Je veux être Fournisseur d'Identité FranceConnect #
Pour devenir Fournisseur d'Identité FranceConnect, il faut envoyer votre demande à l'adresse support.partenaires@franceconnect.gouv.fr avec les éléments suivants :
- Nom du fournisseur d'identité
- Titre (tel qu'il apparaîtra aux utilisateurs FC)
- Email de contact
- URL du endpoint d'authentification et d'autorisation
- URL du endpoint de demande de token
- URL du endpoint de demande des informations utilisateur (identité pivot)
- URL du endpoint de logout ( norme OIDC )
- URL de endpoint de métadonnée '.well-known/openid-configuration'
- Status URL (URL pour tester l'état du FI)
- Client ID
- Client secret
- Niveau eidas ( eidas1 - faible, eidas2 - substantiel, eidas3 - élevé)
- Logo
Nos Endpoints #
En environnement d'intégration, production de FranceConnect, les endpoints sont disponibles en HTTPS.
FranceConnect doit être capable d'interroger le FI. Pensez à configurer votre proxy, si nécessaire, pour autoriser l'accès Internet depuis FC.
Connexion #
Environnement | Adresse de retour ( Redirect URI ) |
---|---|
intégration FC | https://fcp.integ01.dev-franceconnect.fr/oidc_callback |
production FC | https://app.franceconnect.gouv.fr/oidc_callback |
intégration FC v2 | https://fcp-low.integ01.dev-franceconnect.fr/api/v2/oidc-callback |
intégration FC+ | https://auth.integ01.dev-franceconnect.fr/api/v2/oidc-callback |
production FC+ | https://auth.franceconnect.gouv.fr/api/v2/oidc-callback |
Déconnexion #
Environnement | Adresse de retour ( Post Logout Redirect URI ) |
---|---|
intégration FC | https://fcp.integ01.dev-franceconnect.fr/api/v1/logout/redirect_from_provider |
production FC | https://app.franceconnect.gouv.fr/api/v1/logout/redirect_from_provider |
intégration FC v2 | https://fcp-low.integ01.dev-franceconnect.fr/api/v2/client/logout-callback |
intégration FC+ | https://auth.integ01.dev-franceconnect.fr/api/v2/client/logout-callback |
production FC+ | https://auth.franceconnect.gouv.fr/api/v2/client/logout-callback |
Détail du fonctionnement #
sequenceDiagram participant U as Utilisateur participant FC participant FI Note right of U : L'utilisateur a <br/>choisi son FI FC->>FI: GET [issuer]/.well-known/openid-configuration FI-->>FC: HTTP 200 Note left of FI : FC récupère les <br/>métadatas du FI FC->>FI: GET [jwks_uri] FI-->>FC: HTTP 200 Note left of FI : FC récupère les clés <br/>publiques du FI FC-->>U : Redirect 302 [authorization_endpoint] U->>FI : GET [authorization_endpoint] Note left of FI : Authentification <br/>utilisateur par le FI<br/><br/>(Implémentation <br/>spécifique au FI) FI-->>U: Redirect 302 [fc issuer]/oidc-callback U->>FC: GET [fc issuer]/oidc-callback FC->>FI: POST [token_endpoint] FI-->>FC: HTTP 200 FC->>FI: GET [userinfo_endpoint] FI-->>FC: HTTP 200 Note left of FI : Le FI détruit <br/>la session de <br/>l'utilisateur
Les access token fournis par le FI doivent être de préférence à usage unique ou si cela n'est pas possibile avec une durée de vie très courte https://openid.net/specs/openid-connect-core-1_0.html#rfc.section.16.18
Détail des flux #
Les flux entre FC et le FI respectent ce qui est défini dans la norme OpenId Connect. Pour plus de détails, il faut se référer à la documentation OIDC - https://openid.net/specs/openid-connect-core-1_0.html#CodeFlowAuth