Résolution des erreurs courantes

Explication : un des paramètres dans l'appel au endpoint /authorize ne respecte pas le format de données attendu par FranceConnect.
Résolution : vérifier les paramètres qui sont envoyés dans l'appel au endpoint /authorize.

Pour connaître les champs obligatoires attendus dans le endpoint /authorize, nous vous invitons à consulter le paragraphe Authorization Endpoint de la documentation.

Explication : le paramètre redirect_uri dans l'appel au endpoint /authorize ne correspond pas à la configuration du fournisseur de service dans FranceConnect.
Résolution : demander la mise à jour des urls de redirection de connexion dans FranceConnect, via le formulaire Demande de modification d'un FS.

Pour plus d'informations sur la redirection vers le fournisseur de service après connexion, nous vous invitons à consulter le paragraphe Redirection vers le fournisseur de service après connexion de la documentation.

Explication : le paramètre authorization_code dans l'appel au endpoint /token n'est pas valide. L' authorization_code renvoyé par FranceConnect n'étant valide que 30 secondes, soit le fournisseur de service n'a pas appelé le endpoint /token dans les 30 secondes requises, soit il a appelé le endpoint /token avec un mauvais authorization_code.
Résolution : vérifier que l'appel au endpoint /token se fait bien dans les 30 secondes requises, et vérifier également la validité du paramètre authorization_code dans l'appel au endpoint /token.

Pour plus d'informations sur le endpoint /token, nous vous invitons à consulter le paragraphe Token Endpoint de la documentation.

Explication : le client_id dans l'appel au endpoint /authorize ne correspond à aucun client_id dans la base de données FranceConnect, ou bien il y a un problème de configuration du fournisseur de service sur FranceConnect qui nécessite une action de notre part.
Résolution : vérifier que le client_id dans l'appel au endpoint /authorize correspond bien à ce que l'équipe FranceConnect à communiqué au fournisseur de service (attention, il y a généralement confusion entre le client_id d'intégration et le client_id de production). Si le client_id est bien correct, cela signifie qu'il y a un problème de configuration du fournisseur de service sur FranceConnect, il faut nous contacter pour que nous puissions la corriger.

Explication : il manque des informations dans la session.

Résolution : la session a expiré ou est invalide, il faut fermer l’onglet du navigateur et se reconnecter.

Explication : le cookie de la session a expiré.
Résolution : la session a expiré ou est invalide, il faut fermer l’onglet du navigateur et se reconnecter.

Explication : le paramètre post_logout_redirect_uri dans l'appel au endpoint /session/end ne correspond pas à la configuration du fournisseur de service dans FranceConnect.
Résolution : demander la mise à jour des urls de redirection de déconnexion dans FranceConnect, via le formulaire Demande de modification d'un FS.

Pour plus d'informations sur la redirection vers le fournisseur de service après déconnexion, nous vous invitons à consulter le paragraphe Redirection vers le fournisseur de service après déconnexion de la documentation.

Explication : un des scopes dans l'appel au endpoint /authorize n'est pas autorisé.
Résolution : retirer le scope non autorisé dans l'appel au endpoint /authorize. Le scope identifié comme non autorisé se trouve dans le paramètre scope de l'url de votre redirect_uri. Si le fournisseur de service a besoin de ce scope, il faut :

• mettre à jour son Datapass en cochant ce nouveau scope
• demander la mise à jour des scopes du fournisseur de service dans FranceConnect, via le formulaire Demande de modification d'un FS.

Explication : le fournisseur de service a appelé plusieurs fois le endpoint /token avec le même paramètre authorization_code renvoyé par FranceConnect.
Résolution : vérifier que le paramètre authorization_code renvoyé par FranceConnect est bien utilisé une seule fois.

Explication : la session ne contient pas les informations attendues sur l'usager au retour du fournisseur d'identité.
Résolution : Cette erreur ne concerne pas le fournisseur de service. L'usager ne pourra pas utiliser FranceConnect, quel que soit le fournisseur de service. Cette erreur peut survenir sur la plateforme bac à sable, si on utilise un usager sans e-mail ou sans prénom par exemple.

Si le problème survient en production, l'usager doit contacter le fournisseur d'identité pour corriger son identité.

Explication : FranceConnect vérifie le séquencement des étapes de la cinématique et a détecté une incohérence des transitions entre les étapes, cela veut dire que l'usager ne respecte pas la séquence des étapes de la cinématique (il a potentiellement plusieurs onglets ouverts et navigue de l'un à l'autre).
Résolution : il faut fermer tous les onglets du navigateur et refaire une cinematique

Explication : Cette erreur se produit lors de la déconnexion sur FranceConnect+. FranceConnect+ n'arrive pas à décoder le JWT du paramètre id_token_hint du endpoint session end. FranceConnect+ s'attend à ce que le JWT id_token soit signé mais non chiffré.
Résolution : il suffit d'appeller le endpoint session end en transmettant le id_token déchiffré au paramètre id_token_hint.

J’ai un problème lors de l'appel au endpoint token #

Avant de contacter le support, je vérifie :

1. Sur FranceConnect+, que j’ai bien déclaré mes IPs sortantes auprès de FranceConnect (sinon je n’ai pas le droit d’appeler le endpoint).
2. Sur FranceConnect+, que j’ai déclaré auprès de FranceConnect le domaine de ma JWKS URI (pour que FranceConnect puisse récupérer mes clés de chiffrement).
3. Sur FranceConnect+, que ma JWKS URI est accessible depuis internet afin que FranceConnect+ puisse récupérer l'info.
4. Peu importe la plateforme, que j'ai bien ouvert mon flux sortant vers les domaines FranceConnect, avec l'URL correspondant à l'environnement utilisé
5. Peu importe la plateforme, que je contacte bien le endpoint /token (par exemple avec un curl depuis mon serveur).
6. Peu importe la plateforme, qu’en cas de timeout, la requête est bien sortie de mon SI (pour qu’il y ait une trace côté FranceConnect).
7. Peu importe la plateforme, que j'ai bien appelé correctement le endpoint.
8. Peu importe la plateforme, que j’ai noté toutes les infos nécessaires au debug :
   • La réponse reçue de FC (JSON du type { "error": "<label>", "error_description": "<précisions>", "error_uri": "<lien vers doc>" }) et le code HTTP retourné.
   • La date et l’heure de l’appel.
   • La valeur du paramètre state utilisée lors de l’étape d’authorize.

Exemple de commande curl pour tester le endpoint /token en mode client_secret_post :

curl -v -X POST "https://URL-FC/api/v2/token" \
  -H "Accept: application/json" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=authorization_code" \
  -d "code=VOTRE_CODE_D_AUTHORIZATION" \
  -d "redirect_uri=https%3A%2F%2Fvotre-app.example.com%2Fcallback" \
  -d "client_id=VOTRE_CLIENT_ID" \
  -d "client_secret=VOTRE_CLIENT_SECRET"

Remplacez :

• URL-FC par l'url de sandbox ou de prod selon votre étape.
• VOTRE_CODE_D_AUTHORIZATION par le code reçu lors de l’authorize ou n'importe quelle valeur pour tester (vous recevrez une erreur mais saurez que l'appel fonctionne).
• https://votre-app.example.com/callback par votre URI de redirection (URL-encodée, celle utilisée lors du authorize).
• VOTRE_CLIENT_ID et VOTRE_CLIENT_SECRET par vos identifiants.