Ab Herbst 2022 wird eIAM schrittweise von virtuellen Maschinen auf die Containerinfrastruktur des BIT umziehen. Mit diesen Umzügen muss die Funktionalität der heutigen eIAM Trustbroker, welche für die Identiäts- und Attributvermittlungen zuständig sind, auf die eIAM-Eigenentwicklung namens Bundestrustbroker (BTB) migriert werden. Diese Containerinfrastruktur mit dem BTB bringen folgende Vorteile:
Welche funktionalen Anforderungen deckt der aktuelle BTB ab?
Ersatz für der bestehenden eIAM Trustbroker, welche auf Microsoft ADFS basieren und auf virtuellen Maschinen betrieben werden.
Portalfunktionalität zur Vorauthentifizierung, das sogenannte Home Realm Discovery (HRD), damit der Benutzer IdPs auswählen kann (von ADFS übernommen).
Mögliche Filterung, Umwandlung und Anreicherung der Attribute von Claims-Providern mit Autorisierungs- und anderen erforderlichen Autorisierungsdaten (von ADFS übernommen).
Neu: unterstützt das Single-Sign-On/Single-Log-Out zwischen mehreren vertrauenden Parteien auf der Grundlage von SSO/SLO-Richtlinien und eigener Sitzungsverfolgung.
Neu: Möglichkeit einer Vorautorisierungsfunktionalität z.B. wenn beim Onboarding erforderliche Zugriffsrollen fehlen.
Mit der Einführung von PEP-Funktionalität auf dem BTB konnte die eIAM Architektur für Standard eIAM Integrationen vereinfacht werden, da keine dedizierten PEPs mehr notwendig sind. Somit können alle Applikationen, welche heute nach Standard "STS-PEP-Muster" angeschlossen sind, direkt auf den BTB migriert werden (entspricht ca. 70% der heute angeschlossenen Applikationen).
Welche technischen Anforderungen erfüllt der aktuelle BTB?
Er läuft auf einer Container-Plattform für einfache Instanziierung, Rollover und Skalierbarkeit (Kubernetes, speziell BIT Atlantica CCP-Cluster ccp05)
Er unterstützt Canary Deployment, um Änderungen zu überprüfen, bevor sie sich auf die Benutzer auswirken (so können Tester über Cookies neue Versionen überprüfen, bevor sie veröffentlicht werden)
Ausrichtung des Technologie-Stack auf die BIT-Standards, um die Plattform Wartungsarbeiten zu optimieren (Java, Spring-Boot, Opensaml, Angular)
Entwicklung und Konfiguration mittels dem GitOps-Ansatz (operatives Rahmenwerk) d.h. einer vollständig und nachvollziehbaren Einrichtung in BIT Bitbucket
BTB Rollout für Applikationen
Der BTB wird mit dem Service Release Syrah (PROD: 08.01.2023) pro-aktiv ausgerollt und aktiviert. Mit dieser Weiterentwicklung des Bundestrustbrokers als Föderationskomponente für eIAM stellen wir die Weichen für die Zukunft. Wir eliminieren technologische Abhängigkeiten und reduzieren die Komplexität in der eIAM Architektur. Gleichzeitig ermöglichen wir mit der Weiterentwicklung, dass die Komponente für wichtige zukünftige Anforderungen fit bleibt. Die rein technische Migration einer Applikationen auf den BTB, sollte für alle Applikationen transparent und ohne Beeinträchtigungen durchgeführt werden können.
