Utilisation d'OpenID Connect #
Cette section explique comment FranceConnect et FranceConnect+ utilisent le protocole OpenID Connect et présente les choix techniques faits pour son implémentation. Elle est destinée à aider les fournisseurs de service à comprendre les principes de ce protocole dans le cadre de leur intégration avec FranceConnect ou FranceConnect+, et à leur fournir les informations nécessaires pour mettre en œuvre ce protocole de manière adéquate. Vous y découvrirez les mécanismes mis en place par FranceConnect, ainsi que les spécifications à suivre pour une implémentation réussie.
Le protocole OpenID Connect
FranceConnect et FranceConnect+ utilise le protocole OpenID Connect. Il s'agit d'un protocole basé sur OAuth 2.0 qui permet notamment à un service de déléguer l'authentification et l'identification des ses utilisateurs.
Implémentation d'OpenID Connect
FranceConnect et FranceConnect+ implémentent l'Authorization Code Flow. Retrouvez ici l'ensemble des informations sur l'implémentation du protocole OpenID Connect par FranceConnect et FranceConnect+.
Diagrammes de séquence
Retrouvez ici les diagrammes de flux réprésentant les interactions entre l'usager, FranceConnect / FranceConnect+ et le fournisseur de service.
Endpoints disponibles
Le protocole OpenID Connect définit un certain nombre de endpoints pour échanger entre le service provider et l'identity provider. Retrouvez ici l'ensemble des endpoints à utiliser par un fournisseur de service pour échanger avec FranceConnect ou FranceConnect+.
Niveaux de garantie eIDAS et ACR
Le paramètre acr_values permet d'indiquer le niveau eIDAS attendu par le fournisseur de service. Il est possible de lui fournir les valeur eidas2 pour un niveau substantiel et eidas3 pour un niveau élevé.
Gestion des erreurs
En tant qu'OpenID Connect provider, FranceConnect peut renvoyer toutes sortes d'erreurs. Retrouvez ici l'ensemble des informations concernant les erreurs renvoyées par FranceConnect.
Déconnexion d'un usager
Il est nécessaire d'implémenter une déconnexion auprès de FranceConnect+ lorsque l'usager se deconnecte de votre service.
Accès aux données à l'aide des scopes
L'utilisation des scopes proposés par OpenID Connect permet de définir la liste des données que votre service peut récupérer auprès de FranceConnect ou FranceConnect+ et des fournisseurs de données.
Accès aux méthodes d'authentification
FranceConnect met à disposition des fournisseurs de service les méthodes d'authentifiation utilisées par l'usager. Il est de la responsabilité du fournisseur de service de s'assurer que les méthodes d'authentification utilisées répondent à leurs exigences et d'adapter leur parcours d'authentification en fonction.
Durées de vie des sessions et jetons
FranceConnect et FranceConnect+ utilisent différents types de session. Leur durée varient en fonction de leur type et durent de quelques secondes à 30 minutes.
Utilisation des secteurs d'identifications
FranceConnect et FranceConnect+ utilisent le protocole OpenID Connect avec un identifiant utilisateur de type pairwise, généré par secteur d’identification. Lorsqu’un client utilise plusieurs domaines ou sous-domaines pour ses redirections, la déclaration d’un sector_identifier_url est nécessaire pour garantir un identifiant cohérent pour l’utilisateur.
Chiffrement et Signature avec FranceConnect+
FranceConnect+ utilise des mécanismes de chiffrement et de signature pour garantir l'intégrité, l'authenticité et la confidentialité des jetons échangés avec les fournisseurs de service, en s'appuyant sur des algorithmes spécifiques et une gestion des clés publiques.