TLS 1.2 est la version du protocole HTTPS utilisé. Les versions précédentes ne sont pas acceptées sur FranceConnect.

Si vous recevez ce type de message sur votre mire:

Vérifiez que votre client id corresponde bien à votre environnement (client id d'intégration sur l'environnement d'intégration et de même pour la production). Assurez-vous d'avoir bien choisi les URLs correspondant à votre besoin : soit FranceConnect Particulier soit FranceConnect Pro.

En environnement d'intégration de FranceConnect, les endpoints sont disponibles en HTTPS.

FranceConnect Particulier

Authorization : https://fcp.integ01.dev-franceconnect.fr/api/v1/authorize

Token : https://fcp.integ01.dev-franceconnect.fr/api/v1/token

UserInfo : https://fcp.integ01.dev-franceconnect.fr/api/v1/userinfo

Logout : https://fcp.integ01.dev-franceconnect.fr/api/v1/logout

FranceConnect Pro

Authorization : https://fce.integ01.dev-franceconnect.fr/api/v1/authorize

Token : https://fce.integ01.dev-franceconnect.fr/api/v1/token

UserInfo : https://fce.integ01.dev-franceconnect.fr/api/v1/userinfo

Logout : https://fce.integ01.dev-franceconnect.fr/api/v1/logout

Par ailleurs, vous trouverez ci-après nos endpoints de production.

FranceConnect Particulier

Authorization : https://app.franceconnect.gouv.fr/api/v1/authorize

Token : https://app.franceconnect.gouv.fr/api/v1/token

UserInfo : https://app.franceconnect.gouv.fr/api/v1/userinfo

Logout : https://app.franceconnect.gouv.fr/api/v1/logout

FranceConnect Pro

Authorization : https://ape.franceconnect.gouv.fr/api/v1/authorize

Token : https://ape.franceconnect.gouv.fr/api/v1/token

UserInfo : https://ape.franceconnect.gouv.fr/api/v1/userinfo

Logout : https://ape.franceconnect.gouv.fr/api/v1/logout

Le processus d'implémentation de FranceConnect repose sur les étapes suivantes :

Les étapes

• Inscription à FranceConnect
• Intégration d’un bouton d’action FranceConnect
• Implémentation de la déconnexion
• Information auprès de la CNIL
• Recette et mise en production

Les détails de chacune de ces sections sont disponibles dans l'Annexe processus de raccordement des conditions générales d'utilisation.

Le bouton FranceConnect doit aussi bien figurer sur la page de connexion que sur la page de création de compte (exemple).
Une réconciliation/dissociation de compte sera à prévoir si vous souhaitez lier les comptes de votre base de données usagers locale avec FranceConnect.

Les conditions juridiques et annexes sont disponibles ici.

Les boutons d'intégration FranceConnect sont disponibles dans la section "Intégration d'un bouton FranceConnect".
Des packs sont disponibles en svg, jpg et png.

1er cas : l’utilisateur crée un nouveau compte en utilisant FranceConnect.

Vous prenez tout ou partie des données (à minima le sub et si prévu dans votre déclaration CNIL, l'identité pivot et les données de contact), vous demandez à l’utilisateur de compléter si besoin et vous créez le compte chez vous :

• en communiquant à l’utilisateur que dorénavant il devra utiliser FranceConnect pour accéder à ce compte (PRECONISÉ par l’équipe FranceConnect).
• en communiquant à l’utilisateur un identifiant/mdp SIHM en mode secours ET qu’il a également la possibilité d’accéder avec FranceConnect (NON PRECONISÉ car trop compliqué pour l’utilisateur).

2nd cas : l’utilisateur souhaite se connecter et a déjà un compte existant.

Le fournisseur de services doit opérer une réconciliation :

• soit automatiquement sans solliciter l’utilisateur : ceci est rare car sous-entend que le fournisseur de services détient dans sa base l’ensemble des données pivot.
• soit en demandant explicitement à l’utilisateur un « secret » que vous détenez également et que vous pouvez contrôler (exemple : un N° de client, de facture, de permis,…). Le pire (donc A EVITER) étant de demander à l’utilisateur de saisir son identifiant/mdp SIHM.

Le sub est associé au compte existant.

Par la suite, pour l’utilisateur qui souhaite se connecter à un compte existant de manière récurrente : rien de plus simple, le fournisseur de services récupère le sub et affiche le compte correspondant.

Il existe un sous-cas particulier :

• soit parce que le fournisseur de services démarre directement sa collecte de clients avec FranceConnect.
• soit parce qu’il n’y a aucun enjeu à proposer à l’utilisateur un historique de son activité.

C’est le cas le plus simple à gérer : chaque nouvelle connexion est une création de compte.

Oui, ce sera bientôt le cas, quand il y aura plusieurs fournisseur d'identité.

Non, un utilisateur donné a un sub différent pour chaque fournisseur de services.

Non, le sub est généré aléatoirement.

La longueur définie par la norme OpenID Connect est de 255 caractères.

Bien que FranceConnect ne génère qu'un sub de 64 caractères, vous devez pouvoir gérer une longueur max de 255.

Non, la cinématique complète (3 endpoints) doit être faite d’un bloc.

Non, ceci n'est pas le fonctionnement de FranceConnect.

Non, pour des raisons de sécurité, il n'est pas possible d'afficher la mire FranceConnect dans une iframe.

Cela dépend des fournisseurs d'identité proposés par FranceConnect.

A titre informatif, pour FranceConnect Particulier, la DGFIP et Améli disposent chacun de plus de 20 millions de comptes.

Oui, il est impératif de créer un compte au portail FranceConnect.gouv.fr par fournisseur de service afin d'obtenir un client id/client secret par fournisseur de services. (Ex: Vous êtes intégrateur et vous travaillez pour la mairie A et le département B, vous devrez avoir un compte pour chacun de ces 2 clients) Sachez de plus qu'en vous connectant vous pourrez associer plusieurs emails pour chacun des comptes.

En allant sur le site https://jwt.io/. Il vous faudra :

• récupérer le JWT encodé renvoyé par FranceConnect et le placer dans la section "Encoded",
• saisir votre client secret dont vous disposez dans le champ "secret" de la section "Verify Signature",
• l'algorithme à sélectionner est HS256.

Le résultat décrypté apparaît dans la section "Payload".

Si vous recevez ce type de message sur votre mire:

Cela est probablement dû au fait que vous souhaiteriez rajouter une URL de callback en production, ce qui n'est pas possible. Vous avez la main sur l'ajout des URLs en intégration mais pas en production. Pour un ajout en production, vous avez besoin d'ajouter votre URL dans le formulaire "Configurer le FS en production", suite à quoi votre demande sera traitée par notre équipe.

Le détail des étapes est disponible dans l'Annexe processus d'implémentation du fournisseur d'identité ici.

Les conditions juridiques et annexes sont disponibles ici.

Oui. Le fournisseur d’identité doit implémenter sur la page de connexion les éléments suivants :

• IHM Responsive
  Afin de pouvoir s’adapter à l’ensemble des supports matériel que peuvent utiliser les usagers.
  
  
• Un lien "Changer de fournisseur"
  Afin de permettre à l’usager de retourner sur la mire FranceConnect présentant les différents fournisseurs d'identité.
  
  
• Le fond d'écran FranceConnect
  Afin d'uniformiser les pages de connexion des différents fournisseurs d'identité. Le fond d'écran est disponible en téléchargement ici. Exemple de code css :

body#franceConnect { background: #ededed url("../images/logo_marianne.png") no-repeat fixed right 5% bottom / 500px auto; color: #3471a9; font-family: "Roboto"; margin: 0; min-height: 100%; padding: 0; }

• Le label FranceConnect
  Afin de faciliter la reconnaissance des usagers de leur connexion au fournisseur d'identité en passant par FranceConnect. Le label est disponible ici en png, jpg et svg.

L’identité pivot, qui est un ensemble de données concernant un utilisateur. Cette identité pivot est fournie par les fournisseurs d'identité aux fournisseurs de services, via FranceConnect. Elle permet d'identifier un utilisateur particulier ou entreprise.

FranceConnect Particulier

• given_name [type=string]
  prénoms séparés par des espaces (standard OpenIDConnect)
  
  
• family_name [type=string]
  le nom de famille de naissance (standard OpenIDConnect)
  
  
• birthdate [type=string]
  la date de naissance au format YYYY-MM-DD (standard OpenIDConnect)
  
  
• gender [type=string]
  male pour les hommes, female pour les femmes (standard OpenIDConnect)
  
  
• birthplace [type=string]
  le code INSEE du lieu de naissance (ou une chaîne vide si la personne est née à l'étranger)
  
  
• birthcountry [type=string]
  le code INSEE du pays de naissance

FranceConnect Pro

• given_name [type=string]
  prénoms séparés par des espaces (standard OpenIDConnect)
  
  
• family_name [type=string]
  le nom de famille (standard OpenIDConnect)
  
  
• email [type=string]
  l'adresse électronique de la personne
  
  
• siret [type=string]
  le numéro SIRET ou SIREN de l'entreprise (non standard)

Le RNIPP vise les informations reçues des fournisseurs d'identité français. Une phase d'expérimentation est en cours dans le cadre des identités européennes.

Vous devez vous faire connaitre auprès de FranceConnect, notamment pour communiquer les libellés des données que vous souhaitez mettre à disposition, pour l'affichage dans le fenêtre d'information/consentement affiché à l'usager par FranceConnect.

Vous retrouverez toutes les étapes sur notre documentation.