IDM Rollenprofile

GKD (Gesamtkoordinator Dienst)

Der GKD hat die technische und organisatorische Verantwortung über die Berechtigungsvergabe der Rolle GKA. Der Benutzer mit der Rolle GKD kann somit verschiedene GKA für verschiedene Ämter ernennen. Er ist verantwortlich, dem GKA im dafür vorgesehenen IDM-Tool (REF/ABN/PROD) die Rechte zur Ausübung seiner Aufgabe in seinem Amt zu erteilen oder ihm wieder zu entziehen.

GKA (Gesamtkoordinatoren Amt)

Der GKA ist SPOC für eIAM
Der GKA eines Amtes übernimmt gegenüber den eIAM Services die SPOC Funktion;
  • beim Releasemanagement (Test/Abnahmen der funktionalen Erweiterungen)
  • beim Notification Management (Applikationen hinterlegen)
  • er koordiniert alle fachlichen und technischen Belangen für seine eIAM-AM Access Client(s)
Der GKA führt folgende Liste;
  • Applikationsliste mit den zuständigen BVAs und BVGs
IKT-Grundschutz Hilfestellung eIAM
Beim eIAM Leistungserbringern sind keine Vorkehrungen in Kraft um die fachbezogene IKT-Grundschutz Einhaltung zu überwachen, diese Aufgabe obliegt den Verwaltungseinheiten. Abschliessender Verantwortungs- und Risikoträger ist der jeweilige Direktor, die Direktorin.
IKT-Grundschutz in der Bundesverwaltung "T5 Authentifikation und Autorisation"

T5.1 Schutzbedarf
Der von der Applikation verlangte QoA-Level wird mit der eIAM Implementierung im Bereich der Authentisierung und der vom Fach definierten QoA-Level für die Autorisierung persistent durchgesetzt.


Ob das fachlich notwendige «Need-to-Know» Prinzip durch die zuvor aufgeführten Massnahmen vollständig eingehalten wird, kann von eIAM weder beurteilt noch angepasst werden. Sämtliche Rollendefinitionen und entsprechende Rollenzugehörigkeiten von Fach-Mitarbeiter*innen für eine spezifische Fachapplikation werden von den Rollenträger*innen GKA, BVA und BVG definiert und somit auch verantwortet
T5.2 Gewaltentrennung
Die Gewaltentrennung wird mittels der IDM-Rollen Zuweisungen GKA/BVA/BVG und der Einschränkung, dass man sich als BVA innerhalb der Applikationsrollenverwaltung nicht selber berechtigen kann, sicher gestellt.


Der GKA kann dieses Rolleneinschränkung explizit ausser Kraft setzen, in dem er dem BVA die zusätzliche IDM-Rolle „SelfAdmin“ zuordnet, was entsprechend für Applikationsaudits schriftlich festgehalten werden sollte. Das Alternativvorgehen dazu wäre, die Ernennung eines zweiten BVAs, der dem ersten die Fachapplikationsrechte erteilt.


Zugriffsrechte auf Fachapplikationen, welche eIAM als Authentisierungsinstanz vorhalten, werden durch die definierten Rollenträger*innen des Fachbereichs GKA, BVA und BVG bearbeitet und nachweislich sichergestellt.


eIAM stellt den Fachverantwortlichen für diese Sicherstellung geloggte Daten mit verschiedene Reports zur Verfügung. Diese Daten sollten dem Fachbereich helfen, die Ein-/Austritte pro definierte Zeiteinheit sowie den entsprechenden Mutationsprozess der Berechtigungsvergabe beziehungsweise der Löschung von Benutzer Accounts, entsprechend nachweisen zu können.


Zur Jährliche Überprüfung der Rollen und Rechte verwenden Sie bitte den Report «Benutzer pro Applikation». Das generierte EXCEL enthält alle Benutzer mit Rollen in ihrem Amt. Mittels der EXCEL Filter, können Sie dann die entsprechend gewünschte Liste zur jährlichen Überprüfung, sprich Bereinigung erstellen. Dabei stehen Ihnen folgende Benutzer Selektionskriterien zur Verfügung.
  • Erstellungsdatum des Benutzers
  • Rolle des Benutzers («Need-to-Know»)
  • Letztes Login Datum des Benutzers (falls das Feld leer ist, hat sich der Benutzer seit Januar 2019 nicht mehr eingeloggt, Datum der Einführung des Features)
  • Archivierungsdatum das Benutzer (gelöscht wird nichts!)

Die jährlich so bereinigten Listen müssen für die Applikationsaudits, mit aktuellem Datum und Unterschrift vom Fachverantwortlichen, abgelegt werden.
T5.3 Authentifikations- und Identitätsnachweismittel Einsatz
Die von eIAM verwendeten HW/SW-Assets basieren auf den ITIL/ITSM «Good practice» Vorgaben, den IdP-/QoA-Konzepten mit den von eIAM zugelassenen Soft-/Hard-Credentials. Die eIAM Betriebsplattformen (REF/ABN/PROD) unterstehen einem klaren Releaseplan.


Ob das fachlich notwendige «Need-to-Know» Prinzip vollständig durch die zuvor aufgeführten Massnahmen eingehalten wird, kann von eIAM weder beurteilt noch angepasst werden. Sämtliche Rollendefinitionen und entsprechende Rollenzugehörigkeiten von Fach-Mitarbeiter*innen für eine spezifische Fachapplikation werden von den Rolenträger*innen GKA, BVA und BVG definiert und somit auch verantwortet.


Die fachinternen Prozesse für Sperrungen, Zurücksetzung oder der Revozierung (im Sinne einer Widerrufung) müssen vorhanden sein. Zusätzlich ist vom Fach auch das Management der Änderungen der Inhaber der definierten Rollen GKA, BVA und BVG und deren Meldung an eIAM schriftlich festgelegt.

Der GKA verwaltet die IDM-Rollen
Der GKA eines Amtes hat die organisatorische und technische Verantwortung, sicherzustellen, dass nur die von der Linie vorgesehenen Personen, den Zugriff auf die Geschäfts- und Fachapplikationsrollen ermöglichen können.

  • er ist verantwortlich für die Neuaufnahme oder Löschung der IDM Benutzer Profilrollen der BVA's und BVG's in den drei IDM Tool Instanzen (REF/ABN/PROD) in seinem Amt

GKAs Liste:

BVA (Benutzerverwalter Applikation)

Voraussetzung für die Erfüllung der BVA Rolle
  1. der BVA kennt das Benutzer-Rollen-Konzept der Applikation(en)
  2. der BVA kann den Zugriffsantrag eines Benutzers fundiert erteilen oder ablehnen («Need to know» Prinzip)
Der BVA verwaltet die Fachapplikationsrollen der Benutzer
Der BVA von einer oder mehreren Fachapplikation in einem Amt hat die Aufgabe, denjenigen Benutzern, die eine fachliche Rolle beantragt haben, diese zu erteilen oder abzulehnen.
  • Der BVA nutzt pro Applikation ein Benutzer-Rollen-Konzept. Jeglicher Zugriff auf Applikationen muss gemäss dem «Need to know» Prinzip erfolgen.
  • Der BVA bestimmt und ändert den Umfang des Zugriffs durch die Erteilung oder den Entzug der Applikations-Rollen in dem dafür vorgesehene IDM-Tool.
  • Der BVA meldet dem Benutzer die Änderungen seiner Berechtigungen.

BVG (Benutzerverwalter Geschäftsrolle)

Der BVG von einer oder mehreren Geschäftsrolle in einem Amt hat die Aufgabe, denjenigen Benutzern, die eine Geschäftsrolle beantragt haben, diese zu erteilen oder abzulehnen.

Bemerkung
Die Berechtigungen auf Geschäftsrollen werden über die eIAM AdminPortal Lösung mittels "Delegiertem Management" bewirtschaftet