À partir de l'automne 2022, eIAM passera progressivement des machines virtuelles à l'infrastructure de conteneurs de l'OFIT. Avec ces déménagements, la fonctionnalité des actuels Trustbroker d'eIAM, qui sont responsables de la médiation des identités et des attributs, doit être migrée vers le propre développement d'eIAM appelé "Bundestrustbroker (BTB)". Cette infrastructure de conteneurs avec le BTB apporte les avantages suivants:
Quelles sont les exigences fonctionnelles couvertes par le BTB actuel?
Remplacement des Trustbrokers eIAM existants, qui sont basés sur Microsoft ADFS et fonctionnent sur des machines virtuelles.
Fonctionnalité de portail pour la pré-authentification, appelée Home Realm Discovery (HRD), afin que l'utilisateur puisse sélectionner des FI (héritée d'ADFS).
Possibilité de filtrer, de transformer et d'enrichir les attributs des fournisseurs de revendications avec des données d'autorisation et d'autres données d'autorisation nécessaires (reprises d'ADFS).
Nouveau : prend en charge le single sign-on/ single log-out entre plusieurs parties confidentielles sur la base des politiques SSO/SLO et du propre suivi de session.
Nouveau : possibilité d'une fonctionnalité de pré-autorisation, par exemple lorsque des rôles d'accès nécessaires manquent lors de l'onboarding.
L'introduction de la fonctionnalité PEP sur le BTB a permis de simplifier l'architecture eIAM pour les intégrations eIAM standard, car il n'est plus nécessaire d'avoir des PEP dédiés. Ainsi, toutes les applications qui sont actuellement connectées selon le "modèle PEP STS" standard peuvent être migrées directement sur le BTB (ce qui correspond à environ 70% des applications connectées actuellement).
Quelles sont les exigences techniques auxquelles répond le BTB actuel?
Il fonctionne sur une plateforme de conteneurs pour faciliter l'instanciation, le rollover et l'évolutivité (Kubernetes, en particulier le cluster CCP OFIT Atlantica ccp05).
il prend en charge Canary Deployment pour vérifier les modifications avant qu'elles n'affectent les utilisateurs (les testeurs peuvent ainsi vérifier les nouvelles versions via les cookies avant qu'elles ne soient publiées)
Alignement de la pile technologique sur les standards de l'OFIT afin d'optimiser les travaux de maintenance de la plateforme (Java, Spring-Boot, Opensaml, Angular)
développement et configuration au moyen de l'approche GitOps (cadre opérationnel), c'est-à-dire une installation complète et compréhensible dans l'OFIT Bitbucket
BTB Rollout pour applications
Le BTB sera déployé et activé de manière proactive avec le Service Release Syrah (PROD: 08.01.2023). Avec ce développement du Trustbroker en tant que composant de fédération pour eIAM, nous posons les jalons pour l'avenir. Nous éliminons les dépendances technologiques et réduisons la complexité de l'architecture eIAM. En même temps, ce développement nous permet de maintenir le composant en état de répondre à d'importantes exigences futures. La migration purement technique d'une application vers le BTB, doit pouvoir se faire de manière transparente et sans perturbation pour toutes les applications.
