Mon projet FranceConnect

  • 1

    Qualification de votre implémentation auprès de l'équipe FranceConnect

    L'équipe FranceConnect a mis en place une démarche pour demander la qualification de votre service. Nous vous prions de bien vouloir y déposer votre demande afin qu'elle puisse être étudiée et traitée. Cette démarche est disponible à l'adresse suivante : https://www.demarches-simplifiees.fr/commencer/demande-qualification-fs

    Les demandes envoyées directement par email ne sont plus traitées.

    Une fois la démarche soumise, notre équipe procédera :

    • à la qualification (test) de l'implémentation du bouton FranceConnect (vérification de la bonne mise en place des points énoncés ci-dessous)
    • à la notification des modifications à effectuer ou la validation pour la mise en production.

    Avant de demander la qualification de votre implémentation par notre équipe, il est nécessaire de faire votre propre recette interne en amont, en suivant les points énoncés ci-dessous. Il est important d’être rigoureux sur votre recette, car chaque point non respecté identifié peut entraîner du retard dans la qualification.

  • 2

    Données de tests

    Sur notre environnement d'intégration, vous pouvez utiliser le fournisseur d'identité « Démonstration » dont les données sont modifiables ici: https://github.com/france-connect/identity-provider-example/blob/master/database.csv
    Vous pouvez proposer de nouvelles identités de tests directement sur ce fichier.

    Un fournisseur de service de démo est également mis à votre disposition sur https://fournisseur-de-service.dev-franceconnect.fr/
    Celui-ci propose également d'appeler un fournisseur de données « FranceConnecté », simulant actuellement un échange de données avec la DGFIP.

    Tous les liens importants (documentation, code source, etc) sont dans le footer du site d'exemple.

  • 3

    Prérequis de votre recette

    Avant de demander la recette de votre implémentation de FranceConnect par notre équipe, merci de préparer votre recette avec les points énoncés ci-dessous.
    Vous trouverez une partie des critères visuels de la recette sur cette maquette.
    1. Bouton FranceConnect - Section Connexion
      Le bouton FranceConnect est présent dans la section Connexion du site, ainsi que le texte explicatif au-dessus : « FranceConnect est la solution proposée par l’État pour sécuriser et simplifier la connexion à vos services en ligne ». La couleur, la taille (209x56 pixels) et le changement d'état au survol du bouton sont conformes.
    2. Lien « Qu’est-ce que FranceConnect ? » - Section Connexion
      Le lien est présent dans la section Connexion du site et positionné sous le bouton FranceConnect. Il pointe vers https://franceconnect.gouv.fr.
    3. Bouton FranceConnect - Section Inscription
      Le bouton FranceConnect est présent dans la section Inscription du site, ainsi que le texte explicatif au-dessus : « FranceConnect est la solution proposée par l’État pour sécuriser et simplifier la connexion à vos services en ligne ». La couleur, la taille (209x56 pixels) et le changement d'état au survol du bouton sont conformes.
    4. Lien « Qu’est-ce que FranceConnect ? » - Section Inscription
      Le lien est présent dans la section Inscription du site et positionné sous le bouton FranceConnect. Il pointe vers https://franceconnect.gouv.fr.
    5. FranceConnect est le premier mode de connexion
      Le bouton FranceConnect est situé en premier mode de connexion, au-dessus des autres moyens d'identification.
    6. FranceConnect est séparé des autres modes de connexion
      Une séparation doit être faite entre le bouton FranceConnect et les autres modes de connexion (au moyen d'une ligne par exemple). La mention « OU » doit y figurer.
    7. Pas d'utilisation de services d'identification proposés par les réseaux sociaux ou autres acteurs privés
      Le bouton FranceConnect n'est pas positionné près de liens, d'icônes ou de services d'identification proposés par des réseaux sociaux et autres services privés.
    8. Cinématique - Connexion
      L'usager peut se connecter via FranceConnect sur le service.
    9. Cinématique - Déconnexion
      En se déconnectant du FS, l'usager se déconnecte bien de sa session FranceConnect.
    10. Cinématique - Inscription
      L'usager peut s'inscrire au service en utilisant FranceConnect.
      Inscription : création d'un compte en ligne local en utilisant une identité FranceConnect.
      Préconditions : l’usager ne dispose pas de compte en ligne.
    11. Cinématique - Réconciliation de compte
      Réconciliation : association d'un compte en ligne local à son identité FranceConnect.
      Préconditions : l’usager dispose d’un compte en ligne local et il n’a pas associé son compte à son identité FC.
      La réconciliation de compte n'est pas obligatoire, mais si elle est implémentée, elle doit respecter ce qui est indiqué dans la section « Parcours de réconciliation » sous l’onglet « Cadrer mon projet ».
      Si le fournisseur de services dispose de comptes locaux et souhaite gérer la réconciliation entre ses données locales et celles transmises par FranceConnect, il y a deux cas de figure :
      - une réconciliation automatique, sans intervention de l'usager
      - une réconciliation faisant intervenir l’usager.
    12. Cinématique - Suppression ou dissociation de compte
      Si le service propose de supprimer son compte, lors de la suppression de celui-ci, l'usager doit être déconnecté également de sa session FranceConnect.
    13. Interdiction des pop-ups et iframes
      Les fenêtres pop-ups et iframes sont interdites.
    14. Identification de l'usager
      L'usager doit pouvoir identifier clairement qu'il est connecté et son profil accessible.
    15. Non modification de l'identité pivot
      Sur la page du profil (ou dans le formulaire d'inscription), les champs suivants ne sont pas modifiables (si récupérés via FranceConnect) : Nom de naissance, Prénoms, Date de naissance, Ville de naissance, Pays de naissance, Sexe.
    16. Modification des autres données
      Sur la page du profil (ou dans le formulaire d'inscription), les champs suivants sont modifiables : Nom d'usage, Email.
    17. Scopes
      Les scopes demandés lors de l'appel à /authorize sont les mêmes que ceux déclarés et autorisés dans la demande Datapass.
    18. TLS
      Le service ne doit pas utiliser de version de TLS inférieure à 1.2 et doit obligatoirement utiliser des versions 1.2 ou 1.3.
    19. Niveau eIDAS
      Le niveau eIDAS doit être obligatoirement précisé dans le paramètre acr_values lors de l'appel à /authorize. Sa valeur doit être eidas1.
    20. Paramètres state et nonce
      Les paramètres state et nonce doivent faire au minimum 22 caractères (chiffres et lettres majuscules et minuscules), et doivent être aléatoires et uniques à chaque session FranceConnect.
      En modifiant le state puis le nonce dans le /authorize, l’usager ne doit pas pouvoir continuer la cinématique de connexion via FranceConnect. Il est alors recommandé à cette étape de renvoyer l’usager vers la page d'accueil, et d'ajouter une déconnexion de la session FranceConnect.
    21. Client ID
      Le Client ID dans l’espace partenaire doit correspondre à celui utilisé dans /authorize.
    22. Second facteur d’authentification
      Le service doit proposer un second facteur d'authentification (possession ou biométrie) s’il s’agit :
      - d’un service numérique en santé
      - d’un service proposant une modification de RIB
      - d’un service proposant de modifier ou télécharger des données / documents sensibles.
      L'OTP par mail est considéré comme un facteur de connaissance et ne peut pas être accepté comme un second facteur.