ProConnect Identité est un fournisseur d'identité "OpenId Connect" géré par la DINUM.
Pour les professionnels n’ayant pas de fournisseur d’identité attitré dans la fédération ProConnect, la DINUM met à disposition un compte dans ProConnect Identité. Ainsi, toute personne affiliée à une organisation enregistrée à l'INSEE, c'est-à-dire ayant un SIRET, peut utiliser une identité fournie par la DINUM au sein de la fédération ProConnect.
Pour vous intégrer la fédération ProConnect, merci de vous référer à notre documentation en ligne.
Pour tester le parcours de connexion ProConnect Identité, vous pouvez utiliser notre plateforme dédiée : https://test.moncomptepro.beta.gouv.fr/.
Vous pouvez utiliser le compte de test suivant :
- identifiant : user@yopmail.com
- mot de passe : user@yopmail.com
Cette plateforme utilise de vraies données ouvertes de l'INSEE pour les données des organisations.
Elle n’est cependant connectée à aucun environment de production.
Ainsi, vous pouvez vous créer n’importe quel compte utilisateur en entrant n’importe quel numéro SIRET et en utilisant des emails jetables yopmail.com.
À noter que les emails reçus sur les adresses en yopmail.com sont accessibles sur : http://yopmail.com/.
Voici 2 scénarios que vous pouvez tester sur cet environnement :
- entreprise unipersonnelle : créer un compte avec une adresse email jetable, puis utiliser le SIRET d'une organisation unipersonnelle ;
- petite mairie : créer un compte avec une adresse email qui n'ait pas comme nom de domaine
yopmail.com, utiliser le siret d'une collectivité de moins de 50 employés, se connecter en restituant le code reçu àmairie@yopmail.com; - commune de Clarmart : vous pouvez directement rejoindre cette commune avec un compte utilisant un email sur le domaine
yopmail.com.
Afin d'effectuer les développements sur votre service en ligne, nous fournissons un environnement de test pour vous permettre d'effectuer des tests de bout en bout.
Afin de configurer votre module ou votre client OpenId Connect, vous trouverez ci-dessous les paramètres de configuration spécifiques à ProConnect Identité :
- paramètres de configuration de l’instance de test : https://app-sandbox.moncomptepro.beta.gouv.fr/.well-known/openid-configuration
- paramètres de configuration de l’instance de production : https://app.moncomptepro.beta.gouv.fr/.well-known/openid-configuration
- Les périmètres de données (scope) disponibles sont les suivants :
openid(données : sub)email(données : email, email_verified)profile(données : family_name, given_name, updated_at, job)organization(données : label, siret, is_commune, is_external, is_public_service)
{
"sub": "154",
"email": "jean.valjean-mairie@wanadoo.fr",
"email_verified": true,
"family_name": "Valjean",
"given_name": "Jean",
"job": "Secrétaire de mairie",
"updated_at": "2023-06-15T16:17:05.958Z",
"label": "Commune de les martres sur morge - Mairie",
"siret": "21630215800011",
"is_commune": true,
"is_public_service": true,
"is_external": true
}NB :
is_externalvauttruelorsque l’utilisateur est externe à l’organisation (ex : prestataire, sous-traitant, mandataire, etc.) NB : siis_communevauttruealorsis_public_servicevauttrueégalement NB : ProConnect Identité vérifie systématiquement les adresses emails, en conséquenceemail_verifiedvaut toujourstrue
Lorsqu'un utilisateur se déconnecte de votre plateforme, il se peut qu'il soit toujours connecté à ProConnect Identité. Ainsi, si votre utilisateur utilise un poste partagé, une autre personne pourrait utiliser la session ProConnect Identité et récupérer les informations de l'utilisateur initial dans votre service. Il convient d'effectuer une déconnexion simultanée sur ProConnect Identité et sur votre service.
Vous pouvez tester la cinématique de déconnexion via le lien suivant : https://test.moncomptepro.beta.gouv.fr/#logout
Afin d'effectuer une déconnexion simultanée, il faut rediriger l'utilisateur vers la route de déconnexion de ProConnect Identité :
Les utilisateurs peuvent représenter plusieurs organisations dans ProConnect Identité. Au moment de se connecter à votre service, ProConnect Identité demande à l'utilisateur de choisir l'organisation qu’il souhaite représenter.
Si vous souhaitez donner la possibilité à l’utilisateur de représenter une autre organisation sans qu’il ait besoin de se reconnecter, vous pouvez demander l’interface de sélection d’organisation à ProConnect Identité.
Vous pouvez tester la cinématique via le lien suivant : https://test.moncomptepro.beta.gouv.fr/#select-organization
Pour ce faire, vous pouvez rediriger l'utilisateur sur la route authorize avec le paramètre prompt=select_organization comme suit :
Les utilisateurs peuvent avoir commis des erreurs lors de la constitution de leur identité sur ProConnect Identité.
Si vous souhaitez donner l’opportunité à l’utilisateur de mettre à jour ses informations utilisateurs sans qu’il ait besoin de se reconnecter, vous pouvez demander l’interface de mise à jour des informations personnelles à ProConnect Identité.
Vous pouvez tester la cinématique via le lien suivant : https://test.moncomptepro.beta.gouv.fr/#update-userinfo
Pour ce faire, vous pouvez rediriger l'utilisateur sur la route authorize avec le paramètre prompt=update_userinfo comme suit :
Certaines fonctionnalités sensibles requièrent d’authentifier l'utilisateur à nouveau pour réduire les risques d’usurpations d’identités liés à la durée de session de ProConnect Identité.
Vous pouvez tester la cinématique via le lien suivant : https://test.moncomptepro.beta.gouv.fr/#force-login
Pour ce faire, vous devez passer les paramètres prompt=login et claims={"id_token":{"auth_time":{"essential":true}}} comme suit :
Afin de s’assurer que l’utilisateur s’est bien ré-authentifié, il est impératif que votre service vérifie la valeur auth_time
retournée dans l’ID token. Si la date est supérieure à 5 minutes, l’utilisateur ne s'est pas reconnecté récemment et vous
devez recommencer la cinématique.
Pour éviter à un usager d’avoir à s’authentifier auprès de votre service avec un second facteur alors qu’il a déjà utilisé une authentification multi-facteur dans ProConnect Identité,
il est possible de récupérer via le claim amr la liste des méthodes d’authentification et d’adapter votre parcours en fonction.
Par défaut ce claim amr n’est pas retourné dans l’IdToken, il doit être demandé explicitement.
Pour ce faire, vous devez passer les paramètres prompt=login et claims={"id_token":{"auth_time":{"essential":true}}} comme suit :
ProConnect Identité peut renvoyer une combinaison des valeurs suivantes :
| valeur amr | description |
|---|---|
| pwd | Authentification par mot de passe. En complément d’un mot de passe, l’utilisateur a authentifié son navigateur avec un otp envoyé par mail |
| Authentification par lien de connexion « lien magique ». | |
| totp | Authentification avec une application « authenticator » comme FreeOTP. |
| pop | Authentification avec une clé d’accès (Passkey). |
| mfa | Authentification a deux facteurs. |
Vous trouverez de plus amples informations sur la documentation de FranceConnect.
Certaines fonctionnalités sensibles requièrent une authentification à double facteur pour réduire les risques d’usurpations d’identités liés aux attaques par phishing par exemple.
Vous pouvez tester la cinématique via le lien suivant : https://test.moncomptepro.beta.gouv.fr/#force-2fa
Pour ce faire, vous devez passer les paramètres claims={"id_token":{"acr":{"essential":true,value:"https://refeds.org/profile/mfa"}}} comme suit :
Les valeurs acr utilisées par ProConnect Identité sont les suivantes :
eidas1authentification simple facteur avec une identité de niveau faible.https://refeds.org/profile/mfaauthentification par double facteur sans preuve d’identité particulière.
Pour contribuer à ProConnect Identité, vous pouvez installer l’application localement.
Les instructions se trouvent sur la page de doc dédiée.