Qualification du fournisseur de service
Demande de qualification #
Avant de pouvoir utiliser FranceConnect ou FranceConnect+ en environnement de production, l’intégration à votre service doit être validée par l’équipe FranceConnect. Cette validation prend la forme d’une demande de qualification, à soumettre via le dépôt d’un dossier selon les démarches décrites ci-dessous :
- FranceConnect : Demande de qualification d'un fournisseur de service pour FranceConnect
- FranceConnect+ : Demande de qualification d'un fournisseur de service pour FranceConnect+
Avant de déposer votre demande, vous devez vous assurer que l’ensemble des critères requis sont bien respectés par votre intégration. Tout manquement à ces critères entraînera automatiquement une demande de mise en conformité de la part de l’équipe FranceConnect. Si certains critères vous semblent non applicables à votre service, n’hésitez pas à le signaler clairement dans votre demande en en expliquant les raisons, ou à contacter l’équipe FranceConnect pour en discuter.
Description des critères #
Cette section présente l’ensemble des critères qui seront vérifiés par l’équipe FranceConnect lors de l’analyse de votre intégration, que ce soit dans le cadre de FranceConnect ou FranceConnect+. Elle vous permet d’anticiper les points de contrôle afin de garantir la conformité de votre service. Il est demandé de réaliser en amont une recette interne pour vous assurer que tous les critères sont respectés avant de soumettre votre demande de qualification. Cette préparation contribuera à accélérer le traitement de votre dossier et à éviter des échanges supplémentaires en cas de non-conformité.
Vérifications visuelles #
L'ensemble des critères présents dans cette section ont pour objectif de vérifier la bonne intégration visuelle du bouton FranceConnect au sein de votre service.
Le bouton FranceConnect ou FranceConnect+ doit être présent dans la section connexion du site et le texte explicatif doit se trouver au-dessus. La couleur, la taille et le changement d'état au survol du bouton doivent être conformes.
Pour FranceConnect :
-
le texte explicatif au-dessus du bouton est le suivant :
FranceConnect est la solution proposée par l’État pour sécuriser et simplifier la connexion à vos services en ligne
-
la taille du bouton doit être de 209x56 pixels.
Plus d'informations sur l'intégration du bouton FranceConnect
Pour FranceConnect+ :
-
le texte explicatif est le suivant :
FranceConnect+ est la solution proposée par l'État pour renforcer la sécurité de vos services en ligne les plus sensibles
-
la taille du bouton doit être de 245x56 pixels.
Plus d'informations sur l'intégration du bouton FranceConnect+
Pour FranceConnect, le lien "Qu'est-ce que FranceConnect ?" doit être présent dans la section connexion du site et positionné sous le bouton. Le lien doit pointer vers https://franceconnect.gouv.fr.
Plus d'informations sur l'intégration du bouton FranceConnect
Pour FranceConnect+, le lien "Qu'est-ce que FranceConnect+ ?" doit être présent dans la section connexion du site et positionné sous le bouton. Le lien doit pointer vers https://franceconnect.gouv.fr/france-connect-plus.
Plus d'informations sur l'intégration du bouton FranceConnect+
Information
Si vous n’avez pas de page spécifique à l’inscription, ce critère ne s’applique pas.
Le bouton FranceConnect ou FranceConnect+ doit être présent dans la section inscription du site et le texte explicatif doit se trouver au-dessus. La couleur, la taille et le changement d'état au survol du bouton doivent être conformes.
Pour FranceConnect :
-
le texte explicatif au-dessus du bouton est le suivant :
FranceConnect est la solution proposée par l’État pour sécuriser et simplifier la connexion à vos services en ligne
-
la taille du bouton doit être de 209x56 pixels.
Plus d'informations sur l'intégration du bouton FranceConnect
Pour FranceConnect+ :
-
le texte explicatif est le suivant :
FranceConnect+ est la solution proposée par l'État pour renforcer la sécurité de vos services en ligne les plus sensibles
-
la taille du bouton doit être de 245x56 pixels.
Plus d'informations sur l'intégration du bouton FranceConnect+
Information
Si vous n’avez pas de page spécifique à l’inscription, ce critère ne s’applique pas.
Pour FranceConnect, le lien "Qu'est-ce que FranceConnect ?" doit être présent dans la section connexion du site et positionné sous le bouton. Le lien doit pointer vers https://franceconnect.gouv.fr.
Pour FranceConnect+, le lien "Qu'est-ce que FranceConnect+ ?" doit être présent dans la section connexion du site et positionné sous le bouton. Le lien doit pointer vers https://franceconnect.gouv.fr/france-connect-plus.
Le bouton FranceConnect ou FranceConnect+ doit être situé en premier mode de connexion, au-dessus des autres moyens d'identification (ou à gauche selon votre configuration).
Plus d'informations sur l'intégration du bouton FranceConnect
Plus d'informations sur l'intégration du bouton FranceConnect+
Une séparation visible doit être mise en place entre le bouton FranceConnect ou FranceConnect+ et les autres modes de connexion (au moyen d'une ligne par exemple), afin de pouvoir les dissocier. La mention « OU » également doit y figurer.
Plus d'informations sur l'intégration du bouton FranceConnect
Plus d'informations sur l'intégration du bouton FranceConnect+
Les liens, icônes ou services d'identification proposés par des réseaux sociaux et autres services privés ne sont pas autorisés sur les pages où se trouve le bouton FranceConnect ou FranceConnect+.
Vérifications techniques #
L'ensemble des critères présents dans cette section ont pour objectif de vérifier la bon respect des protocoles lors de intégration de FranceConnect au sein de votre service.
Le service ne doit pas utiliser de version de TLS inférieure à 1.2 et doit obligatoirement utiliser des versions 1.2 ou 1.3.
Les scopes demandés dans votre URL authorize doivent être les mêmes que ceux déclarés et autorisés dans la demande d'habilitation via Datapass. Vous pouvez en appeler moins que ceux auxquels vous avez droit, mais vous ne pouvez en appeler plus.
Le niveau eIDAS doit être obligatoirement précisé dans le paramètre acr_values votre URL authorize. Les valeurs possibles sont :
- eidas1 pour le niveau faible (FranceConnect) ;
- eidas2 pour le niveau substantiel (FranceConnect+) ;
- eidas3 pour le niveau élevé (FranceConnect+).
Le niveau eIDAS retourné par FranceConnect ou FranceConnect+ doit être vérifié par le FS, afin de s’assurer que le niveau de confiance soit égal ou supérieur avec celui demandé dans l’URL authorize de connexion.
Le client_id que vous renseignez dans votre recette doit être identique à celui de notre base de données (lié à votre Datapass) et à celui dans votre URL authorize.
Les paramètres state et nonce doivent faire au minimum 22 caractères (chiffres et lettres majuscules et minuscules), et doivent être aléatoires et uniques à chaque session FranceConnect ou FranceConnect+. Ils doivent être vérifiés par le FS.
En modifiant le state puis le nonce dans l’URL, l’usager ne doit pas pouvoir continuer la cinématique de connexion via FranceConnect ou FranceConnect+. Il est alors recommandé à cette étape de renvoyer vers la page initiale (contenant le bouton FranceConnect) avec un message d'erreur.
Pour tester cette étape, nous cliquons sur le bouton, et modifions manuellement dans l’URL authorize le state avant de valider l’URL et de poursuivre la cinématique de connexion. Nous refaisons ensuite la même manipulation pour le nonce. Pour les deux token, nous attendons que la connexion échoue.
Vérifications du service #
L'ensemble des critères présents dans cette section ont pour objectif de vérifier la bonne intégration fonctionnelle lors de intégration de FranceConnect au sein de votre service.
Lorsqu’un usager se connecte via FranceConnect ou FranceConnect+, il est redirigé vers son espace.
Lorsque l’usager est déconnecté du fournisseur de service, il doit également ête déconnecté de FranceConnect ou FranceConnect+. Les paramètres id_token_hint, state et post_logout_redirect_uri doivent être présents dans l’URL session end.
Si le service propose de supprimer en ligne son compte (ou de dissocier celui-ci de FranceConnect), lors de la suppression (ou dissociation) de celui-ci, l'usager doit être déconnecté également de FranceConnect ou FranceConnect+ (si actuellement connecté).
Information
Si vous n’avez pas de page spécifique à l’inscription, ce critère ne s’applique pas.
Lorsqu’un usager s’inscrit via FranceConnect ou FranceConnect+, il est redirigé vers son espace.
La réconciliation concerne un utilisateur qui aurait déjà un compte en local mais ne se serait jamais connecté au service via FranceConnect ou FranceConnect+.
Elle n’est pas obligatoire, mais si elle est implémentée, elle doit respecter des conditions.
Si le fournisseur de services dispose de comptes locaux et souhaite gérer la réconciliation entre ses données locales et celles transmises par FranceConnect ou FranceConnect+, il y a deux cas de figure :
- Une réconciliation automatique, sans intervention de l'usager ;
- Une réconciliation faisant intervenir l’usager.
Lors de votre qualification, il faudra nous fournir minimum deux identités (à sélectionner dans notre liste d’identités test pour FranceConnect ou FranceConnect+) afin de vérifier deux cas de figures :
- Un cas passant : la totalité des données pivots récupérées par FranceConnect ou FranceConnect+ correspondent à ces mêmes informations sur le compte de l’utilisateur en local, la réconciliation peut donc avoir lieu.
- Un cas non-passant : au moins une des données pivots récupérées par FranceConnect ou FranceConnect+ ne correspond pas à cette même information sur le compte de l’utilisateur en local, la réconciliation doit donc être bloquée. Également, dans le cas d’un échec de réconciliation, l’utilisateur doit être déconnecté de sa session FranceConnect ou FranceConnect+.
Si la réconciliation n’est pas implémentée, il faut pouvoir gérer les cas de doublon (un utilisateur qui aurait un compte en local et un compte via FranceConnect ou FranceConnect+).
L'usager doit pouvoir identifier clairement qu'il est connecté et son profil accessible. Ceci se traduit généralement par le nom et prénom de l’utilisateur s’affichant en permanence dans le header.
Les fenêtres pop-ups et iframes sont interdites lorsque l’utilisateur est connecté via FranceConnect ou FranceConnect+. Lors de sa cinématique de connexion, l’utilisateur doit pouvoir vérifier le certificat SSL de FranceConnect.
Sur la page du profil (ou dans le formulaire d'inscription), les champs de l’identité pivot ne doivent pas être modifiables (si récupérés via FranceConnect ou FranceConnect+) : nom de naissance, prénoms, date de naissance, ville de naissance, pays de naissance et sexe.
Sur la page du profil (ou dans le formulaire d'inscription), les autres données (hors données pivots) doivent être modifiables par l’utilisateur ou en contactant votre service : nom d'usage et email.
Le service doit proposer un second facteur d'authentification (possession ou biométrie) s’il s’agit :
- d’un service numérique en santé ;
- d’un service proposant une modification de RIB ;
- d’un service proposant de modifier ou télécharger des données ou documents sensibles (exemple : pièce d'identité, justificatif de domicile, avis d'imposition, bulletin de salaire, acte de naissance, acte de mariage, etc.).
L'OTP par mail est considéré comme un facteur de connaissance et ne sera pas accepté comme un second facteur.
Le fournisseur de service doit gérer les retours vers l'adresse redirect_uri en cas d'erreur lors de la connexion. FranceConnect redirige vers la page redirect_uri avec les paramètres state, error, error_description.
Lorsque l’utilisateur est sur la mire (après avoir cliqué sur le bouton FranceConnect ou FranceConnect+) et qu’il clique sur le lien "Revenir sur" (sous la liste des FI), celui-ci doit être redirigé vers une page fonctionnelle.
Les autres cas d'erreur définis dans la norme OpenID Connect doivent également être gérés de la même manière.