Déconnexion d'un usager
Pour les niveaux Substantiel et Elevé, FranceConnect+ ne gère pas de session utilisateur et demande systématique à l'utilisateur de se ré-authentifier auprès d'un Founisseur d'Identité.
Cependant, il est tout de même demandé au Fournisseur de Service de gérer :
- la déconnexion auprès de FranceConnect
- la révocation de l’accès token
Cinématique de déconnexion par un Fournisseur de Service #
FranceConnect+ implémente la section sur la déconnexion en cours de spécification dans la norme OpenID Connect : https://openid.net/specs/openid-connect-frontchannel-1_0.html#RPLogout
FranceConnect+ ne gère pas la déconnexion de l'usager au service FranceConnect+ à la fermeture du navigateur.
Le Fournisseur de Service doit pouvoir déconnecter l'utilisateur de sa session FranceConnect. La cinématique globale est celle-ci :
- L' utilisateur clique sur un lien de déconnexion présenté par le FS.
- Le FS doit déconnecter l'utilisateur de son application et de sa session FranceConnect.
- L' utilisateur est redirigé vers la page de retour spécifiée par le FS.
- Le FS doit préciser l'URL où l'on doit rediriger l'utilisateur une fois qu'il a choisi de se déconnecter ou non de FranceConnect+ via le paramètre post_logout_redirect_uri, ainsi que passer l'id_token récupéré lors de l'authentification de l'utilisateur via le paramètre id_token_hint.
Il est obligatoire de renseigner les différentes urls de redirections de déconnexion dans les paramètres client
Révocation de l'access token #
En tant que Fournisseur de Service, vous avez la possibilité de révoquer un access token. Pour cela, FranceConnect+ respecte les spécifications OAuth 2.0 sur lesquelles se base OpenId Connect. La spécification de la révocation de token se trouve à cette adresse https://tools.ietf.org/html/rfc7009