eIAM Support

eIAM Support

Identitäts Management

Sie haben versucht sich über FED-LOGIN anzumelden und haben die Fehlermeldung «Unbekannte Identität» erhalten? Dies liegt daran, dass eIAM Ihren Account noch nicht erkennt, was folgende Ursache haben kann:
  1. Sie wurden eben erst mit einer Smartcard ausgerüstet.

    Bitte lesen Sie hier weiter...
    ×

    Beachten Sie, dass Sie die Smartcard als Mitarbeiter der Bundesverwaltung frühestens eine Stunde, als Angehöriger der Armee oder Mitarbeiter einer kantonalen/kommunalen Verwaltung frühestens am Folgetag ab der Ausstellung der Smartcard in eIAM nutzen können.

    eIAM hat aktuell Ihre Smartcard Informationen noch nicht erhalten. Grund dafür sind Datenverarbeitungen über verschiedene Systeme im Hintergrund.

  2. Sie nutzen entweder einen Account mit Softzertifikat, einen F- oder einen T-Account.

    Bitte lesen Sie hier weiter...
    ×

    Beachten Sie, dass aus Governance- und Sicherheitsgründen die Nutzung solcher Account Typen restriktiver gehandhabt wird. Eine Nutzung bedingt eine vorgängige Bestellung via Formulare (siehe Details dazu unten). Wichtig: Für die Erfassung der Accounts in eIAM braucht es zwingend eine formale Freigabe des ISBO des Amtes.

Managed Techuser Formulare

eIAM bietet die Nutzung und Einrichtung von «Managed Techuser» an. Die Techuser werden durch das Team von eIAM Operations gemäss den Bestellangaben des Kunden bereitgestellt und gemanagt.

Folgende drei Techuser Kategorien stehen Ihnen dabei zur Verfügung:

1. Techuser zur Nutzung der von eIAM bereitgestellten APIs
×

Diese Kategorie der Techuser wird vor allem in der automatischen Benutzerverwaltung eingesetzt. eIAM bietet dazu 2 APIs an, ein SOAP Interface für den direkten Zugriff auf die Benutzerverwaltung im NevisIDM (siehe Details zu eIAM-AMW), sowie ein REST Interface, über welches die Funktionalitäten des delegierten Managements als Service genutzt werden können (siehe Details zu eIAM-RDM).

Bitte beachten Sie folgende notwendigen Vorbereitungen vor der Bestellung:

  • Bei Accounts mit Softzertifikat erfolgt die Authentisierung mittels eines X.509 Zertifikats der Klasse C (die Klassen D und E sind nicht unterstützt).
    • Das Zertifikat muss vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
    • Das Zertifikat ist lautend auf den technischen Benutzer, der zum Aufbau der Verbindung verwendet wird.
    • Das Zertifikat muss mindestens die folgenden Key Usages beinhalten:
      • X509v3 Key Usage: Digital Signature
      • X509v3 Extended Key Usage: TLS Web Client Authentication
    • In der Bestellung ist der Public Key als PEM-File mitzuliefern.
  • Der ISBO des Amtes (siehe Liste der ISBOs) muss via Mail den Einsatz des Techusers genehmigen.
  • Für das Lifecycle Management des «Managed Techuser» muss eine verantwortliche, zentrale Stelle definiert sein (keine dedizierte Person), welche die technischen Zusammenhänge kennt und Zertifikatsaustausch durchführen kann, z.B. ein Applikationsmanagement Team.
Bestellformular für die Einrichtung eines Techusers für eIAM-AMW
Bestellformular für die Einrichtung eines Techusers für eIAM-RDM

2. Techuser zur Nutzung von Web Service Gateway
×

Diese Kategorie der Techuser wird vorallem in der SOAP-basierten Server (Consumer) zu Server (Provider) Kommuikation über einen Web Service Gateway eingesetzt. eIAM bietet dazu den eIAM Web Service Gateway (eIAM-WSG) zur Authentifizierung an. Details zu dieser Leistung finden sich unter eIAM-WSG.

Bitte beachten Sie folgende notwendigen Vorbereitungen vor der Bestellung:

  • Die verwendeten Accounts müssen vorgängig bei über ICD – CIS & Directories via Remedy bestellt werden. Das Team erstellt einen Account im Datenbezugspunkt, welcher zu eIAM provisioniert wird und einem geregelten Lifecycle unterliegt. Es gelten dabei folgende Namenskonventionen:
    • SN= SVC-<Stage>-<Departement>-<Amt>-<APPL>
      • Stage: DEV, TST, REF, ABN, PRD
      • Departement: EDI, EDA, EFD, EJPD, WBF, UVEK, VBS
      • Amt (Kürzel): z.B. BIT, BFS, etc.
      • Appl (Kürzel): z.B. IDM, LVS, AWISA
    • givenName = TU
    • displayName analog SN
  • Bei Accounts mit Softzertifikat erfolgt die Authentisierung mittels eines X.509 Zertifikats der Klasse C (die Klassen D und E sind nicht unterstützt).
    • Das Zertifikat muss vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
    • Das Zertifikat ist lautend auf den technischen Benutzer, der zum Aufbau der Verbindung verwendet wird.
    • Das Zertifikat muss mindestens die folgenden Key Usages beinhalten:
      • X509v3 Key Usage: Digital Signature
      • X509v3 Extended Key Usage: TLS Web Client Authentication
    • In der Bestellung ist der Public Key als PEM-File mitzuliefern.
  • Der ISBO des Amtes (siehe Liste der ISBOs ) muss via Mail den Einsatz des Techusers genehmigen.
  • Für das Lifecycle Management des «Managed Techuser» muss eine verantwortliche, zentrale Stelle definiert sein (keine dedizierte Person), welche die technischen Zusammenhänge kennt und Zertifikatsaustausch durchführen kann, z.B. ein Applikationsmanagement Team.

Bestellformular für Einrichtung eines Techuser für eIAM-WSG

3. Techuser zur interaktiven Nutzung (als User) von eIAM als Services via Web-UI
×

Diese Kategorie wird im automatisierten Testing, Monitoring sowie der Datenverarbeitung eingesetzt. eIAM bietet dazu 4 Account Typen von gemanagten «Techusern» für die interaktive Nutzung von eIAM Service via Web-UI, insbesondere für das Login auf Fachapplikationen:

  1. CH-LOGIN mit fixem mTAN und ReCaptcha Whitelisting
    geeignet für Applikationen mit QoA30 und tiefer.
  2. Accounts mit Softzertifikat der Klasse C für Authentisierung via FED-LOGIN mittels Zertifikat standardmässig geeignet für Appl mit QoA30 und tiefer.
  3. Account aus Active Directory (AD) mit Trust AD Resource Forrest ADR.ADMIN.CH, z.B. F-Account für Authentisierung via FED-LOGIN über Kerberos geeignet für Appl mit QoA40 und tiefer.
  4. T-Account (personengebundene Test-Identität mit dedizierter SG-PKI Smartcard und AD-Referenz) zur Authentisierung via FED-LOGIN (Smartcard- oder AD-Authentisierung via Kerberos) geeignet für Applikationen mit QoA60 und tiefer.
Siehe Information zum QoA Konzept

Bitte beachten Sie folgende notwendigen Vorbereitungen vor der Bestellung:

  • Die nachfolgenden Accounts müssen bereits bestehen;
    • CH-LOGIN muss durch Besteller vorgängig erstellt werden (siehe Anleitung CH-LOGIN - Registrierung). Wichtig: SMS (mTan) als Zweitfaktor muss vorgängig ebenfalls eingerichtet werden, sonst kann kein fixer mTan hinterlegt werden.
    • F-Account muss via Remedy MAC bestellt werden (Link Remedy).
    • T-Account muss via Remedy MAC bestellt werden (Link Remedy).
  • Die Accounts mit einem Softzertifikat müssen vorgängig durch Sie als Kunde, gemäss den Vorgaben der Admin PKI, über einen Remedy MAC beschafft werden (Bestellung nach Auftragstyp erfassen, Suche nach «Zertifikate Klasse C», -> Bestellung Zertifikat).
    • Das Zertifikat muss X.509 Zertifikat der Klasse C sein.
    • Das Zertifikat ist lautend auf den technischen Benutzer der zum Aufbau der Verbindung verwendet wird.
    • Das Zertifikat muss mindestens die folgenden Key Usages beinhalten:
      • X509v3 Key Usage: Digital Signature
    • In der Bestellung ist der Public Key als PEM-File mit zu liefern.
  • Der ISBO des Amtes (siehe Liste der ISBOs) muss via Mail den Einsatz des Techusers genehmigen.
  • Für das Lifecycle Management des «Managed Techusers» muss eine verantwortliche, zentrale Stelle definiert sein (keine dedizierte Person), welche die technischen Zusammenhänge kennt und Zertifikatsaustausch durchführen kann. z.B. ein Applikations Management Team. Ausnahme hier sind T-Accounts, welche persönlich sind.
Wichtig
Bitte beachten Sie, dass eIAM Operations nur sicherstellt, dass die Techuser inkl. der Identitätsreferenz (Account im Access Mandanten des Kunden) korrekt erstellt sind. Es obliegt dem GKA/BVA diesen Techuser-Accounts, die für den Einsatzzweck notwendigen Berechtigungen im Access Mandanten zu erteilen.

Bestellformular für die Einrichtung eines Techuser CH-LOGIN mit fixem mTAN
Bestellformular für die Einrichtung eines Techuser Accounts mit Softzertifikat
Bestellformular für die Einrichtung eines Techuser Accounts mit AD-Trust (z.B. F-Account)
Bestellformular für Einrichtung eines Techuser T-Account


Support

Anleitungen zur Selbsthilfe

Wir haben für die Endanwendenden verschiedenste Anleitungen zur Selbsthilfe erstellt. Diese finden Sie unter den nachfolgenden Links getrennt nach Login-Methode.
Anleitungen für das CH-LOGIN
Anleitungen für das FED-LOGIN

Wichtig: Bitte erstellen Sie keine eigenen Anleitungen für CH-LOGIN und FED-LOGIN gerne können Sie auf die von uns erstellten mehrsprachigen Hilfeseiten referenzieren. Das erspart Ihnen Aufwand und Ihre Dokumente sind so in Bezug auf eIAM immer aktuell.

Support Formulare

Sowohl bei CH-LOGIN, als auch bei FED-LOGIN gilt der Grundsatz der Selbsthilfe. Die Endanwendenden sollen immer zuerst versuchen ihre Schwierigkeiten über die Selbsthilfe eigenständig zu lösen. Sollte dies nicht gelingen, haben wir nachfolgende Formulare für die entsprechenden Support Anfragen betreffend einem Login-Problem, einer Account-Mutation oder -Rücksetzung erstellt.


×

CH-LOGIN

Kontoinformationen

2FA-Verwaltung


Verwaltung externer Identitäten (BYOI)

Weitere Anleitungen

FED-LOGIN