FAQ Partenaires

Les réponses à toutes vos questions

Généralités

  • Quel protocole de sécurité est utilisé par FranceConnect ?

    TLS 1.2 est la version du protocole HTTPS utilisé. Les versions précédentes ne sont pas acceptées sur FranceConnect.

Fournisseurs de services

  • J’ai le message d’erreur «client XXX does not exist», qu’est-ce que cela signifie?

    Si vous recevez ce type de message sur votre mire:

    Vérifiez que votre client id corresponde bien à votre environnement (client id d'intégration sur l'environnement d'intégration et de même pour la production). Assurez-vous d'avoir bien choisi les URLs correspondant à votre besoin : soit FranceConnect Particulier soit FranceConnect Pro.

    En environnement d'intégration de FranceConnect, les endpoints sont disponibles en HTTPS.

    FranceConnect Particulier

    Authorization : https://fcp.integ01.dev-franceconnect.fr/api/v1/authorize

    Token : https://fcp.integ01.dev-franceconnect.fr/api/v1/token

    UserInfo : https://fcp.integ01.dev-franceconnect.fr/api/v1/userinfo

    Logout : https://fcp.integ01.dev-franceconnect.fr/api/v1/logout

    FranceConnect Pro

    Authorization : https://fce.integ01.dev-franceconnect.fr/api/v1/authorize

    Token : https://fce.integ01.dev-franceconnect.fr/api/v1/token

    UserInfo : https://fce.integ01.dev-franceconnect.fr/api/v1/userinfo

    Logout : https://fce.integ01.dev-franceconnect.fr/api/v1/logout

    Par ailleurs, vous trouverez ci-après nos endpoints de production.

    FranceConnect Particulier

    Authorization : https://app.franceconnect.gouv.fr/api/v1/authorize

    Token : https://app.franceconnect.gouv.fr/api/v1/token

    UserInfo : https://app.franceconnect.gouv.fr/api/v1/userinfo

    Logout : https://app.franceconnect.gouv.fr/api/v1/logout

    FranceConnect Pro

    Authorization : https://ape.franceconnect.gouv.fr/api/v1/authorize

    Token : https://ape.franceconnect.gouv.fr/api/v1/token

    UserInfo : https://ape.franceconnect.gouv.fr/api/v1/userinfo

    Logout : https://ape.franceconnect.gouv.fr/api/v1/logout

  • En tant que fournisseur de services, comment mettre en oeuvre FranceConnect ?

    Le processus d'implémentation de FranceConnect repose sur les étapes suivantes :

    Les étapes

    • Inscription à FranceConnect
    • Intégration d’un bouton d’action FranceConnect
    • Implémentation de la déconnexion
    • Information auprès de la CNIL
    • Recette et mise en production

    Les détails de chacune de ces sections sont disponibles dans l'Annexe processus de raccordement des conditions générales d'utilisation.

  • Quels sont les principaux points d’attention lors de l’intégration du bouton ?

    Le bouton FranceConnect doit aussi bien figurer sur la page de connexion que sur la page de création de compte (exemple).
    Une réconciliation/dissociation de compte sera à prévoir si vous souhaitez lier les comptes de votre base de données usagers locale avec FranceConnect (exemple).

  • Où puis-je trouver les conditions générales d’utilisation de FranceConnect ?

    Les conditions juridiques et annexes sont disponibles ici.

  • Où trouver les boutons d’intégration FranceConnect ?

    Les boutons d'intégration FranceConnect sont disponibles dans la section "Intégration d'un bouton FranceConnect".
    Des packs sont disponibles en svg, jpg et png.

  • Comment dois-je réconcilier l’identité pivot renvoyée par FranceConnect avec ma base d’utilisateurs existante ?

    1er cas : l’utilisateur crée un nouveau compte en utilisant FranceConnect.

    Vous prenez tout ou partie des données (à minima le sub et si prévu dans votre déclaration CNIL, l'identité pivot et les données de contact), vous demandez à l’utilisateur de compléter si besoin et vous créez le compte chez vous :

    • en communiquant à l’utilisateur que dorénavant il devra utiliser FranceConnect pour accéder à ce compte (PRECONISÉ par l’équipe FranceConnect).
    • en communiquant à l’utilisateur un identifiant/mdp SIHM en mode secours ET qu’il a également la possibilité d’accéder avec FranceConnect (NON PRECONISÉ car trop compliqué pour l’utilisateur).

    2nd cas : l’utilisateur souhaite se connecter et a déjà un compte existant.

    Le fournisseur de services doit opérer une réconciliation :

    • soit automatiquement sans solliciter l’utilisateur : ceci est rare car sous-entend que le fournisseur de services détient dans sa base l’ensemble des données pivot.
    • soit en demandant explicitement à l’utilisateur un « secret » que vous détenez également et que vous pouvez contrôler (exemple : un N° de client, de facture, de permis,…). Le pire (donc A EVITER) étant de demander à l’utilisateur de saisir son identifiant/mdp SIHM.

    Le sub est associé au compte existant.

    Par la suite, pour l’utilisateur qui souhaite se connecter à un compte existant de manière récurrente : rien de plus simple, le fournisseur de services récupère le sub et affiche le compte correspondant.

    Il existe un sous-cas particulier :

    • soit parce que le fournisseur de services démarre directement sa collecte de clients avec FranceConnect.
    • soit parce qu’il n’y a aucun enjeu à proposer à l’utilisateur un historique de son activité.

    C’est le cas le plus simple à gérer : chaque nouvelle connexion est une création de compte.

  • Est-ce que je reçois le même sub si l’utilisateur se connecte via différents fournisseur d’identité ?

    Oui, ce sera bientôt le cas, quand il y aura plusieurs fournisseur d'identité.

  • Pour un utilisateur donné, est-ce que tous les fournisseurs de services reçoivent le même sub ?

    Non, un utilisateur donné a un sub différent pour chaque fournisseur de services.

  • Est-ce que le sub que je reçois est lié à l’identité de l’utilisateur ?

    Non, le sub est généré aléatoirement.

  • Quelle est la longueur du champ sub ?

    La longueur définie par la norme OpenID Connect est de 255 caractères.

    Bien que FranceConnect ne génère qu'un sub de 64 caractères, vous devez pouvoir gérer une longueur max de 255.

  • Est-ce que je peux initier la cinématique OpenID Connect sur le endpoint d’autorisation, et demander les userInfo plus tard ?

    Non, la cinématique complète (3 endpoints) doit être faite d’un bloc.

  • Est-ce que je peux savoir via quel fournisseur d’identité l’utilisateur s’est identifié/authentifié ?

    Non, ceci n'est pas le fonctionnement de FranceConnect.

  • Est-il possible d’afficher la mire FranceConnect dans une iFrame ?

    Non, pour des raisons de sécurité, il n'est pas possible d'afficher la mire FranceConnect dans une iframe.

  • Comment s’affiche le logo du fournisseur de services ?

    Le logo est affiché sur l'entête à côté du logo FranceConnect :

    Si vous n'envoyez pas de logo nous affichons le nom du service à la place du logo comme ceci :

  • Combien d’utilisateurs peuvent se servir de FranceConnect ?

    Cela dépend des fournisseurs d'identité proposés par FranceConnect.

    A titre informatif, pour FranceConnect Particulier, la DGFIP et Améli disposent chacun de plus de 20 millions de comptes.

  • En tant qu’intégrateur FranceConnect dois-je créer autant de comptes que de fournisseurs de service à intégrer ?

    Oui, il est impératif de créer un compte au portail FranceConnect.gouv.fr par fournisseur de service afin d'obtenir un client id/client secret par fournisseur de services. (Ex: Vous êtes intégrateur et vous travaillez pour la mairie A et le département B, vous devrez avoir un compte pour chacun de ces 2 clients) Sachez de plus qu'en vous connectant vous pourrez associer plusieurs emails pour chacun des comptes.

  • Comment tester la signature de l’id token (Json Web Token) ?

    En allant sur le site https://jwt.io/. Il vous faudra :

    • récupérer le JWT encodé renvoyé par FranceConnect et le placer dans la section "Encoded",
    • saisir votre client secret dont vous disposez dans le champ "secret" de la section "Verify Signature",
    • l'algorithme à sélectionner est HS256.

    Le résultat décrypté apparaît dans la section "Payload".

  • J’ai le message d’erreur «Redirect uri does not match one of registered redirect uris.», qu’est-ce que cela signifie ?

    Si vous recevez ce type de message sur votre mire:

    Cela est probablement dû au fait que vous souhaiteriez rajouter une URL de callback en production, ce qui n'est pas possible. Vous avez la main sur l'ajout des URLs en intégration mais pas en production. Pour un ajout en production, vous avez besoin d'ajouter votre URL dans le formulaire "Configurer le FS en production", suite à quoi votre demande sera traitée par notre équipe.

Fournisseurs d’identité

  • En tant que fournisseur d’identité, comment mettre en oeuvre FranceConnect ?

    Le détail des étapes est disponible dans l'Annexe processus d'implémentation du fournisseur d'identité ici.

  • Où puis-je trouver les conditions d’implémentation de FranceConnect ?

    Les conditions juridiques et annexes sont disponibles ici.

  • Dois-je respecter une charte particulière ?

    Oui. Le fournisseur d’identité doit implémenter sur la page de connexion les éléments suivants :

    • IHM Responsive
      Afin de pouvoir s’adapter à l’ensemble des supports matériel que peuvent utiliser les usagers.

    • Un lien "Changer de fournisseur"
      Afin de permettre à l’usager de retourner sur la mire FranceConnect présentant les différents fournisseurs d'identité.

    • Le fond d'écran FranceConnect
      Afin d'uniformiser les pages de connexion des différents fournisseurs d'identité. Le fond d'écran est disponible en téléchargement ici. Exemple de code css :
    body#franceConnect { background: #ededed url("../images/logo_marianne.png") no-repeat fixed right 5% bottom / 500px auto; color: #3471a9; font-family: "Roboto"; margin: 0; min-height: 100%; padding: 0; }
    • Le label FranceConnect
      Afin de faciliter la reconnaissance des usagers de leur connexion au fournisseur d'identité en passant par FranceConnect. Le label est disponible ici en png, jpg et svg.
  • Quelles informations utilisateurs dois-je renvoyer à FranceConnect ?

    L’identité pivot, qui est un ensemble de données concernant un utilisateur. Cette identité pivot est fournie par les fournisseurs d'identité aux fournisseurs de services, via FranceConnect. Elle permet d'identifier un utilisateur particulier ou entreprise.

    FranceConnect Particulier

    • given_name [type=string]
      prénoms séparés par des espaces (standard OpenIDConnect)

    • family_name [type=string]
      le nom de famille de naissance (standard OpenIDConnect)

    • birthdate [type=string]
      la date de naissance au format YYYY-MM-DD (standard OpenIDConnect)

    • gender [type=string]
      male pour les hommes, female pour les femmes (standard OpenIDConnect)

    • birthplace [type=string]
      le code INSEE du lieu de naissance (ou une chaîne vide si la personne est née à l'étranger)

    • birthcountry [type=string]
      le code INSEE du pays de naissance
    FranceConnect Pro

    • given_name [type=string]
      prénoms séparés par des espaces (standard OpenIDConnect)

    • family_name [type=string]
      le nom de famille (standard OpenIDConnect)

    • email [type=string]
      l'adresse électronique de la personne

    • siret [type=string]
      le numéro SIRET ou SIREN de l'entreprise (non standard)
  • A qui s’adresse le RNIPP?

    Le RNIPP vise les informations reçues des fournisseurs d'identité français. Une phase d'expérimentation est en cours dans le cadre des identités européennes.

Fournisseurs de données

  • Dois-je m’inscrire à FranceConnect ?

    Vous devez vous faire connaitre auprès de FranceConnect, notamment pour communiquer les libellés des données que vous souhaitez mettre à disposition, pour l'affichage dans le fenêtre d'information/consentement affiché à l'usager par FranceConnect.

    Vous retrouverez toutes les étapes sur notre documentation.