Renouvellement de la plateforme d’identité HIN: quels sont les changements qui vous concernent?
Dans le cadre de la modernisation de l’infrastructure de HIN et de la collaboration avec ELCASecurity, diverses adaptations techniques et migrations sont en cours.
Comme annoncé dans la newsletter d’avril et sur le blog HIN, HIN utilisera désormais la technologie d’ELCA pour les processus d’identification et d’authentification dans le cadre de l’identité HIN. Afin de garantir ensemble un fonctionnement sans interruption, nous avons besoin de votre soutien.
Si l’un de ces sujets vous concerne, n’hésitez pas à agir dès maintenant
1. HIN Access Gateway (AGW)
La nouvelle version de l’HIN Access Gateway sera déployée à partir du 17 août 2026.
En tant qu’administrateur AGW, que devez-vous faire?
1. Installation
La nouvelle version 4 s’installe automatiquement sur l’Access Gateway existant.
Font exception les installations Cluster, qui ne seront pas déployées automatiquement. Nous ajouterons des informations complémentaires en temps utile à ce sujet.
2. Adaptation des règles du pare-feu au plus tard le 31 juillet 2026
- Pour que l’installation automatique fonctionne, il est indispensable que l’AGW puisse établir une connexion Internet avec l’hôte suivant: idp.id.hin.ch (http/port 443/tcp).
- Nous vous recommandons de vérifier dès maintenant les règles de votre pare-feu afin de vous assurer que l’AGW peut établir cette connexion.
- Les adresses IP de l’hôte sont les suivantes: 185.154.38.46 et 193.168.215.45
- Les adresses IP pouvant changer, nous vous recommandons d’utiliser le nom d’hôte idp.id.hin.ch pour les règles du pare-feu.
Il est important que vous procédiez à cette modification sur le pare-feu au plus tard le 31 juillet 2026.
3. Autres conditions à remplir pour garantir le bon déroulement de la transition
- Veuillez vous assurer que l’AGW fonctionne sous la version 3.1.50 ou une version ultérieure et que Kerberos est activé comme méthode d’authentification.
Normalement, cette mise à jour a déjà été effectuée par vos soins avec l’aide de notre support technique. Si ce n’est pas le cas, veuillez contacter notre support. Vous trouverez de plus amples informations techniques sur nos pages de support.
Aperçu des conditions requises pour l’AGW et la mise à jour automatique
| Thème | Pré-requis |
|---|---|
| Host Name | idp.id.hin.ch |
| Adresses IP de l’hôte | 185.154.38.46 et 193.168.215.45 |
| Version AGW | 3.1.50 ou version ultérieure |
| Méthode d’authentification | Kerberos |
2. Accès à l’application via SAML
2.1 Federation Service HIN avec connexion SAML (sans DEP, avec liaison Post)
Si vous utilisez l’intégration SAML pour l’authentification avec les identités HIN, vous devez utiliser un nouveau endpoint:
Pour configurer votre système, utilisez les métadonnées disponibles à l’adresse suivante:
|
|---|
La migration vers le nouveau endpoint pourra débuter au plus tôt le 15 juin 2026 et devra être achevée au plus tard le 14 septembre 2026.
Si vous êtes déjà intéressé par une migration dès le mois de juin, n’hésitez pas à nous contacter via le support HIN.
Important: après le 14 septembre 2026, les anciens endpoint ne pourront plus être utilisés.
Bon à savoir
L’adresse IP de broker.hin.ch est 185.98.123.154.
Si nécessaire, vous devrez modifier les règles de votre pare-feu.
- Nous prenons en charge les certificats valides de votre fournisseur de services.
- L’intégration doit être effectuée directement sur le nouveau endpoint productif (broker.hin.ch).
- Les appels vers l'endpoint de déconnexion avec le paramètre de requête «?logout» ne seront plus pris en charge à l’avenir.
- Un seul certificat peut désormais être enregistré par issuer SAML. La procédure exacte de renouvellement des certificats sera décrite ici en temps utile.
- Jusqu’à présent, il était possible de demander le niveau d’authentification requis via un paramètre de requête. Cette fonctionnalité n’est plus prise en charge.
Il faut désormais utiliser le contexte d’authentification. L’ancien paramètre «authLevel=HIN» correspond désormais à la valeur «http://hin.ch/profile/mfa» dans l’AuthenticationContext de la requête SAML:
|
<samlp:RequestedAuthnContext Comparison="exact"> <saml:AuthnContextClassRef>http://hin.ch/profile/mfa</saml:AuthnContextClassRef> |
2.2 Accès au DEP via SAML (liaison d’artefact)
Si vous utilisez l’intégration SAML pour accéder aux systèmes DEP, vous devez désormais utiliser un autre endpoint. Les endpoints existants sous idp.fed.hin.ch et epr.fed.hin.ch seront remplacés.
Pour configurer votre système, utilisez les métadonnées publiées à l’adresse suivante:
|
|---|
Le nouveau endpoint SAML est idp.id.hin.ch.
La migration vers le nouveau endpoint pourra débuter à partir du 15 juin 2026 et devra être achevée au plus tard le 14 septembre 2026.
Important: après le 14 septembre 2026, les anciens endpoint ne pourront plus être utilisés. Si aucun nouveau endpoint n’a été défini, l’authentification ne sera plus possible.
Bon à savoir
- La signature de la réponse SAML par l’IDP HIN reste inchangée.
- Nous prenons en charge les certificats valides de votre fournisseur de services.
- Les attributs fournis sont réduits aux attributs définis dans l’annexe 8 du DEP: GLN, Surname, Lastname, Date of Birth, Gender.
- Si d’autres attributs sont nécessaires, il convient de les demander via le service de données de base HIN (SDS). Pour plus d’informations, veuillez contacter notre support.
- Les adresses IP de l’IDP changent, et les règles du pare-feu doivent être adaptées (le cas échéant):
- Les appels vers l’IDP doivent être possibles aux adresses IP suivantes: 185.154.38.46, 193.168.215.45
- L’IDP contactera les fournisseurs de services SAML à l’aide de ces adresses sources: 193.168.215.13, 193.168.215.12
- Un seul certificat peut désormais être enregistré par issuer SAML. La procédure exacte de renouvellement des certificats sera décrite ici en temps utile.
- Appels vers l'endpoint Artifact Resolution: l’authentification via mTLS est ignorée.
- Dans un premier temps, l’intégration doit être effectuée directement sur le nouveau endpoint productif (idp.id.hin.ch). Dès qu’un environnement de test sera disponible, nous vous en informerons ici.
- Pour l’intégration, il faut utiliser des identités HIN qui ont été vérifiées par identification vidéo. Les identités de test ne peuvent pas être utilisées.
Le Binding dans l’Authentication Request (authnRequest) n’est plus fixé au Redirect Binding et doit désormais être explicitement demandé:
- Pour le Post Binding:
"ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" - Pour le Redirect Binding:
"ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Dans l’Attribute Statement, le Name Format changera et contiendra désormais un «Friendly Name»:
- Format actuel:
|
<saml2:Attribute Name="GLN" NameFormat="urn:oasis:names:tc:ebcore:partyid-type:DataUniversalNumberingSystem:0060"> <saml2:AttributeValue xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml2:AttributeValue> </saml2:Attribute> |
- Nouveau format:
|
<saml:Attribute FriendlyName="Global Location Number" Name="GLN" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xs=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:type="xs:string">2000000010007</saml:AttributeValue> </saml:Attribute> |
3. Les identités de test dans le contexte du DEP doivent faire l’objet d’une nouvelle demande
Les identités de test dans le cadre du DEP perdront leur validité à compter du 14 septembre 2026 et devront faire l’objet d’une nouvelle demande.
Au cours des prochaines semaines, HIN informera les clients concernés de la manière dont ils peuvent demander de nouvelles identités de test afin d’assurer la continuité du service.
Qu’en est-il des autres identités de test?
Toutes les autres identités de test pourront continuer à être utilisées même après le passage à la nouvelle plateforme, prévu le 14 septembre 2026.
Informations sur le nouveau client HIN
La collaboration avec ELCASecurity entraîne également une mise à jour du client HIN, qui concerne tous les membres. Le client HIN peut désormais être utilisé pour les connexions au niveau le plus élevé (pour accéder au DEP) sans qu’il soit nécessaire d’utiliser en plus un téléphone portable pour se connecter. Le niveau de confidentialité a été relevé. Dans un article de blog, vous trouverez des informations sur les nouveautés et les mesures éventuellement nécessaires du côté des utilisateurs.
4. Application Authentificateur HIN
L’application Authentificateur HIN est également renouvelée, ce qui implique de reconfigurer l’authentification à deux facteurs.
L’application Authentificateur HIN actuelle restera utilisable jusqu’au 14 septembre 2026.
Vous pourrez ainsi continuer à utiliser l’application Authentificateur HIN comme deuxième facteur d’authentification
Étape 1: configuration de la méthode de connexion alternative par mot de passe et code SMS
Pour pouvoir accéder au login HIN à tout moment, vous devez configurer la connexion par mot de passe et code SMS en cas d’urgence. À l’avenir, si vous perdez vos identifiants, nous vous enverrons également par ce biais un code permettant de réinitialiser votre compte. Nous vous recommandons de configurer dès maintenant la méthode de connexion par mot de passe et code SMS.
Étape 2: mise à jour de l’application Authentificateur HIN:
Nous vous recommandons d’activer la mise à jour automatique de vos applications sur votre smartphone. Vous aurez ainsi la garantie que la nouvelle version sera automatiquement installée sur votre appareil. Vous pouvez bien sûr également installer l’application manuellement ; elle sera disponible au téléchargement à partir du 14 septembre.
Étape 3: configuration de la nouvelle application Authentificateur HIN (possible à partir du 15 septembre 2026) :
Connectez-vous au portail en libre-service et ajoutez l’application Authentificateur HIN comme deuxième facteur d’authentification dans la rubrique «Facteurs». Une fois cette étape franchie, l’application Authentificateur HIN sera sélectionnée comme deuxième facteur d’authentification par défaut lors de la prochaine connexion.
Existe-t-il des alternatives à l’application Authentificateur HIN?
Deux autres méthodes de connexion sont également disponibles
- Connexion avec le client HIN: à l’avenir, le client HIN pourra être utilisé pour se connecter sans avoir besoin d’un téléphone portable. Voir les instructions
- Accès avec code SMS: vous recevrez un SMS sur votre téléphone portable contenant un code SMS à usage unique. Les instructions suivantes, à partir du point 2, vous aideront: Voir les instructions
5. Token matériel
Aucun nouveau token matériel ne sera émis. Les tokens actuellement utilisés expireront le 14 septembre 2026.
Vous devez donc configurer une autre méthode de connexion d’ici le 14 septembre 2026:
- Connexion avec le client HIN: le client HIN est le logiciel d’accès pour se connecter à la plate-forme HIN de manière simple et sécurisée. Installer le client HIN
- Accès avec code SMS: vous recevrez un SMS sur votre téléphone portable contenant un code SMS à usage unique. Les instructions suivantes, à partir du point 2, vous aideront: Voir les instructions
- Application Authentificateur HIN: une autre possibilité consiste à utiliser l’application Authentificateur HIN. Veuillez suivre les instructions figurant au point 4.