Support eIAM

eIAM Support

Gestion des identités

Vous avez essayé de vous connecter via FED-LOGIN et vous avez reçu le message d'erreur "Identité inconnue" ? Cela est dû au fait que eIAM ne reconnaît pas encore votre compte, ce qui peut avoir les causes suivantes :
  1. Vous venez d'être équipé(e) d'une carte à puce.

    Veuillez continuer à lire ici...
    ×

    Veuillez noter qu'en tant que collaborateur de l'administration fédérale, vous pouvez utiliser la carte à puce au plus tôt une heure, et qu'en tant que membre de l'armée ou collaborateur d'une administration cantonale/communale, vous pouvez l'utiliser au plus tôt le jour suivant l'émission de la carte à puce dans eIAM.

    Actuellement, eIAM n'a pas encore reçu les informations relatives à votre carte à puce. La raison en est le traitement des données par différents systèmes en arrière-plan.

  2. Vous utilisez soit un compte avec certificat logiciel, soit un compte F, soit un compte T.

    Veuillez continuer à lire ici ...
    ×

    Veuillez noter que pour des raisons de gouvernance et de sécurité, l'utilisation de ces types de comptes est plus restrictive. Leur utilisation nécessite une commande préalable via des formulaires (voir détails ci-dessous). Important : pour la saisie des comptes dans eIAM, il faut impérativement une autorisation formelle du DSIO de l'office.

Formulaires Managed Techuser

eIAM propose l'utilisation et la mise en place de "Managed Techuser". Les Techuser sont mis à disposition et gérés par l'équipe d'eIAM Operations selon les indications de commande du client.

Les trois catégories d'utilisateurs techniques suivantes sont à votre disposition :

1. Techuser pour l'utilisation des API fournies par eIAM
×

Cette catégorie de techuser est surtout utilisée dans la gestion automatique des utilisateurs. eIAM propose pour cela 2 APIs une interface SOAP pour l'accès direct à la gestion des utilisateurs dans NevisIDM (voir détails sur eIAM-AMW), ainsi qu'une interface REST via laquelle les fonctionnalités de la gestion déléguée peuvent être utilisées comme service (voir détails sur eIAM-RDM).

Veuillez tenir compte des préparatifs nécessaires suivants avant de passer commande :

  • Pour les comptes avec certificat logiciel, l'authentification se fait au moyen d'un certificat X.509 de classe C (les classes D et E ne sont pas supportées).
    • Le certificat doit être obtenu au préalable par vous en tant que client, conformément aux directives de l'Admin PKI, via un Remedy MAC ( saisir la commande par type de commande, recherche "Certificats classe C", -> Commande de certificat).
    • Le certificat est libellé au nom de l'utilisateur technique qui est utilisé pour établir la connexion.
    • Le certificat doit contenir au moins les Key Usages suivants :
      • X509v3 Key Usage : Digital Signature
      • X509v3 Extended Key Usage : TLS Web Client Authentication
    • Dans la commande, la clé publique doit être fournie sous forme de fichier PEM.
  • Le DSIO de l'office (voir liste des DSIOs) doit approuver par mail l'utilisation du Techusers.
  • Pour la gestion du cycle de vie du "Managed Techuser", un service central responsable doit être défini (pas de personne dédiée), qui connaît le contexte technique et peut procéder à l'échange de certificats, par exemple, une équipe de gestion des applications.
Formulaire de commande pour la création d'un compte Techuser pour eIAM-AMW
Formulaire de commande pour la création d'un compte Techuser pour eIAM-RDM

2. Techuser pour utiliser Web Service Gateway
×

Cette catégorie d'utilisateurs techniques est surtout utilisée dans la communication serveur (consommateur) à serveur (fournisseur) basée sur SOAP via une passerelle de services web. eIAM offre à cet effet la passerelle de services web eIAM (eIAM-WSG) pour l'authentification. Pour plus de détails sur ce service, voir eIAM-WSG.

Veuillez tenir compte des préparatifs nécessaires suivants avant la commande :

  • Les comptes utilisés doivent être commandés au préalable auprès d'ICD - CIS & Directories via Remedy. L'équipe crée un compte dans le point de référence des données, qui est provisionné dans eIAM et soumis à un cycle de vie réglementé. Les conventions de nommage suivantes s'appliquent :
    • SN= SVC-<Stage>-<Departement>-<Amt>-<APPL>
      • Stage : DEV, TST, REF, ABN, PRD
      • Département : DFI, DFAE, DFF, DFJP, DEFR, DETEC, DDPS
      • Ampl. (abréviation) : par ex. OFIT, OFS, etc.
      • Appl (abréviation) : par ex. IDM, LVS, AWISA
    • givenName = TU
    • displayName analogue SN
  • Pour les comptes avec certificat logiciel, l'authentification se fait au moyen d'un certificat X.509 de classe C (les classes D et E ne sont pas supportées).
    • Le certificat doit être obtenu au préalable par vous en tant que client, conformément aux directives de l'Admin PKI, par le biais d'un Remedy MAC (saisir la commande par type de mandat, recherche "Certificats classe C", -> Commande de certificat).
    • Le certificat est libellé au nom de l'utilisateur technique utilisé pour établir la connexion.
    • Le certificat doit contenir au moins les Key Usages suivants :
      • X509v3 Key Usage : Digital Signature
      • X509v3 Extended Key Usage : TLS Web Client Authentication
    • Dans la commande, la clé publique doit être fournie sous forme de fichier PEM.
  • Le DSIO de l'office (voir liste des DSIOs ) doit approuver par mail l'utilisation du Techusers.
  • Pour la gestion du cycle de vie du "Managed Techuser", un service central responsable doit être défini (pas de personne dédiée), qui connaît le contexte technique et peut procéder à des échanges de certificats, par exemple une équipe de gestion des applications.

Formulaire de commande pour la création d'un techuser pour eIAM-WSG

3. Techuser pour l'utilisation interactive (en tant qu'utilisateur) de eIAM en tant que services
     via l'interface utilisateur Web
×

Cette catégorie est utilisée dans les tests automatisés, le monitoring et le traitement des données. eIAM propose à cet effet 4 types de comptes de "techusers" gérés pour l'utilisation interactive du service eIAM via l'interface utilisateur web, notamment pour la connexion aux applications métier :

  1. CH-LOGIN avec mTAN fixe et ReCaptcha Whitelisting
    adapté aux applications avec QoA30 et plus bas.
  2. Comptes avec certificat logiciel de classe C pour l'authentification via FED-LOGIN au moyen d'un certificat, convient par défaut aux applications avec QoA30 et inférieur.
  3. Compte de l'Active Directory (AD) avec Trust AD Resource Forrest ADR.ADMIN.CH, p. ex. compte F pour l'authentification via FED-LOGIN sur Kerberos convient pour les applications avec QoA40 et plus bas.
  4. T-Account (identité de test liée à une personne avec carte à puce SG-PKI dédiée et référence AD) pour l'authentification via FED-LOGIN (authentification par carte à puce ou AD via Kerberos) convient aux applications avec QoA60 et plus bas.
Voir les informations sur le Concept QoA

Veuillez tenir compte des préparations nécessaires suivantes avant de passer commande :

  • Les comptes suivants doivent déjà exister;
    • CH-LOGIN doit être créé au préalable par le commanditaire (voir instructions CH-LOGIN - Enregistrement). Important : Le SMS (mTan) comme deuxième facteur doit également être configuré au préalable, sinon il n'est pas possible de définir un mTan fixe.
    • Le F-Account doit être commandé via Remedy MAC (lien Remedy).
    • T-Account doit être commandé via Remedy MAC (lien Remedy).
  • Les comptes avec un certificat soft doivent être obtenu au préalable par vous en tant que client, conformément aux directives de l'Admin PKI, via un Remedy MAC ( saisir la commande par type de commande, recherche "Certificats classe C", -> Commande de certificat).
    • Le certificat doit être un certificat X.509 de la classe C.
    • Le certificat est libellé au nom de l'utilisateur technique utilisé pour établir la connexion.
    • Le certificat doit contenir au moins les Key Usages suivants :
      • X509v3 Key Usage : Digital Signature
    • Dans la commande, la clé publique doit également être fournie sous forme de fichier PEM.
  • Le DSIO de l'office (voir liste des DSIOs) doit approuver par mail l'utilisation du Techusers.
  • Pour la gestion du cycle de vie du "Managed Techusers", un service central responsable doit être défini (pas de personne dédiée), qui connaît les relations techniques et peut procéder à l'échange de certificats. Par exemple, une équipe de gestion des applications. Les comptes T, qui sont personnels, font ici exception.
Important
Veuillez noter qu'eIAM Operations garantit uniquement que les Techuser, y compris la référence d'identité (compte dans le mandant d'accès du client), sont correctement créés. Il incombe au GKA/BVA d'accorder à ces comptes d'utilisateurs techniques les autorisations nécessaires à leur utilisation dans le mandant Access.

Formulaire de commande pour la création d'un Techuser CH-LOGIN avec mTAN fixe
Formulaire de commande pour la création d'un compte Techuser avec certificat logiciel
Formulaire de commande pour la création d'un compte Techuser avec AD-Trust
Formulaire de commande pour la création d'un compte Techuser T

Formulaires de support

Les formulaires suivants vous servent de demande de support en cas de problèmes, de mutations ou de réinitialisations de LOGIN.
Instructions pour le CH-LOGIN
Instructions pour le FED-LOGIN

Important : Veuillez ne pas créer vos propres instructions pour CH-LOGIN et FED-LOGIN. Vous pouvez volontiers vous référer aux instrctionss d'aide multilingues que nous avons créées. Cela vous épargnera des efforts et vos documents seront toujours à jour en ce qui concerne eIAM.

Formulaires de support

CH-LOGIN et FED-LOGIN appliquent tous deux le principe de la prise en charge autonome. Les utilisateurs finaux doivent toujours essayer de résoudre leurs difficultés par eux-mêmes. Si cela n'est pas possible, nous avons créé les formulaires suivants pour les demandes de support correspondantes concernant un problème de connexion, une mutation ou une réinitialisation du compte.


×

CH-LOGIN

Kontoinformationen

2FA-Verwaltung

Andere

FED-LOGIN