Diagrammes de séquence

Ces page présente les diagrammes de séquence d'une cinématique de connexion et de déconnexion de FranceConnect et de FranceConnect+.

Diagramme de séquence simplifié

Ce diagramme de séquence présente de manière simplifiée les interactions entre l'usager, FranceConnect / FranceConnect+ et le fournisseur de service. Il est valable aussi bien pour FranceConnect que pour FranceConnect+. il omet volontairement les mécanismes de récupération des informations de configuration, de signature et de chiffrement.

Diagramme de séquence FranceConnect

Ce diagramme de séquence présente de manière détaillée les interactions entre l'usager, FranceConnect et le fournisseur de service. Il n'est valable que pour FranceConnect et détaille les mécanismes suivants :

  • Récupération des données de configuration via la discovery url ;
  • Récupération des clés publiques de signature de FranceConnect ;
  • Vérification de la signature des jetons par le fournisseur de service ;

Diagramme de séquence FranceConnect+

Ce diagramme de séquence présente de manière détaillée les interaction entre l'usager, FranceConnect+ et le fournisseur de service. Il n'est valable que pour FranceConnect+ et détaille les mécanismes suivants :

  • récupération des données de configuration via la discovery url
  • récupération des clés publiques de signature de FranceConnect+
  • récupération des clés publique de chiffrement du fournisseur de service
  • déchiffrement des jetons par le fournisseur de service
  • vérification de la signature des jetons par le fournisseur de service

Précisions sur la récupération des informations #

Récupération de la configuration de FranceConnect / FranceConnect+ #

La récupération des métadonnées FranceConnect ou de FranceConnect+ est optionnelle mais permet de récupérer dynamiquement l'ensemble de la configuration, des urls exposant les clés de signature et les algorithmes utilisés. Il est toujours possible d'indiquer manuellement la configuration de FranceConnect ou de FranceConnect+ en s'assurant régulièrement que cette configuration n'a pas évolué. Il est fortement recommandé d'utiliser la récupération dynamique des métadonnées.

La récupération des métadonnées via la discovery url n'est pas obligatoire à chaque connexion mais doit se faire régulièrement. Celles-ci pouvant évoluer, il est nécessaire que le fournisseur de service s'assure d'avoir les bonnes données.

Récupération des clés publiques de signature #

Le fournisseur de service n'est pas obligé de récupérer à chaque appel les clés publiques de signature de FranceConnect / FranceConnect+. Ces dernières changeant régulièrement, le fournisseur de service doit donc régulièrement les redemander pour s'assurer d'avoir toujours les clés publiques de signature valides.

Récupération de l'identité pivot lors de la cinématique de connexion #

La récupération de l'identité pivot (UserInfo) doit être effectuée immédiatement après les appels précédents (authentification et récupération du code). La durée de validité d'un access_token est de 30 secondes.

Il n'est pas possible d'appeler des ressources nécessitant l'access_token en dehors de ce délai.

Diagramme de séquence simplifié #

Ce diagramme de séquence présente de manière simplifié les interactions entre l'usager, FranceConnect / FranceConnect+ et le fournisseur de service. Il ne détaille pas :

  • l'utilisation de la discovery url pour récupérer les données de configuration
  • la récupération des clés publiques de FranceConnect / FranceConnect+ et de celles du fournisseur service
  • le déchiffrement de jetons JWT et la vérification des signatures

Ces informations sont cependant disponibles dans les diagrammes de séquences détaillés de FranceConnect et FranceConnect+.

Fournisseur de ServiceFranceConnectUtilisateurFournisseur de ServiceFranceConnectUtilisateurL'utilisateur clique sur le bouton "FranceConnect"Plus tard,  l'utilisateur se  déconnecteGET / POST <FC_URL>/api/v2/authorize1Redirect 302 <FS_URL>/<POST_LOGIN_REDIRECT_URI>2GET <FS_URL>/<POST_LOGIN_REDIRECT_URI>3POST <FC_URL>/api/v2/token4HTTP Response 2005GET <FC_URL>/api/v2/userinfo6HTTP Response 2007Redirect 302 <FS_URL>/page_authentifiée8GET / POST ...9Redirect 302 <FC_URL>/api/v2/session/end10GET <FC_URL>/api/v2/session/end11Redirect 302 <FS_URL>/<POST_LOGOUT_REDIRECT_URI>12GET <FS_URL>/<POST_LOGOUT_REDIRECT_URI>13
  1. Suite au clique de l'usager sur le bouton FranceConnect, l'usager est rediriger vers FranceConnect sur l'url /authorize
  2. Après s'être authenfié, FranceConnect redirige l'usager vers le fournisseur de service
  3. L'usager retourne vers la post login redirect uri du fournisseur de service
  4. Le fournisseur de service appel FranceConnect pour récupérer l'ID Token
  5. FranceConnect retourne l'ID Token
  6. Le fournisseur de service demande à FranceConnect le /UserInfo
  7. FranceConnect retourne le UserInfo
  8. Le fournisseur de service retourne la page demandé à l'usager et est authentifié
  9. Plus tard, l'usager se déconnecte du fournisseur de service
  10. Le fournisseur de service redirige l'usager vers la page de deconnexion de FranceConnect
  11. L'usager demande la page de déconnexion de FranceConnect
  12. Une fois déconnecté de son fournisseur d'identité et de FranceConnect, FranceConnect redirige l'usager vers la post_logout_redirect_uri
  13. L'usager est redirigé vers la post_logout_redirect_uri du fournisseur de service

Diagramme de séquence FranceConnect #

Fournisseur de ServiceFranceConnectUtilisateurFournisseur de ServiceFranceConnectUtilisateurL'utilisateur clique sur le bouton "FranceConnect"FS récupère les métadatas de FCopt[Récupération des metadatas]opt[récupération des clés publiques de FC]opt[récupération des clés publiques de FC+]Plus tard,  l'utilisateur se  déconnecteGET <FC_URL>/.well-known/openid-configuration1HTTP 2002GET / POST <FC_URL>/api/v2/authorize3Redirect 302 <FS_URL>/<POST_LOGIN_REDIRECT_URI>4GET <FS_URL>/<POST_LOGIN_REDIRECT_URI>5POST <FC_URL>/api/v2/token6HTTP Response 2007GET <FC_URL>/api/v2/jwks8HTTP Response 200 - Clés de signature9Vérification de la signature10GET <FC_URL>/api/v2/userinfo11HTTP Response 20012GET <FC_URL>/api/v2/jwks13HTTP Response 200 - FC+ public keys14Vérification de la signature15Redirect 302 <FS_URL>/page_authentifiée16GET / POST ...17Redirect 302 <FC_URL>/api/v2/session/end18GET <FC_URL>/api/v2/session/end19Redirect 302 <FS_URL>/<POST_LOGOUT_REDIRECT_URI>20GET <FS_URL>/<POST_LOGOUT_REDIRECT_URI>21
  1. En amont de la cinématique, le fournisseur de service récupère la configuration de FranceConnect via la discovery urlFranceConnect
  2. FranceConnect retourne sa configuration
  3. Suite au clique de l'usager sur le bouton FranceConnect, l'usager est rediriger vers FranceConnect sur l'url /authorize
  4. Après s'être authenfié, FranceConnect redirige l'usager vers le fournisseur de service
  5. L'usager retourne vers la post login redirect uri du fournisseur de service
  6. Le fournisseur de service appel FranceConnect pour récupérer l'ID Token
  7. FranceConnect retourne l'ID Token signé
  8. Le fournisseur de service demande à FranceConnect ses clés publiques de signature
  9. FranceConnect retourne ses clés publiques de signature
  10. Le fournisseur de service vérifie la signature de l'ID Token
  11. Le fournisseur de service demande à FranceConnect le /UserInfo
  12. FranceConnect retourne le UserInfo signé
  13. Le fournisseur de service demande à FranceConnect ses clés publiques de signature
  14. FranceConnect retourne ses clés publiques de signature
  15. Le fournisseur de service vérifie la signature du UserInfo
  16. Le fournisseur de service retourne la page demandé à l'usager et est authentifié
  17. Plus tard, l'usager se déconnecte du fournisseur de service
  18. Le fournisseur de service redirige l'usager vers la page de deconnexion de FranceConnect
  19. L'usager demande la page de déconnexion de FranceConnect
  20. Une fois déconnecté de son fournisseur d'identité et de FranceConnect, FranceConnect redirige l'usager vers la post_logout_redirect_uri
  21. L'usager est redirigé vers la post_logout_redirect_uri du fournisseur de service

Diagramme de séquence de FranceConnect+ #

Fournisseur de ServiceFranceConnect+UtilisateurFournisseur de ServiceFranceConnect+UtilisateurL'utilisateur clique sur le bouton "FranceConnect+"FS récupère les métadatas de FC+opt[Récupération des metadatas]opt[récupération des clés publiques de FC+]opt[récupération des clés publics du FS]opt[récupération des clés publiques de FC+]Plus tard,  l'utilisateur se  déconnecteGET <FC_URL>/.well-known/openid-configuration1HTTP 2002GET / POST <FC_URL>/api/v2/authorize3Redirect 302 <FS_URL>/<POST_LOGIN_REDIRECT_URI>4GET <FS_URL>/<POST_LOGIN_REDIRECT_URI>5POST <FC_URL>/api/v2/token6GET <FS public keys>7HTTP Response 200 - FS public keys8HTTP Response 2009Déchiffrement Id Token10GET <FC_URL>/api/v2/jwks11HTTP Response 200 - FC+ public keys12Vérification de la signature13GET <FC_URL>/api/v2/userinfo14HTTP Response 200 - FS public keys15HTTP Response 20016HTTP Response 20017Déchiffrement UserInfo18GET <FC_URL>/api/v2/jwks19HTTP Response 200 - FC+ public keys20Vérification de la signature21Redirect 302 <FS_URL>/page_authentifiée22GET / POST ...23Redirect 302 <FC_URL>/api/v2/session/end24GET <FC_URL>/api/v2/session/end25Redirect 302 <FS_URL>/<POST_LOGOUT_REDIRECT_URI>26GET <FS_URL>/<POST_LOGOUT_REDIRECT_URI>27
  1. En amont de la cinématique, le fournisseur de service récupère la configuration de FranceConnect+ via la discovery url
  2. FranceConnect+ retourne sa configuration
  3. Suite au clique de l'usager sur le bouton FranceConnect+, l'usager est rediriger vers FranceConnect sur l'url /authorize
  4. Après s'être authenfié, FranceConnect+ redirige l'usager vers le fournisseur de service
  5. L'usager retourne vers la post login redirect uri du fournisseur de service
  6. Le fournisseur de service appel FranceConnect+ pour récupérer l'ID Token
  7. FranceConnect+ demande au fournisseur de service ses clés publiques de chiffrement
  8. Le fournisseur de service retourne ses clés publiques de chiffrement
  9. FranceConnect+ retourne l'ID Token chiffré et signé
  10. Le fournisseur de service déchiffre l'ID Token
  11. Le fournisseur de service demande à FranceConnect+ ses clés publiques de signature
  12. FranceConnect+ retourne ses clés publiques de signature
  13. Le fournisseur de service vérifie la signature de l'ID Token
  14. Le fournisseur de service demande à FranceConnect+ le /UserInfo
  15. FranceConnect+ demande au fournisseur de service ses clés publiques de chiffrement
  16. Le fournisseur de service retourne ses clés publiques de chiffrement
  17. FranceConnect+ retourne le UserInfo chiffré et signé
  18. Le fournisseur de service déchiffre le UserInfo
  19. Le fournisseur de service demande à FranceConnect+ ses clés publiques de signature
  20. FranceConnect+ retourne ses clés publiques de signature
  21. Le fournisseur de service vérifie la signature du UserInfo
  22. Le fournisseur de service retourne la page demandé à l'usager et est authentifié
  23. Plus tard, l'usager se déconnecte du fournisseur de service
  24. Le fournisseur de service redirige l'usager vers la page de deconnexion de FranceConnect+
  25. L'usager demande la page de déconnexion de FranceConnect+
  26. Une fois déconnecté de son fournisseur d'identité et de FranceConnect+, FranceConnect+ redirige l'usager vers la post_logout_redirect_uri
  27. L'usager est redirigé vers la post_logout_redirect_uri du fournisseur de service

Voir aussi

Retour en haut de page
Paramètres d'affichage
Choississez un thème