Erneuerung der HIN Identitätsplattform: Von welchen Anpassungen sind Sie betroffen?
Im Rahmen der Erneuerung der Infrastruktur von HIN und Zusammenarbeit mit ELCASecurity werden verschiedene technische Anpassungen und Migrationen vorgenommen.
Wie im April-Newsletter und HIN Blog kommuniziert, wird HIN künftig die Technologie von ELCA für Identifizierungs- und Authentisierungsprozesse bei der HIN Identität nutzen. Um gemeinsam einen unterbrechungsfreien Betrieb zu gewährleisten, sind wir auf Ihre Unterstützung angewiesen.
Betrifft Sie eines dieser Themen, dann werden Sie bitte jetzt aktiv
1. HIN Access Gateway (AGW)
Die neue Version des HIN Access Gateways wird ab dem 17. August 2026 ausgerollt.
Was müssen Sie als AGW-Administrator tun?
1. Installation
Die neue Version 4 wird automatisiert auf dem bestehenden Access Gateway installiert.
Eine Ausnahme sind die Cluster-Installationen, welche nicht automatisch ausgerollt werden. Nähere Informationen dazu werden wir rechtzeitig an dieser Stelle hinzufügen.
2. Anpassung der Firewall-Regeln bis spätestens 31.07.2026
- Eine wichtige Voraussetzung damit die automatische Installation funktioniert, ist, dass das AGW eine Internetverbindung mit folgendem Host aufnehmen kann: idp.id.hin.ch (http/ Port 443/tcp).
- Überprüfen Sie die Firewall-Regeln am besten gleich jetzt, damit sichergestellt ist, dass das AGW diese Verbindung herstellen kann.
- Die IP-Adressen des Hosts sind: 185.154.38.46 und 193.168.215.45
- Da die IP-Adressen ändern können, empfehlen wir, für die Firewall-Regeln den Hostnamen idp.id.hin.ch zu benutzen.
Wichtig ist, dass Sie diese Anpassung an der Firewall bis spätestens am 31.07.2026 umsetzen.
3. Weitere Voraussetzungen, damit die Umstellung sicher funktioniert
- Bitte stellen Sie sicher, dass das AGW auf Version 3.1.50 oder höher läuft und Kerberos als Authentisierungsmethode aktiviert ist.
Diese Umstellung wurde im Normalfall von Ihnen zusammen mit unserem technischen Support bereits vorgenommen. Falls dies nicht der Fall ist, wenden Sie sich an unseren Support. Weitere technische Informationen finden Sie auf unseren Support Seiten.
AGW Voraussetzungen für automatisiertes Update im Überblick
| Thema | Voraussetzung |
|---|---|
| Host Name | idp.id.hin.ch |
| IP-Adressen des Hosts | 185.154.38.46 und 193.168.215.45 |
| AGW-Version | 3.1.50 oder höher |
| Authentisierungsmethode | Kerberos |
2. SAML-Endpunkte
2.1 HIN Federation Service mit SAML Anbindung (ohne EPD, mit Post Binding)
Wenn Sie die SAML-Integration für die Authentisierung mit HIN Identitäten nutzen, müssen Sie einen neuen Endpunkt benutzen:
Nutzen Sie für die Konfiguration Ihres Systems die Metadaten unter der folgenden URL:
|
|---|
Die Umstellung auf den neuen Endpunkt kann ab sofort gestartet werden und muss bis spätestens 14. September 2026 abgeschlossen sein.
Sollten Sie bereits im Juni an einer Migration interessiert sein, freuen wir uns über Ihre Kontaktaufnahme via HIN Support.
Wichtig: Nach dem 14. September 2026 können die alten Endpunkte nicht mehr genutzt werden.
Wichtig zu wissen
Die IP-Adresse von broker.hin.ch ist 185.98.123.154.
Gegebenenfalls müssen Sie Ihre Firewall-Regeln anpassen.
- Die gültigen Zertifikate Ihres Service Providers werden durch uns übernommen.
- Die Integration muss direkt auf dem neuen produktiven Endpunkt (broker.hin.ch) erfolgen.
- Die Aufrufe des Endpunkts für den Logout mit dem Request-Parameter ?logout werden in Zukunft nicht mehr unterstützt.
- Pro SAML-Issuer kann nur noch ein Zertifikat hinterlegt werden. Der genaue Ablauf der Erneuerung von Zertifikaten wird an dieser Stelle rechtzeitig beschrieben.
- Bisher konnte der angeforderte Auth-Level über einen Query-Parameter angefordert werden. Diese Möglichkeit wird nicht mehr unterstützt.
Neu muss der Authentication Context verwendet werden. Dabei entspricht der frühere Parameter «authLevel=HIN» neu dem Wert «http://hin.ch/profile/mfa» im AuthenticationContext des SAML Requests:
|
<samlp:RequestedAuthnContext Comparison="exact"> <saml:AuthnContextClassRef>http://hin.ch/profile/mfa</saml:AuthnContextClassRef> |
2.2 Zugang zum EPD mit SAML (Artifact Binding)
Wenn Sie die SAML Integration für den Zugang zu EPD Systemen benutzen, müssen Sie neu einen anderen Endpunkt benutzen. Die bisherigen Endpunkte unter idp.fed.hin.ch sowie epr.fed.hin.ch werden abgelöst.
Nutzen Sie für die Konfiguration ihres Systems die Metadaten, welche unter dieser URL publiziert werden:
|
|---|
Der neue SAML Endpunkt lautet idp.id.hin.ch.
Die Umstellung auf den neuen Endpunkt kann ab sofort gestartet werden und muss bis spätestens 14. September 2026 abgeschlossen sein.
Wichtig: Nach dem 14. September 2026 können die alten Endpunkte nicht mehr genutzt werden. Wenn kein neuer Endpunkt gesetzt wurde, ist keine Authentisierung möglich.
Wichtig zu wissen
- Die Signatur der SAML Response durch den HIN IDP bleibt gleich.
- Die gültigen Zertifikate Ihres Service Providers werden durch uns übernommen.
- Die gelieferten Attribute werden auf die im EPD Anhang 8 definierten Attribute reduziert: GLN, Surname, Lastname, Date of Birth, Gender.
Falls weitere Attribute benötigt werden, müssen diese über den HIN Stammdaten Service (SDS) abgefragt werden. Für weitere Informationen wenden Sie sich an unseren Support. - IP-Adressen des IDP ändern und Firewall-Regeln (wenn vorhanden) müssen angepasst werden:
- Aufrufe des IDP müssen unter diesen IP-Adressen möglich sein: 185.154.38.46, 193.168.215.45
- Der IDP wird SAML SPs mit diesen Quelladressen kontaktieren: 193.168.215.13, 193.168.215.12
- Pro SAML-Issuer kann nur noch ein Zertifikat hinterlegt werden. Der genaue Ablauf der Erneuerung von Zertifikaten wird an dieser Stelle rechtzeitig beschrieben.
- Aufrufe des Artifact Resolution Endpoints: die Authentisierung mit mTLS wird ignoriert.
- Die Integration muss vorerst direkt auf dem neuen produktiven Endpunkt (idp.id.hin.ch) erfolgen. Sobald eine Testumgebung verfügbar ist, werden wir an dieser Stelle informieren.
- Für die Integration müssen HIN Identitäten verwendet werden, die per Videoidentifikation überprüft wurden. Test-Identitäten können nicht verwendet werden.
Das Binding im Authentication Request (authnRequest) ist nicht mehr fix das Redirect Binding und muss neu spezifisch angefragt werden:
- Für Post Binding:
"ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" - Für Redirect Binding:
"ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Im Attribute Statement wird das Name Format ändern und enthält neu einen «Friendly Name»:
- Heutiges Format:
|
<saml2:Attribute Name="GLN" NameFormat="urn:oasis:names:tc:ebcore:partyid-type:DataUniversalNumberingSystem:0060"> <saml2:AttributeValue xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml2:AttributeValue> </saml2:Attribute> |
- Neues Format:
|
<saml:Attribute FriendlyName="Global Location Number" Name="GLN" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xs=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml:AttributeValue> </saml:Attribute> |
3. Test-Identitäten für den Zugang zum EPD müssen neu beantragt werden
Test-Identitäten für den Zugang zum EPD verlieren mit der Umstellung per 14.09.2026 ihre Gültigkeit und müssen neu beantragt werden.
HIN wird betroffene Kunden in den nächsten Wochen darüber informieren, wie neue Test-Identitäten für einen unterbrechungsfreien Betrieb beantragt werden können.
Was gilt für die anderen Test-Identitäten?
Alle anderen Test-Identitäten können auch nach der Umstellung auf die neue Plattform per 14.9.2026 weitergenutzt werden.
Informationen zum neuen HIN Client
Durch die Zusammenarbeit mit ELCASecurity gibt es auch ein Update für den HIN Client, welches alle Mitglieder betrifft. Der HIN Client kann neu für Logins auf höchster Stufe genutzt werden (für EPD Zugriffe), ohne dass noch ein Mobiltelefon fürs Login zusätzlich notwendig ist. Das Vertraulichkeitslevel wurde erhöht. Im separaten Blog-Beitrag finden Sie Informationen zu Neuerungen und möglichen notwendigen Massnahmen auf Anwenderseite.
4. HIN Authenticator App
Die Authenticator App wird ebenfalls erneuert und damit muss die Konfiguration als zweiter Faktor neu eingerichtet werden.
Die bestehende Authenticator App ist noch bis am 14. September 2026 einsetzbar.
So können Sie die HIN Authenticator App auch danach als zweiter Faktor nutzen
Schritt 1: Einrichtung der alternativen Login Methode via Passwort und SMS-Code
Damit Sie den Zugang zu Ihrem HIN Login jederzeit behalten, müssen Sie das Login via Passwort und SMS-Code für Notfälle einrichten. Wir werden Ihnen über diesen Weg inskünftig beim Verlust ihrer Login-Daten auch einen Code zum Rücksetzen ihres Accounts zukommen lassen. Am besten richten Sie die Login Methode via Passwort und SMS-Code bereits jetzt ein.
Schritt 2: Aktualisierung der Authenticator App:
Wir empfehlen Ihnen die automatisierte Aktualisierung Ihrer Apps auf Ihrem Smartphone zu aktivieren, damit stellen Sie sicher, dass die neue App automatisch auf Ihrem Smartphone installiert wird. Natürlich können Sie die App auch manuell installieren, sie wird ab dem 14. September zum Download bereit stehen.
Schritt 3: Einrichten der neuen Authenticator App (ab 15. September 2026 möglich):
Loggen Sie sich auf dem Self-Service Portal ein und fügen Sie unter dem Menupunkt «Faktoren» die Authenticator App als zweiten Faktor hinzu. Nach diesem Schritt wird die Authenticator App als präferierter zweiter Faktor beim nächsten Login ausgewählt.
Gibt es Alternativen zur HIN Authenticator App?
Alternativ stehen zwei weitere Login-Methoden zur Verfügung
- Login mit HIN Client: Der HIN Client kann in Zukunft ohne Mobiltelefon fürs Login genutzt werden. Zur Anleitung
- Login mit SMS-Code: Sie erhalten auf Ihr Mobiltelefon ein SMS mit einem einmal verwendbaren Code. Diese Anleitung ab Punkt zwei hilft Ihnen weiter: Zur Anleitung
5. Hardware Token
Es werden keine neuen Hardware Token herausgegeben. Bisher genutzte laufen per 14. September 2026 ab.
Daher müssen Sie bis am 14.09.2026 eine alternative Login-Methode einrichten:
- Login mit HIN Client: Der HIN Client ist die Zugangssoftware für einen einfachen und sicheren Zugriff auf die HIN Plattform. HIN Client installieren
- Login mit SMS-Code: Sie erhalten auf Ihr Mobiltelefon ein SMS mit einem einmal verwendbaren Code. Diese Anleitung ab Punkt zwei hilft Ihnen weiter: Zur Anleitung
- HIN Authenticator App: Ein weitere Möglichkeit ist die HIN Authenticator App. Bitte beachten Sie dafür die Anweisungen bei Punkt 4.