Identities QoA 40, 50 & 60
Identities QoA 40, 50 & 60 sind elektronische Identitäten, welche via eIAM Authentisierungen mit der Quality of Authentication (QoA) 40, 50 & 60 ermöglichen. Für die QoA 40, 50 & 60 gilt, dass die zugrundeliegende elektronische Identität nicht einfach selbstregistriert ist, sondern abgeklärt. Für abgeklärte elektronische Identitäten gilt, dass ein amtlicher Lichtbildausweis, am besten bei der Credentialübergabe, kontrolliert und registriert wird. Es geht also darum sicherzustellen, die korrekten Angaben zur Person zu kennen. Dies sind insbesondere Name, Vorname, Geburtsdatum, Ausweisart und Ausweisnummer. Abgeklärte elektronische Identitäten ermöglichen die Nachvollziehbarkeit, wer damit ausgerüstet wurde und somit wenn notwendig den Regress auf diese Personen.
eIAMs QoA-Konzept ist auf www.eiam.admin.ch/qoa publiziert (intern).
Les identités QoA 40, 50 et 60 sont des identités électroniques qui permettent de s'authentifier via eIAM en bénéficiant d'une qualité d'authentification (QoA) 40, 50 ou 60. Pour bénéficier de ce niveau de qualité d'authentification, l'utilisateur doit disposer d'une identité électronique vérifiée et non pas seulement autoenregistrée. Afin qu'une identité électronique puisse être considérée comme vérifiée, un document d'identité avec photo doit avoir été contrôlé et enregistré, de préférence lors de l'octroi de l'identité électronique (Credential). Cette étape garantit l'exactitude des informations sur la personne, dont notamment le nom, le prénom, la date de naissance, le type et le numéro du document d'identité. Il est ainsi possible de savoir avec transparence qui dispose d'une identité électronique vérifiée, et ainsi de prendre des mesures de recours contre ces personnes le cas échéant.
Le modèle QoA appliqué à eIAM est publié sur www.eiam.admin.ch/?c=!qoaex&l=fr (interne).
QoA 40, 50 and 60 identities are electronic identities that enable authentication via eIAM with quality of authentication (QoA) 40, 50 and 60. For QoA 40, 50 and 60, the underlying electronic identity is not simply self-defined, but verified. For authenticated electronic identities, an official photo ID must be checked and registered, preferably during the credential handover. The aim is to ensure that the correct personal details are known, particularly the surname, first name, date of birth, type of ID and ID number. Authenticated electronic identities make it possible to trace who has been equipped with them and thus to have recourse to these persons if necessary.
The eIAM QoA concept is published on www.eiam.admin.ch/qoa (internal).
Den Quality of Authentication (QoA) 40, 50 & 60 in eIAM ist gemeinsam, dass ihnen nur obligatorisch abgeklärte elektronische Identitäten zugrunde liegen. Die QoA unterscheiden sich jedoch mit dem eingesetzten zweiten Loginfaktor:
QoA 40: Loginzweitfaktor SMS mTAN oder Authenticator App genügt ≙LOA2,5
QoA 50: Loginzweitfaktor in Form eines Hardcryptotokens notwendig ≙LOA3 (FIDO oder Mobile ID, früher Hardsync-Token Vasco (veraltet)).
QoA 60: Ausschliesslich mit direktem Smartcard-Einsatz ≙LOA4
Dans le contexte d'eIAM, les QoA 40, 50 et 60 ont comme point commun l'obligation pour l'utilisateur de disposer d'une identité électronique vérifiée. Elles se distinguent toutefois les unes des autres par le type de second facteur d'authentification qu'elles requièrent:
QoA 40: un SMS mTAN ou l'Authenticator App suffisent. ≙LOA2,5
QoA 50: l'utilisation d'un jeton cryptographique matériel est nécessaire≙LOA3 (FIDO ou Mobile ID, auparavant jeton hardsync Vasco [dépassé]).
QoA 60: l'utilisation d'une carte à puce est nécessaire. ≙LOA4
The common feature of quality of authentication (QoA) 40, 50 and 60 in eIAM is that they are based solely on electronic identities that are subject to mandatory authentication. However, the QoAs differ in terms of the second login factor used:
QoA 40: Second login factor mTAN message or authenticator app is sufficient ≙LOA2,5
QoA 50: Second login factor in the form of a hardware cryptographic token is necessary ≙LOA3 (FIDO or Mobile ID, previously VASCO hardware sync token (obsolete)).
QoA 60: Exclusively with direct smart card use ≙LOA4
In folgenden Fällen sind selbstregistrierte Identitäten ohne Ausweiskontrolle ungenügend und es müssen daher abgeklärte elektronische Identitäten eingesetzt werden:
- Zugriff auf IKT-Ressourcen der Bundesverwaltung im Enterprise-Kontext (interne und externe Mitarbeitende und Partner). Minimalforderung: QoA 40.
- Zugriff auf Daten mit erhöhtem Schutzbedarf. Minimalforderung: QoA 50.
- Notwendigkeit des Geschäftsprozesses, die handelnde Person belastbar identifizieren zu können (Regressfähigkeit, Minimalanforderung: QoA 40). Dieser Fall kann z.B. auch durch die Zielapplikation erledigt werden, indem eine Ausweis-Kopie in die Zielapplikation hochgeladen wird.
Dans les situations ci-dessous, une identité électronique autoenregistrée sans contrôle d'un document d'identité ne suffit pas. Une identité électronique vérifiée est donc nécessaire:
- Accès à des ressources informatiques de l'administration fédérale dans le contexte «entreprise» (collaborateurs et partenaires internes et externes). Niveau minimum requis: QoA 40
- Accès à des données présentant un besoin de protection accru. Niveau minimum requis: QoA 50
- Nécessité, dans le cadre du processus d'affaires, de pouvoir identifier de manière fiable la personne chargée d'une tâche (de manière à pouvoir exercer un recours; niveau minimum requis: QoA 40). Dans ce cas, il est également possible, par exemple, de proposer à l'utilisateur de charger directement une copie de son document d'identité dans l'application-cible.
In the following cases, self-defined identities without ID checking are insufficient and authenticated electronic identities therefore have to be used:
- Access to ICT resources of the Federal Administration in an enterprise context (internal and external employees and partners). Minimum requirement: QoA 40.
- Access to data with a heightened need for protection. Minimum requirement: QoA 50.
- Need for the business process to be able to reliably identify the person using it (recourse capability, minimum requirement: QoA 40). This case can also be handled by the target application, for example, by having a copy of the ID uploaded to the target application.
Die Loginmethode FED-LOGIN unterstützt QoA 40 bis 60.
Das FED-LOGIN steht Personen zur Verfügung, die durch das HR der Bundesverwaltung oder SG-PKI-Affillierte wie z. B. die Kantone ongeboardet werden.
Die Loginmethode CH-LOGIN unterstützt QoA 20 bis 50.
Das CH-LOGIN soll von allen Personen eingesetzt werden, welche kein FED-LOGIN haben können. Das CH-LOGIN kommt aber auch für Inhabende eines FED-LOGIN zum Einsatz, wenn sie ausserhalb des geschäftlichen Kontextes (Privatperson, Vertretende der Wirtschaft) agieren möchten.
La connexion par FED-LOGIN admet les identités allant de QoA 40 à QoA 60.
Cette méthode est accessible aux personnes qui ont été enregistrées par les services du personnel de la Confédération ou par d'autres services affiliés à la Swiss Government PKI, tels que les cantons.
La connexion par CH-LOGIN admet les identités allant de QoA 20 à QoA 50.
Cette méthode est indiquée pour toutes les personnes qui ne disposent pas de FED-LOGIN. Les personnes qui ont accès à FED-LOGIN l'utilisent également lorsqu'elles souhaitent se connecter hors du contexte professionnel (particuliers, représentants de l'économie).
FED-LOGIN supports QoA 40 to 60.
FED-LOGIN is available to those who have been onboarded by the Federal Administration HR or SG PKI affiliates such as the cantons.
CH-LOGIN supports QoA 20 to 50.
CH-LOGIN should be used by everyone who cannot have a FED-LOGIN. However, it can also be used by holders of a FED-LOGIN if they would like to act in a non-enterprise context (private individual, representative of the business community).
QoA 40:
FED-LOGIN generell.
CH-LOGIN zzgl. ID/Pass-Verifikation online*.
QoA 50:
FED-LOGIN generell**
CH-LOGIN zzgl. Hardcryptotoken* zzgl. ID/Pass-Verifikation online*
QoA 60:
FED-LOGIN, ausschliesslich, nur mit direktem Smartcard-Einsatz.
** Beim Spezialfall «Mobile VDI-User nicht im Besitz einer Smartcard», kommt das sogenannte totally smartcardless FED-LOGIN zum Einsatz, bei dem eine ID/Pass-Verifikation online im Sinne eines Smartcard-Ersatzes (respektive des Abklärungsprozesses zur Smartcard) durchzuführen ist.
QoA 40:
Principalement via FED-LOGIN.
CH-LOGIN + vérification ID/passeport en ligne*.
QoA 50:
Principalement via FED-LOGIN.
CH-LOGIN + jeton cryptographique matériel* + vérification ID/passeport en ligne*.
QoA 60:
Exclusivement via FED-LOGIN, avec utilisation obligatoire de la carte à puce.
** Dans le cas particulier où l'«utilisateur du service Mobile VDI ne possède pas de carte à puce», c'est l'authentification appelée totally smartcardless FED-LOGIN qui est appliquée: la vérification ID/passeport en ligne remplace alors la vérification par la carte à puce.
QoA 40:
FED-LOGIN in general
CH-LOGIN plus ID/passport verification online*
QoA 50:
FED-LOGIN in general
CH-LOGIN plus hardware cryptographic token* plus ID/passport verification online*
QoA 60:
FED-LOGIN, exclusively, only with direct smart card use
** In the special case of «mobile VDI users who do not have a smart card», the so-called totally smartcardless FED-LOGIN is used, whereby an ID/passport verification online has to be carried out in the sense of smart card replacement (or the smart card verification process).