Anforderungen an die eIAM Rollen

Der eIAM Service bietet ein 2-stufiges Rollenkonzept für das Access Management an. Die Administration der Rollen erfolgt im eIAM-AM. Es wird zwischen grobgranularen und feingranularen Rollen unterschieden. Ein wichtiger Grund für dieses 2-stufige Rollenkonzept liegt darin, dass keine Anpassungen auf dem PEP notwendig sind, wenn feingranulare Rollen im eIAM-AM hinzugefügt oder gelöscht werden. Die Rollen eines Benutzers aus dem eIAM-AM werden der Applikation als Attribute in einem SAML (Assertion) geliefert, nachdem die Applikation erfolgreich beim PEP einen SAML AuthnRequest gestellt hat.

Beispiel von grobgranularen und feingranularen Rollen in einer SAML Assertion an die Applikation:

<saml2:Attribute Name="http://schemas.eiam.admin.ch/ws/2013/12/identity/claims/role" a:OriginalIssuer="uri:eiam.admin.ch:feds" xmlns:a="http://schemas.xmlsoap.org/ws/2009/09/identity/claims">
        <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">AMT-SAMPLEAPPL1.ALLOW</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="http://schemas.eiam.admin.ch/ws/2013/12/identity/claims/role" a:OriginalIssuer="uri:eiam.admin.ch:feds" xmlns:a="http://schemas.xmlsoap.org/ws/2009/09/identity/claims">
        <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">AMT-SAMPLEAPPL1.SACHBEARBEITER</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="http://schemas.eiam.admin.ch/ws/2013/12/identity/claims/role" a:OriginalIssuer="uri:eiam.admin.ch:feds" xmlns:a="http://schemas.xmlsoap.org/ws/2009/09/identity/claims">
        <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">AMT-SAMPLEAPPL1.TEAMLEITER</saml2:AttributeValue>
</saml2:Attribute>

Grobgranulare Rolle

Eine grobgranulare Rolle steuert, ob ein Benutzer grundsätzlich berechtigt ist, auf die Applikation zuzugreifen. Die grobgranulare Rolle wird vom eIAM-Web PEP überprüft und durchgesetzt. Grundsätzlich unterscheidet eIAM zwischen der grobgranularen „Allow-Rolle“ (.ALLOW) und der grobgranularen „Deny-Rolle“ (.DENY). Besitzt der Benutzer die geforderte, grobgranulare Allow-Rolle für den Zugriff auf die Ressource nicht, so wird der Request des Benutzers bereits auf dem eIAM-Web PEP blockiert. Ebenfalls blockiert wird der Request des Benutzers auf die Ressource, wenn der BVA ihm die grobgranulare „Deny-Rolle“ gesetzt hat.

Das Fehlen der benötigten, grobgranularen Rolle löst auf dem eIAM-Web PEP den Aufruf des Features eIAM-AccessRequest auf, mit welchem der Benutzer die fehlende Berechtigung beantragen kann.

Beim Fehlen der benötigten, grobgranularen Rolle muss eine ausserhalb der Netze der Bundesverwaltung gehostete Web Applikation das Feature eIAM-AccessRequest aufrufen, mit welchem der Benutzer fehlende Berechtigung beantragen kann.

Bemerkung
Die Applikation kann für Ihre Autorisierung bei Bedarf die grobgranulare Rolle auch verwenden, da diese ebenfalls in den Rolleninformationen der SAML Assertion an die Applikation vorhanden ist.

Namenskonvention grobgranulare Rollen im eIAM

Die Namensgebung für grobgranulare Rollen im eIAM ist standardisiert und setzt sich aus dem Applikationsnamen wie dieser im eIAM-AM geführt wird und dem Qualifier für die Rolle zusammen. Als Trennzeichen wird ein Punkt " . " verwendet.

Grobgranulare Allow Rolle:
<Applikationsname aus eIAM-AM>.ALLOW

Grobgranulare Deny Rolle:
<Applikationsname aus eIAM-AM>.DENY

Feingranulare Rollen

Feingranulare Rollen eines Benutzers dienen zur Steuerung der Zugriffe auf Webmasken und Daten einer Applikation. Ein Benutzer kann eine oder mehrere feingranulare Rollen für eine Applikation besitzen.

Namenskonventionen feingranulare Rollen im eIAM

Die Namensgebung für feingranulare Rollen im eIAM ist standardisiert und setzt sich aus dem Applikationsnamen wie dieser im eIAM-AM geführt wird und dem Qualifier für die Rolle zusammen. Als Trennzeichen wird ein Punkt " . " verwendet.

<Applikationsname aus eIAM-AM>.Rolle