interface web service SOAP, sur laquelle l'application peut, au moyen d'un utilisateur technique, consulter les attributs et les informations sur les rôles dans son propre mandant d’accès eIAM et également mettre à jour ces données. L'application a accès à cette interface en mode lecture et écriture tant au sein des réseaux de l'administration fédérale qu'en dehors de ceux-ci.
eIAM-LDS: ce composant service fournit une interface LDAP sur laquelle l'application peut consulter les attributs et les informations sur les rôles de l’utilisateur au moyen d'un utilisateur technique. L'application a accès à cette interface en mode lecture uniquement et seulement au sein des réseaux de l'administration fédérale.
Point de référence des données CIS (CIS-PRD*): le point de référence des données (Datenbezugspunkt) CIS (Central Identity Store) permet de consulter les données qui constituent les identités des collaborateurs de l'administration fédérale et des personnes affiliées dans le contexte d'une entreprise.
Point de distribution des données CIS (CIS-PDD*): similaire au CIS-PRD, le point de distribution des données CIS est responsable du provisioning, soit la création automatique d’identités et de rôles d’utilisateurs pour le compte des applications cibles.
*Le CIS-PRD et le CIS-PDD sont des prestations du central identity store (CIS) et non d’eIAM, mais ils sont définis ici car ils sont souvent utilisés en corrélation avec eIAM.
※※eIAM-RDM: eIAM-RDM allows users to be invited in eIAM using a REST (representational state transfer) API. RDM stands for remote delegated management. In delegated management, it is generally not the person responsible for permissions in an office who assigns permissions, but someone else (see Service 6 on the previous page and eIAM video at 10:50). When RDM is used, it is not a human who triggers the invitation in eIAM; instead, it is a machine. In both cases, eIAM sends the invited person an email that contains an invitation and an onboarding code. The invited person redeems the onboarding code once using an appropriate electronic identity of their choice, which means that this electronic identity is connected to the target application via eIAM.
eIAM-LDS: This service component offers an LDAP interface on which the application can retrieve user attributes and role information by means of a technical user. Access to this interface is read-only and solely within Federal Administration networks.
eIAM-AMW: This service component offers a SOAP web service interface on which the application can search for and update attributes and role information from its own eIAM access client by means of a technical user. Access to this interface is read-and-write and outside Federal Administration networks.
CIS DRP*: The data retrieval point of the central identity store (CIS) can be used to search for identity-establishing data of Federal Administration employees and affiliates in the enterprise context.
CIS DDP*: data distribution point. Like CIS DRP, but with proactive provisioning towards the target application.
*CIS DRP and CIS DDP are services provided by the CIS rather than eIAM, but they are listed here since they are often used in relation to eIAM.
Der Bundestrustbroker BTB ist die Schaltzentrale von eIAM, über welche alle Authentisierungs-Anfragen und Authentisierungs-Ergebnisse vermittelt werden.
Leistung 12 a): Nebst der klassischen Vermittlung (Brokering) bietet der BTB die Möglichkeit, Gruppen von Applikationen zu bilden, für welche ein effektives Single Sign-On SSO gilt (das heisst Applikationswechsel ohne erneute Authentisierungs-Notwendigkeit).
Leistung 12 b): Zusätzlich kann der BTB die Authentisierungstoken umformen (auf Struktur- wie auf Werteebene), um Bedürfnissen der Zielapplikationen entgegenzukommen. Die Spezialanforderung der Token-Umformung ist antragspflichtig (www.eiam.admin.ch/p035) und u. U. mit Folgekosten verbunden. Grundlegendes Ziel ist, dass die Zielapplikationen die Standardtokens von eIAM verarbeiten können (vgl. www.eiam.admin.ch/rfp).
Le trustbroker de la Confédération est le centre d'eIAM qui permet de transmettre les demandes et les résultats d'authentification.
Prestation 12 a): outre la transmission dite classique (brokering), le trustbroker de la Confédération permet de former des groupes d'applications soumis à une authentification unique (single sign-on, SSO), laquelle permet d'accéder à l'ensemble des services et applications sans devoir s'authentifier à chaque fois.
Prestation 12 b): en outre, le trustbroker de la Confédération peut transmettre les jetons d'authentification (aux niveaux de la structure et des valeurs) afin que ceux-ci répondent aux besoins des applications cibles. Les exigences particulières concernant la transmission des jetons doivent être annoncées au moyen du formulaire prévu à cet effet (https://www.eiam.admin.ch/?c=!bkdti…) et peuvent entraîner des coûts. Le principal objectif de cette prestation est de permettre aux applications cibles de traiter les jetons standards d'eIAM (cf. www.eiam.admin.ch/rfp).
The federal trust broker BTB is eIAM's control centre, through which all authentication requests and results are mediated.
Service 12 a): Besides classical brokering, the BTB offers the possibility of forming groups of applications for which an effective single sign-on (SSO) applies (i.e. users can switch between applications without needing to perform another authentication).
Service 12 b): In addition, the BTB can convert the authentication token (at both structural and value level) in order to meet the requirements of the target applications. Token conversion is a special service for which a request must be submitted (www.eiam.admin.ch/p035) and may incur additional costs. The basic aim is to allow the target applications to process eIAM's standard tokens (see www.eiam.admin.ch/rfp).