...
| Info |
|---|
Esup-signature permet d'envoyer des demandes à des personnes extérieures à l'établissement. L'OTP d'Lorsqu'une adresse externe est détectée, esup-signature va ouvrir ouvre un accès temporaire à la plateforme, via un lien unique, pour signer une demande préciseen particulier.Pour l'utlisation de SMS, il faut configurer un système d'envoi via la configuration suivante Configuration#sms Selon la configuration, l'utilisateur sera invité à se connecter via ProConnect, FranceConnect, code OTP via SMS ou aura accès directement à la demande (cette dernière possibilité n'est bien sur pas conseillée). |
Authentification ProConnect
| Info |
|---|
Depuis la version 1.34.0 vous avez la possibilité de configurer une authentification ProConnect et/ou FranceConnect ! |
Dans un premier temps, il faut faire une demande auprès de la plateforme ProConnect : https://partenaires.proconnect.gouv.fr/
La demande se fait en deux phase, test et prod. Il est très simple et rapide d'obtenir des identifiants de test vous permettant de vérifier le fonctionnement du dispositif.
Vous devrez obligatoirement saisir une adresse de redirection qui sera de cette forme : https://esup-signature.univ-ville.fr/login/oauth2/code/proconnect
Il faudra aussi une adresse de logout : https://esup-signature-demo.univ-rouen.fr/logged-out
Enfin, il faut choisir l'encryption RS256
Une fois les identifiants obtenus, la configuration ProConnect se fait au niveau du fichier application.yml dans la section spring → security.
Voici un exemple qui comprend aussi une configuration FranceConnect, les deux modes étant cumulables. Il s'agit de configurations de TEST (l'issuer esup-signature correspond à l'accès aux web service /ws-jwt)
Une liste de comptes de test est disponible ici :
https://github.com/numerique-gouv/proconnect-identite/blob/master/scripts/fixtures.sql#L10
| Bloc de code | ||
|---|---|---|
| ||
spring:
security:
oauth2:
client:
provider:
esup-signature:
issuer-uri: https://cas.univ-rouen.fr/oidc
proconnect:
issuer-uri: https://fca.integ01.dev-agentconnect.fr/api/v2
franceconnect:
issuer-uri: https://fcp-low.sbx.dev-franceconnect.fr/api/v2
registration:
proconnect:
provider: proconnect
client-id: xxxxxxx
client-secret: xxxxxxx
authorization-grant-type: authorization_code
scope:
- openid
- email
- usual_name
- given_name
franceconnect:
provider: franceconnect
authorization-grant-type: authorization_code
client-id: xxxxxx
client-secret: xxxxxx
scope:
- openid
- family_name
- given_name
- email |
Pour les tests de connexion, vous devrez utiliser un compte d'une administration publique, hors l'accès ProConnect est, pour l'instant, réserve aux externes, vous serrez donc redirigé vers CAS... (esup-signature compare le nom de domaine du mail avec celui de la conf globale)
Authentification FranceConnect
| Info |
|---|
Depuis la version 1.34.0 vous avez la possibilité de configurer une authentification FranceConnect ! |
La configuration FranceConnect fonctionne de la même manière que ProConnect.
La demande est à faire ici : https://espace.partenaires.franceconnect.gouv.fr
On vous demandera en plus une adresse globale du site qui doit etre en https obligatoirement, cela n'est pas bloquant si l'on met https alors que vous faites de l'http (en test par exemple).
L'adresse de redirection sera de cette forme : https://esup-signature.univ-ville.fr/login/oauth2/code/franceconnect
L'adresse de logout : https://esup-signature-demo.univ-rouen.fr/logged-out
Enfin, il faut choisir le l'encryption RS256
Voici la liste des comptes de test FranceConnect :
Mise en production ProConnect et FranceConnect
Lorsque tout fonctionne, que ça soit ProConnect ou FranceConnect, vous devrez, via démarche simplifiée, faire une demande de mise en production pour obtenir des identifiants de production. Voici les deux guides disponibles :
https://partenaires.proconnect.gouv.fr/docs/fournisseur-service/recommandation_parcours
https://docs.partenaires.franceconnect.gouv.fr/fs/devenir-fs/projet-qualification-fs/
| FranceConnect | ProConnect | |
|---|---|---|
| 1 - Qualification | Vous devrez mettre en place une plateforme accessible à l'extérieur de l'établissement configurée avec votre id/secret de bac à sable. Vous pouvez alors provisionner une dizaine de demandes à destination de wossewodda-3728@yopmail.com (premier compte de test FranceConnect). Cela fait (et bien testé en amont), vous pouvez initier une demande de qualification ici : https://www.demarches-simplifiees.fr/commencer/demande-qualification-fs | |
| 2 - Création du fournisseur | Lorsque la demande sera validée, démarrer une demande ici : https://www.demarches-simplifiees.fr/commencer/demande-creation-fs-fc | https://www.demarches-simplifiees.fr/commencer/demande-creation-fs-fca Vous devrez mettre en place une plateforme accessible à l'extérieur de l'établissement configurée avec votre id/secret de bac à sable. Vous pouvez alors provisionner une dizaine de demandes à destination de user@yopmail.com (premier compte de test ProConnect). Les identifiants de production vous sont fournis dès validation. |
| 3 - mise en production | dans application.yml mettre : franceconnect: issuer-uri: https://oidc.franceconnect.gouv.fr/api/v2 et vos client-id et client-secret fournis | dans application.yml mettre : proconnect: et vos client-id et client-secret fournis |
Fonctionnement de l'authentification OTP par SMS
| Remarque |
|---|
Depuis la version 1.24.1 il est possible d'activer ou non l'utilisation des SMS dans le cadre de la connexion OTP via le parametre sms-required: false du fichier de configuration application.yml Dans le cas ou sms-required est à false, l'utilisateur demandeur à a la possibilité de forcer l'utilisation du SMS sinon le seul lien reçu par mail par le destinataire suffira à accéder à la plateforme. |
Pour l'utilisation des SMS, il faut configurer un système d'envoi via la configuration suivante Configuration#sms
Pour envoyer une demande de signature à une personne externe, le processus est le le même que pour une personne de l'établissement.
...
| Remarque |
|---|
Vous devez obligatoirement saisir nom, prénom. Le numéro de mobile servira lors de l'authentification du destinataire et servira d'identifiant (en base de données) pour les journaux d'activités. Si vous n'avez pas de numéro, il devra être saisi par le signataire à posteriori dans le cas ou sms-required est à true |
Authentification de l'utilisateur externe
Lorsque la demande est envoyée, le destinataire externe reçoit un mail contenant un lien à usage unique :
...
Lorsque le destinataire clique sur le lien, un SMS lui est envoyé. Il peut alors saisir le code reçu sur la page de connexion :
Voici un aperçu de la page de connexion d'un externe dans le cas où tous les modes sont configurés :
Si tout correspond, l'utilisateur est connecté et obtient le rôle OTP qui lui permet de configurer son profil (signature calligraphique et/ou certificat) et lui donne la possibilité de signer le(s) document(s)d'accéder pour une durée limitée à la demande de signature. L'interface pour les externes a été simplifiée, ils peuvent, sur la page de la demande, compléter leurs nom et prénom et ajouter ou dessiner une image de signature.
| Remarque |
|---|
Si une signature avec certificat leur est demandée, il leur faudra installer Esup-DSS-Client |