Funktionsprinzip


IDV Broker

Der IDV Broker ist ein schweizweiter Dienst zur Föderierung von elektronischen Identitäten und Authentisierungen gemäss dem STIAM Standard von eCH. Er vermittelt Identitäts- und Authentisierungsbestätigungen von Login-Anbietern (IdP) und Register-Datenbanken (AA) an Web-Dienste (RP). IdP (Identity Provider), AA (Attribute Authority) und RP (Relying Party) sind Bezeichnungen aus den relevanten Standards bei eCH und OASIS .

Das Projekt IDV Schweiz baut den IDV Broker.



Wirkungsweise

VORHER: Jeder Web-Dienst betreibt seinen eigenen IdP. Die Kunden registrieren sich bei jedem Dienst und erhalten vom IdP die Zugangsmittel und -daten. Die Benutzer häufen über die Zeit eine Unzahl von Konten und Passwörter an, die sie jeweils nur selten benötigen.


Illustration: Vorher

NACHHER: Der IDV Broker vermittelt die Authentifizierungsdaten der IdPs  an die Web-Dienste. Diese sehen den IDV Broker als Universal-IdP, der alle anderen IdPs vertritt, die ihrerseits die Benutzer tatsächlich identifizieren und authentifizieren. Man beachte: Der IDV Broker hat selber keine Benutzer und führt keine Identifikation oder Authentifizierung durch.


Illustration: Nachher

Kunden von IdP red, IdP blue und IdP three haben Zugang zu den Web-Diensten.  three.ch schliesst seinen IdP dem Verbund an, die anderen Web-Dienste haben ihre IdPs abgestellt und nutzen nur noch den IDV Broker für die Authentisierung ihrer Benutzer.



IDV Domains

Die Anforderungen der Teilnehmer an den Identitätsverbund sind teils sehr unterschiedlich. Darum wurde der IDV-Broker so konzipiert, dass mehrere unabhängige Broker-Dienste angeboten werden können, die sog. Domains. Ein Domain ist ein dedizierter IDV-Broker für eine Gruppe von Teilnehmern, die speziellen Regeln oder Gesetzen unterworfen sind. Domains sind voneinander isoliert. Wenn man einer Domain angehört, dann gelten darin Domain-eigene Regeln, Protokolle, technische Profile usw.

Beispiel: Wenn Kantone mit Gemeinden oder dem Bund elektronisch zusammen arbeiten, dann tun sie das als Mitglied in der G2G Domain (Government-to-Government). Wenn es darum geht, privaten Benutzern den Zugang zu E-Government Leistungen zu gewähren, dann bewegt man sich im G2C Domain (Government-to-Citizen).


Vorteile

  • IdPs verbreitern ihren Wirkungskreis. Die Benutzer können auf Dienste zugreifen, die vorher nicht zugänglich waren.
  • RP unterstützen nur noch einen IdP und eine Technologie: IDV Broker.
  • Benutzer verwenden nur noch das Loginmittel ihrer Wahl, kein Passwort-Salat mehr.