Configuration du fournisseur d'identité France Connect
Pour mettre en place la relation de confiance entre EoleSSO et France Connect, il faut effectuer une demande d'enregistrement auprès de France Connect : https://franceconnect.gouv.fr/inscription
Le fournisseur d'identité France Connect renvoi un identifiant client (Client ID) et une clé privée secrète ( Client secret) utilisé pour valider les échanges. Il met à disposition un certain nombre d'URLs nécessaires à la configuration du client.
Pour l'inscription il est demandé les informations suivantes:
le nom du service ;
une adresse électronique de contact ;
un logo représentant le fournisseur de service (logo EOLE, logo de l'académie...) qui apparaîtra sur la page d'authentification de France Connect ;
une adresse dite de callback : adresse sur laquelle est renvoyé l'utilisateur après authentification.
Dans le cas d'EoleSSO cette adresse est :
https://<adresse_serveur_eolesso>:8443/oidcallback
Les logos et bouton de connexion France Connect sont déjà fournis avec EoleSSO.
Complément
Pour plus d'informations sur le fonctionnement et la configuration, se reporter à : https://franceconnect.gouv.fr/fournisseur-service
Les conditions d'utilisation de France Connect et le processus de raccordement sont décrites dans le document PDF suivant :
https://franceconnect.gouv.fr/files/CGU FS - Annexe Processus d'implementation de FC par FS V2.1.pdf
À noter que parmi les conditions, une déclaration CNIL simplifiée est disponible et une recette de la solution technique mise en œuvre doit être effectuée par le SGMAP[1].
Une configuration prédéfinie est fournie pour France Connect.
Pour l'activer, choisissez fconnect
dans la liste déroulante de la variable Référence du fournisseur d'identité OpenID
, ne pas oublier de valider le choix pour faire apparaître les différentes variables.
Attention
L'identifiant client (Client ID) et la clé privée secrète ( Client secret) renvoyés par le fournisseur d'identité utilisés pour valider les échanges doivent être, pour des raisons de sécurité, stockés dans un fichier à part avec des droits restreints.
Pour chaque fournisseur d'identité, ajouter une ligne dans le fichier /etc/eole/eolesso_openid.conf
:
<nom_fournisseur> = "<client id> :<client secret>"
Le nom_fournisseur
doit correspondre au paramètre Référence du fournisseur d'identité OpenID
renseigné dans l'interface de configuration du module.
Si ces informations ne sont pas renseignées pour l'un des fournisseurs déclarés, un message l'indiquera au lancement de la commande diagnose
.