Utilisation des secteurs d'identifications

FranceConnect et FranceConnect+ reposent sur le protocole OpenID Connect, qui définit les règles d'identification des utilisateurs via l’attribut sub (subject). Lorsque le type d’identifiant utilisé est pairwise (méchanisme qui fait dépendre le sub du client, empêchant le recoupement en cas de fuite) — ce qui est le cas dans FranceConnect et FranceConnect+ — un identifiant unique par secteur d’identification est généré pour chaque utilisateur.

La spécification OpenID Connect impose alors une restriction importante :

Tous les redirect_uri associés à un même client doivent partager le même nom de domaine ou sous-domaine, sauf si un sector_identifier explicite est défini.

En effet, pour générer de façon cohérente le même identifiant sub pour un utilisateur sur plusieurs applications (ou redirections), il faut que FranceConnect sache qu’elles appartiennent à un même secteur d’identification. Ce secteur est alors défini via une URL spéciale : sector_identifier_url.

👉 Voir la spécification officielle : OpenID Connect – Sector Identifier Validation

C’est cette URL qui permet de centraliser et déclarer les redirect_uris appartenant au même secteur, en contournant la limitation liée à la diversité des noms de domaine.

⚠️ L’utilisation du sector_identifier_url ne dispense pas de déclarer l’ensemble des redirect_uri dans votre espace partenaire FranceConnect. Le fichier référencé par sector_identifier_url vient en complément de cette déclaration, pas en remplacement.

Format attendu du fichier sector_identifier_url #

Le fichier doit :

• Être accessible via HTTPS
• Contenir une liste JSON des redirect_uris
• Être servi avec le type MIME : application/json

["https://portail.monservice.fr/callback", "https://compte.monservice.fr/oidc/retour"]

⚠️ Attention, ce fichier doit être publiquement accessible sans nécessité d'authentification.