Bild zeigt eine Person mit einer Glühbirne

Erneuerung der HIN Identitätsplattform: Von welchen Anpassungen sind Sie betroffen?

Alessandro Vitale
Alessandro Vitale

Im Rahmen der Erneuerung der Infrastruktur von HIN und Zusammenarbeit mit ELCASecurity werden verschiedene technische Anpassungen und Migrationen vorgenommen.

1. HIN Access Gateway (AGW)

 

Die neue Version des HIN Access Gateways wird ab dem 17. August 2026 ausgerollt.

 

Was müssen Sie als AGW-Administrator tun?

 

1. Installation

Die neue Version 4 wird automatisiert auf dem bestehenden Access Gateway installiert.

Eine Ausnahme sind die Cluster-Installationen, welche nicht automatisch ausgerollt werden. Nähere Informationen dazu werden wir rechtzeitig an dieser Stelle hinzufügen.

 

2. Anpassung der Firewall-Regeln bis spätestens 31.07.2026

  • Eine wichtige Voraussetzung damit die automatische Installation funktioniert, ist, dass das AGW eine Internetverbindung mit folgendem Host aufnehmen kann: idp.id.hin.ch (http/ Port 443/tcp).
  • Überprüfen Sie die Firewall-Regeln am besten gleich jetzt, damit sichergestellt ist, dass das AGW diese Verbindung herstellen kann.
  • Die IP-Adressen des Hosts sind: 185.154.38.46 und 193.168.215.45
  • Da die IP-Adressen ändern können, empfehlen wir, für die Firewall-Regeln den Hostnamen idp.id.hin.ch zu benutzen.

Wichtig ist, dass Sie diese Anpassung an der Firewall bis spätestens am 31.07.2026 umsetzen.

3. Weitere Voraussetzungen, damit die Umstellung sicher funktioniert

  • Bitte stellen Sie sicher, dass das AGW auf Version 3.1.50 oder höher läuft und Kerberos als Authentisierungsmethode aktiviert ist.

Diese Umstellung wurde im Normalfall von Ihnen zusammen mit unserem technischen Support bereits vorgenommen. Falls dies nicht der Fall ist, wenden Sie sich an unseren Support. Weitere technische Informationen finden Sie auf unseren Support Seiten.

Weitere FAQ zum neuen AGW

AGW Voraussetzungen für automatisiertes Update im Überblick

Thema Voraussetzung
Host Name idp.id.hin.ch
IP-Adressen des Hosts 185.154.38.46 und 193.168.215.45
AGW-Version 3.1.50 oder höher
Authentisierungsmethode Kerberos

 

2. SAML-Endpunkte

 

2.1 HIN Federation Service mit SAML Anbindung (ohne EPD, mit Post Binding)

Wenn Sie die SAML-Integration für die Authentisierung mit HIN Identitäten nutzen, müssen Sie einen neuen Endpunkt benutzen:

Nutzen Sie für die Konfiguration Ihres Systems die Metadaten unter der folgenden URL:

  • https://broker.hin.ch/realms/HINBroker/protocol/saml/descriptor

 

Die Umstellung auf den neuen Endpunkt kann ab sofort gestartet werden und muss bis spätestens 14. September 2026 abgeschlossen sein.

Sollten Sie bereits im Juni an einer Migration interessiert sein, freuen wir uns über Ihre Kontaktaufnahme via HIN Support.

Wichtig: Nach dem 14. September 2026 können die alten Endpunkte nicht mehr genutzt werden.

Wichtig zu wissen

Die IP-Adresse von broker.hin.ch ist 185.98.123.154.

Gegebenenfalls müssen Sie Ihre Firewall-Regeln anpassen.

  • Die gültigen Zertifikate Ihres Service Providers werden durch uns übernommen.
  • Die Integration muss direkt auf dem neuen produktiven Endpunkt (broker.hin.ch) erfolgen.
  • Die Aufrufe des Endpunkts für den Logout mit dem Request-Parameter ?logout werden in Zukunft nicht mehr unterstützt.
  • Pro SAML-Issuer kann nur noch ein Zertifikat hinterlegt werden. Der genaue Ablauf der Erneuerung von Zertifikaten wird an dieser Stelle rechtzeitig beschrieben.
  • Bisher konnte der angeforderte Auth-Level über einen Query-Parameter angefordert werden. Diese Möglichkeit wird nicht mehr unterstützt.

Neu muss der Authentication Context verwendet werden. Dabei entspricht der frühere Parameter «authLevel=HIN» neu dem Wert «http://hin.ch/profile/mfa» im AuthenticationContext des SAML Requests:

 

<samlp:RequestedAuthnContext Comparison="exact">  <saml:AuthnContextClassRef>http://hin.ch/profile/mfa</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>

Weitere FAQ zum Thema SAML

2.2 Zugang zum EPD mit SAML (Artifact Binding)

Wenn Sie die SAML Integration für den Zugang zu EPD Systemen benutzen, müssen Sie neu einen anderen Endpunkt benutzen. Die bisherigen Endpunkte unter idp.fed.hin.ch sowie epr.fed.hin.ch werden abgelöst.

Nutzen Sie für die Konfiguration ihres Systems die Metadaten, welche unter dieser URL publiziert werden: 

  • https://idp.id.hin.ch/auth/realms/hinid/protocol/saml/descriptor

 

Der neue SAML Endpunkt lautet idp.id.hin.ch.

Die Umstellung auf den neuen Endpunkt kann ab sofort gestartet werden und muss bis spätestens 14. September 2026 abgeschlossen sein.

Wichtig: Nach dem 14. September 2026 können die alten Endpunkte nicht mehr genutzt werden. Wenn kein neuer Endpunkt gesetzt wurde, ist keine Authentisierung möglich.

Wichtig zu wissen

  • Die Signatur der SAML Response durch den HIN IDP bleibt gleich.
  • Die gültigen Zertifikate Ihres Service Providers werden durch uns übernommen.
  • Die gelieferten Attribute werden auf die im EPD Anhang 8 definierten Attribute reduziert: GLN, Surname, Lastname, Date of Birth, Gender.
    Falls weitere Attribute benötigt werden, müssen diese über den HIN Stammdaten Service (SDS) abgefragt werden. Für weitere Informationen wenden Sie sich an unseren Support
  • IP-Adressen des IDP ändern und Firewall-Regeln (wenn vorhanden) müssen angepasst werden:
    • Aufrufe des IDP müssen unter diesen IP-Adressen möglich sein: 185.154.38.46, 193.168.215.45
    • Der IDP wird SAML SPs mit diesen Quelladressen kontaktieren: 193.168.215.13, 193.168.215.12
  • Pro SAML-Issuer kann nur noch ein Zertifikat hinterlegt werden. Der genaue Ablauf der Erneuerung von Zertifikaten wird an dieser Stelle rechtzeitig beschrieben.
  • Aufrufe des Artifact Resolution Endpoints: die Authentisierung mit mTLS wird ignoriert.
  • Die Integration muss vorerst direkt auf dem neuen produktiven Endpunkt (idp.id.hin.ch) erfolgen. Sobald eine Testumgebung verfügbar ist, werden wir an dieser Stelle informieren.
  • Für die Integration müssen HIN Identitäten verwendet werden, die per Videoidentifikation überprüft wurden. Test-Identitäten können nicht verwendet werden.

Das Binding im Authentication Request (authnRequest) ist nicht mehr fix das Redirect Binding und muss neu spezifisch angefragt werden:

  • Für Post Binding:
    "ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
  • Für Redirect Binding:
    "ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"

Im Attribute Statement wird das Name Format ändern und enthält neu einen «Friendly Name»:

  • Heutiges Format:
 

<saml2:Attribute Name="GLN" NameFormat="urn:oasis:names:tc:ebcore:partyid-type:DataUniversalNumberingSystem:0060"> <saml2:AttributeValue xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml2:AttributeValue> </saml2:Attribute>

 

  • Neues Format:
 

<saml:Attribute FriendlyName="Global Location Number" Name="GLN" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xs=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml:AttributeValue> </saml:Attribute>

Weitere FAQ zum Thema SAML

3. Test-Identitäten für den Zugang zum EPD müssen neu beantragt werden

 

Test-Identitäten für den Zugang zum EPD verlieren mit der Umstellung per 14.09.2026 ihre Gültigkeit und müssen neu beantragt werden.

HIN wird betroffene Kunden in den nächsten Wochen darüber informieren, wie neue Test-Identitäten für einen unterbrechungsfreien Betrieb beantragt werden können.

Was gilt für die anderen Test-Identitäten?

Alle anderen Test-Identitäten können auch nach der Umstellung auf die neue Plattform per 14.9.2026 weitergenutzt werden.

Weitere FAQ zu Test-Identitäten
client HIN

Informationen zum neuen HIN Client

Durch die Zusammenarbeit mit ELCASecurity gibt es auch ein Update für den HIN Client, welches alle Mitglieder betrifft. Der HIN Client kann neu für Logins auf höchster Stufe genutzt werden (für EPD Zugriffe), ohne dass noch ein Mobiltelefon fürs Login zusätzlich notwendig ist. Das Vertraulichkeitslevel wurde erhöht. Im separaten Blog-Beitrag finden Sie Informationen zu Neuerungen und möglichen notwendigen Massnahmen auf Anwenderseite.

4. HIN Authenticator App

 

Die Authenticator App wird ebenfalls erneuert und damit muss die Konfiguration als zweiter Faktor neu eingerichtet werden.

Die bestehende Authenticator App ist noch bis am 14. September 2026 einsetzbar.

So können Sie die HIN Authenticator App auch danach als zweiter Faktor nutzen

 

Schritt 1: Einrichtung der alternativen Login Methode via Passwort und SMS-Code

Damit Sie den Zugang zu Ihrem HIN Login jederzeit behalten, müssen Sie das Login via Passwort und SMS-Code für Notfälle einrichten. Wir werden Ihnen über diesen Weg inskünftig beim Verlust ihrer Login-Daten auch einen Code zum Rücksetzen ihres Accounts zukommen lassen. Am besten richten Sie die Login Methode via Passwort und SMS-Code bereits jetzt ein.

Zur Anleitung

Schritt 2: Aktualisierung der Authenticator App:

Wir empfehlen Ihnen die automatisierte Aktualisierung Ihrer Apps auf Ihrem Smartphone zu aktivieren, damit stellen Sie sicher, dass die neue App automatisch auf Ihrem Smartphone installiert wird. Natürlich können Sie die App auch manuell installieren, sie wird ab dem 14. September zum Download bereit stehen.

Schritt 3: Einrichten der neuen Authenticator App (ab 15. September 2026 möglich):

Loggen Sie sich auf dem Self-Service Portal ein und fügen Sie unter dem Menupunkt «Faktoren» die Authenticator App als zweiten Faktor hinzu. Nach diesem Schritt wird die Authenticator App als präferierter zweiter Faktor beim nächsten Login ausgewählt.

Gibt es Alternativen zur HIN Authenticator App?

Alternativ stehen zwei weitere Login-Methoden zur Verfügung

  • Login mit HIN Client:  Der HIN Client kann in Zukunft ohne Mobiltelefon fürs Login genutzt werden. Zur Anleitung
  • Login mit SMS-Code: Sie erhalten auf Ihr Mobiltelefon ein SMS mit einem einmal verwendbaren Code. Diese Anleitung ab Punkt zwei hilft Ihnen weiter:  Zur Anleitung
Weitere FAQ zur HIN Authenticator App

5. Hardware Token

Es werden keine neuen Hardware Token herausgegeben. Bisher genutzte laufen per 14. September 2026 ab.

 

Daher müssen Sie bis am 14.09.2026 eine alternative Login-Methode einrichten:

  • Login mit HIN Client: Der HIN Client ist die Zugangssoftware für einen einfachen und sicheren Zugriff auf die HIN Plattform. HIN Client installieren
  • Login mit SMS-Code: Sie erhalten auf Ihr Mobiltelefon ein SMS mit einem einmal verwendbaren Code. Diese Anleitung ab Punkt zwei hilft Ihnen weiter:  Zur Anleitung
  • HIN Authenticator App: Ein weitere Möglichkeit ist die HIN Authenticator App. Bitte beachten Sie dafür die Anweisungen bei Punkt 4.

Weitere Informationen

Interview mit CEO von ELCASecurity Christophe Gerber
Die HIN Identität im Überblick
HIN Access im Überblick
Kontakt HIN Support
Alessandro Vitale
Autor: Alessandro Vitale - Leiter Support

Als Experte im Bereich Technik und Support liefere ich Ihnen Tipps und Tricks im Umgang mit unseren Services, Produkten und dem allgemeinen Umgang im Netz. Lassen Sie mich Ihnen die einfachen Seiten der digitalen Welt eröffnen und wie viel Spass es machen kann, Herausforderungen zu lösen.

Expertise
Als Leiter des HIN Supports stehen in meine Arbeitsalltag unsere Kundinnen und Kunden an erster Stelle. Ich liebe meinen Job und werde nie müde, Sie gemeinsam mit meinem Team bei technischen Fragen oder Schwierigkeiten zu unterstützen. Für mich ist jede Kundenanfrage genauso einzigartig wie der Kunde selbst – und genau das macht meine Aufgabe so spannend. Begonnen habe ich ursprünglich in der Systemtechnik und im technischen Support, dort habe ich auch meine Ausbildung als Informatikpraktiker absolviert. Bei HIN bin ich nun seit über sechs Jahren tätig.

Redaktionelle Inhalte
Als Experte im Bereich Technik und Support liefere ich Ihnen Tipps und Tricks im Umgang mit unseren Services, Produkten und dem allgemeinen Umgang im Netz. Lassen Sie mich Ihnen die einfachen Seiten der digitalen Welt eröffnen und wie viel Spass es machen kann, Herausforderungen zu lösen.

Ganz persönlich
Privat schlägt mein Herz für das italienische «Dolce Vita», Reisen an die Adria gehören für mich einfach dazu. Wenn das gerade nicht möglich ist, zaubere ich mir das italienische Lebensgefühl mit selbstgemachten Pasta-Gerichten in meine Küche. Daneben interessiere ich mich für technische Innovationen und lese viel in Fachblogs.

Weitere Artikel von Alessandro Vitale