BTB: SSO/SLO Übersicht

(BTB: Bundestrustbroker, SSO: Single Sign-On, SLO: Single Logout)

Diese Seite enthält eine ausführliche Beschreibung der SSO/SLO-Funktionalität, einschliesslich Beschreibungen aus der Benutzerperspektive.

BTB: SSO/SLO Überblick

Single Sign-On (SSO)

Das BTB SSO erlaubt die Konfiguration von SSO-Gruppen. Eine SSO-Gruppe definiert eine vertrauenswürdige Gruppe von Diensten und Anwendungen, innerhalb derer eine durchgeführte Benutzerauthentifizierung nicht mehr erforderlich ist, sobald sich der Benutzer erfolgreich bei einer Anwendung der SSO-Gruppe angemeldet hat.

  • Eine Anwendung kann nur einer SSO-Gruppe angehören → SSO-Gruppen sind schnittmengenfrei (disjunkt).
  • Jede erfolgreiche Anmeldung erzeugt eine SSO Session. Es kann vorkommen, dass obwohl Applikationen derselben SSO Gruppe angehören, dennoch mehrfache Anmeldungen notwendig sind. Siehe Beispiel
    ×

    Eine SSO Gruppe ist mit Applikation A und B definiert.
    Für Applikation A ist ein Benutzer Login mittels Identitätsprovidern FED-LOGIN und CH-LOGIN möglich, für Applikation B nur das CH-LOGIN.
    Meldet sich der Benutzer zuerst für Applikation A unter Benutzung des FED-LOGINs an, so wird eine SSO Session FED-LOGIN erzeugt. Beim Aufruf von Applikation B muss sich der Benutzer mit dem CH-LOGIN anmelden, es wird also eine weitere SSO Session CH-LOGIN erzeugt.
    Meldet sich der Benutzer in diesem Szenario anfangs jedoch mittels des CH-LOGINs an, wird eine SSO Session CH-LOGIN erzeugt. Beim Aufruf der anderen Applikation ist dann keine erneute Anmeldung erforderlich.

Single Logout (SLO)

Mittels BTB SLO werden alle Applikationen innerhalb der gleichen SSO-Session konform beendet, wenn sich der Benutzer;
  • aktiv mittels "Logout" Button aus einer Anwendung abmeldet
  • alle Browser-Instanzen (Fenster) schliesst
  • die konfigurierte Session-Lifetime erreicht wird (Session-Lifetime, mit aktiver Session Max 12 Stunden, mit inaktiven Sessions 2 Std.).
Anforderung an die Applikation:
  • Das Login, Logout und erneutes Login mit den gesetzten IdPs und dem Minimalen QoA-Level auf die Applikation funktioniert.
  • Ein Logout Button auf eine Logoutseite wurde in der Applikation implementiert.

SSO/SLO-Gruppen bestellen, einrichten und pflegen

Hier sollte beschrieben werden, wie und wo der Kunde das Features bestellen kann und wie die Stakeholder diese dann pflegen können.

Kostenfolge für Kunden

SSO unter einem gemeinsamen Fully Qualified Domain Name (FQDN; Bsp. www.gate.bit.admin.ch) ist heute einfach realisierbar und in einer eIAM Standard Implementierung (Remedy CRQ) enthalten. Anforderungen an SSO über mehrere FQDNs bedürfen ein kostenpflichtiges Consulting nach Aufwand.

SSO/SLO-Nutzungsinformationen

In diesem Abschnitt werden die häufigsten Fragen zur Nutzung des BTB SSO/SLO aus Sicht der Benutzer beantwortet.

Kann ich meine aktiven SSO-Sessions einsehen?
Nein, dies ist nicht möglich.

Was passiert, wenn mein QoA einer SSO-Sitzung nicht ausreicht, um auf eine Anwendung zuzugreifen?
Wenn eine gültige SSO-Sitzung existiert und der Benutzer auf eine Anwendung zugreifen möchte, die dieser SSO-Gruppe zugeordnet ist, aber die Anwendung einen höheren QoA benötigt, als die SSO-Sitzung hat, dann muss sich der Benutzer mit der entsprechenden Methode authentifizieren, um den erforderlichen QoA zu erreichen. Bei erfolgreicher Authentifizierung wird der QoA der bestehenden SSO-Sitzung an die höhere Authentifizierungsstärke angepasst.

Wie kann ich vermeiden, einer SSO-Sitzung beizutreten?
Wenn ein Benutzer sich zusätzlich an einer Applikation anmelden möchten, welche in derselben SSO/SLO Gruppe definiert ist und er diesen Service nicht nutzen will, so kann er dies umgehen, indem er einen unterschiedlichen Browser (Edge, Chrome, Firefox u.a.) für diese Anwendung benutzt.

Ich will mit dem CH-LOGIN rein, werde aber immer auf FED-LOGIN SSO eingeloggt?
Verwenden Sie ein Inkognito Window oder anderer Browser, am besten mit Privat-Notebook statt Federal-Workplace.