FAQ

Les réponses à toutes vos questions

Généralités

  • Quel protocole de sécurité est utilisé par FranceConnect ?

    TLS 1.2 est la version du protocole HTTPS utilisé. Les versions précédentes ne sont pas acceptées sur FranceConnect.

Fournisseurs de service

  • En tant que fournisseur de service, comment mettre en oeuvre FranceConnect ?

    Le processus d'implémentation de FranceConnect repose sur les étapes suivantes :

    Les étapes

    • Inscription à FranceConnect
    • Intégration d’un bouton d’action FranceConnect
    • Implémentation de la déconnexion
    • Information auprès de la CNIL
    • Recette et mise en production

    Les détails de chacune de ces sections sont disponibles dans l'Annexe processus de raccordement des conditions générales d'utilisation.

  • Quelles sont les principaux points d'attention lors de l'intégration du bouton ?

    Le bouton FranceConnect doit aussi bien figurer sur la page de connexion que sur la page de création de compte (exemple)
    Une réconciliation/dissociation de compte sera à prévoir si vous souhaitez lier les comptes de votre base de données usagers locale avec FranceConnect (exemple).

  • Où puis-je trouver les conditions générales d'utilisation de FranceConnect ?

    Les conditions juridiques et annexes sont disponibles ici.

  • Où trouver les boutons d'intégration FranceConnect ?

    Les boutons d'intégration FranceConnect sont disponibles dans la section "Intégration d'un bouton FranceConnect".
    Des packs sont disponibles en svg, jpg et png.

  • Comment dois-je réconcilier l’identité pivot renvoyée par FranceConnect avec ma base d’utilisateurs existante ?

    1er cas : l’utilisateur crée un nouveau compte en utilisant FC.

    Vous prenez tout ou partie des données (à minima le sub et si prévu dans votre déclaration CNIL, l'identité pivot et les données de contact), vous demandez à l’utilisateur de compléter si besoin et vous créez le compte chez vous :

    • en communiquant à l’utilisateur que dorénavant il devra utiliser FC pour accéder à ce compte (PRECONISÉ par l’équipe FC).
    • en communiquant à l’utilisateur un identifiant/mdp SIHM en mode secours ET qu’il a également la possibilité d’accéder avec FC (NON PRECONISÉ car trop compliqué pour l’utilisateur)

    2nd cas : l’utilisateur souhaite se connecter et a déjà un compte existant.

    Le FS doit opérer une réconciliation :

    • soit automatiquement sans solliciter l’utilisateur : ceci est rare car sous-entend que le FS détient dans sa base l’ensemble des données pivot.
    • soit en demandant explicitement à l’utilisateur un « secret » que vous détenez également et que vous pouvez contrôler (exemple : un N° de client, de facture, de permis,…). Le pire (donc A EVITER) étant de demander à l’utilisateur de saisir son identifiant/mdp SIHM.

    Le sub est associé au compte existant.

    Par la suite, pour l’utilisateur qui souhaite se connecter à un compte existant de manière récurrente : rien de plus simple, le FS récupère le sub et affiche le compte correspondant.

    Il existe un sous-cas particulier :

    • soit parce que le FS démarre directement sa collecte de clients avec FC.
    • soit parce qu’il n’y a aucun enjeu à proposer à l’utilisateur un historique de son activité.

    C’est le cas le plus simple à gérer : chaque nouvelle connexion est une création de compte.

  • Est-ce que je reçois le même sub si l’utilisateur se connecte via différents FI ?

    Oui, ce sera bientôt le cas, quand il y aura plusieurs FI.

  • Pour un utilisateur donné, est-ce que tous les FS reçoivent le même sub ?

    Non, un utilisateur donné a un sub différent pour chaque FS.

  • Est-ce que le sub que je reçois est lié à l’identité de l’utilisateur ?

    Non, le sub est généré aléatoirement.

  • Quelle est la longueur du champ sub ?

    La longueur définie par la norme OpenID Connect est de 255 caractères.

    Bien que FranceConnect ne génère qu'un sub de 64 caractères, vous devez pouvoir gérer une longueur max de 255.

  • Est-ce que je peux initier la cinématique OpenID Connect sur le endpoint d’autorisation, et demander les userInfo plus tard ?

    Non, la cinématique complète (3 endpoints) doit être faite d’un bloc.

  • Est-ce que je peux savoir via quel Fournisseur d’Identité l’utilisateur s’est identifié/authentifié ?

    Non, ceci n'est pas le fonctionnement de FranceConnect.

  • Est-il possible d'afficher la mire FranceConnect dans une iFrame ?

    Non, pour des raisons de sécurité, il n'est pas possible d'afficher la mire FC dans une iframe.

  • Comment s'affiche le logo du fournisseur de service ?

    Le logo est affiché sur l'entête à côté du logo FranceConnect :

    Si vous n'envoyez pas de logo nous affichons le nom du service à la place du logo comme ceci :

  • Combien d'utilisateurs peuvent se servir de FranceConnect ?

    Cela dépend des FI proposés par FranceConnect.

    A titre informatif, pour FranceConnect Particulier, la DGFIP et Améli disposent chacun de plus de 20 millions de comptes.

  • En tant qu'intégrateur FranceConnect dois-je créer autant de comptes que de fournisseurs de service à intégrer ?

    Oui, il est impératif de créer un compte au portail FranceConnect.gouv.fr par fournisseur de service afin d'obtenir un client id/client secret par FS. (Ex: Vous êtes intégrateur et vous travaillez pour la mairie A et le département B, vous devrez avoir un compte pour chacun de ces 2 clients) Sachez de plus qu'en vous connectant vous pourrez associer plusieurs emails pour chacun des comptes.

  • Comment tester la signature de l'id token (Json Web Token) ?

    En allant sur le site https://jwt.io/. Il vous faudra :

    • récupérer le JWT encodé renvoyé par FranceConnect et le placer dans la section "Encoded",
    • saisir votre client secret dont vous disposez dans le champ "secret" de la section "Verify Signature",
    • l'algorithme à sélectionner est HS256.

    Le résultat décrypté apparaît dans la section "Payload".

Fournisseurs d'identité

  • En tant que fournisseur d'identité, comment mettre en oeuvre FranceConnect ?

    Le détail des étapes est disponible dans l'Annexe processus de raccordement du fournisseur d'identité.

  • Où puis-je trouver les conditions d'implémentation de FranceConnect ?

    Les conditions juridiques et annexes sont disponibles ici.

  • Dois-je respecter une charte particulière ?

    Oui. Le fournisseur d’identité doit implémenter sur la page de connexion les éléments suivants :

    • IHM Responsive
      Afin de pouvoir s’adapter à l’ensemble des supports matériel que peuvent utiliser les usagers.

    • Un lien "Changer de fournisseur"
      Afin de permettre à l’usager de retourner sur la mire FranceConnect présentant les différents fournisseurs d'identité.

    • Le fond d'écran FranceConnect
      Afin d'uniformiser les pages de connexion des différents fournisseurs d'identité. Le fond d'écran est disponible en téléchargement ici. Exemple de code css :
    body#franceConnect { background: #ededed url("../images/logo_marianne.png") no-repeat fixed right 5% bottom / 500px auto; color: #3471a9; font-family: "Roboto"; margin: 0; min-height: 100%; padding: 0; }
    • Le label FranceConnect
      Afin de faciliter la reconnaissance des usagers de leur connexion au fournisseur d'identité en passant par FranceConnect. Le label est disponible ici en png, jpg et svg.
  • Quelles informations utilisateurs dois-je renvoyer à FranceConnect ?

    L’identité pivot, qui est un ensemble de données concernant un utilisateur. Cette identité pivot est fournie par les FI aux FS, via FranceConnect. Elle permet d'identifier un utilisateur particulier ou entreprise.

    FranceConnect Particulier

    • given_name [type=string]
      prénoms séparés par des espaces (standard OpenIDConnect)

    • family_name [type=string]
      le nom de famille de naissance (standard OpenIDConnect)

    • birthdate [type=string]
      la date de naissance au format YYYY-MM-DD (standard OpenIDConnect)

    • gender [type=string]
      male pour les hommes, female pour les femmes (standard OpenIDConnect)

    • birthplace [type=string]
      le code INSEE du lieu de naissance (ou une chaîne vide si la personne est née à l'étranger)

    • birthcountry [type=string]
      le code INSEE du pays de naissance
    FranceConnect Entreprise

    • given_name [type=string]
      prénoms séparés par des espaces (standard OpenIDConnect)

    • family_name [type=string]
      le nom de famille (standard OpenIDConnect)

    • email [type=string]
      l'adresse mail de la personne

    • siret [type=string]
      le numéro SIRET ou SIREN de l'entreprise (non standard)
  • A qui s'adresse le RNIPP?

    Le RNIPP vise les informations reçues des fournisseurs d'identité français. Une phase d'expérimentation est en cours dans le cadre des identités européennes.

Fournisseurs de données

  • Dois-je m’inscrire à FranceConnect ?

    Non, mais vous devez appeler FC pour vérifier le token, réconcilier l’identité pivot renvoyée par FC, et vérifier que les scopes renvoyés par FC sont suffisants avant de renvoyer la donnée/ressource.

    Vous retrouverez toutes les étapes sur ici.