Esup-signature permet d'envoyer des demandes à des personnes extérieures à l'établissement. Lorsqu'une adresse externe est détectée, esup-signature ouvre un accès temporaire à la plateforme, via un lien unique, pour signer une demande en particulier.
Selon la configuration, l'utilisateur sera invité à se connecter via ProConnect, FranceConnect, code OTP via SMS ou aura accès directement à la demande (cette dernière possibilité n'est bien sur pas conseillée).
Authentification ProConnect
Depuis la version 1.34.0 vous avez la possibilité de configurer une authentification FranceConnect !
Dans un premier temps, il faut faire une demande auprès de la plateforme ProConnect : https://partenaires.proconnect.gouv.fr/
La demande se fait en deux phase, test et prod. Il est très simple et rapide d'obtenir des identifiants de test vous permettant de vérifier le fonctionnement du dispositif.
Vous devrez obligatoirement saisir une adresse de redirection qui sera de cette forme : https://esup-signature.univ-ville.fr/login/oauth2/code/proconnect
Il faudra aussi une adresse de logout : https://esup-signature-demo.univ-rouen.fr/logout
Une fois les identifiants obtenus, la configuration ProConnect se fait au niveau du fichier application.yml dans la section spring → security.
Voici un exemple qui comprend aussi une configuration FranceConnect, les deux modes étant cumulables :
spring:
security:
oauth2:
client:
provider:
esup-signature:
issuer-uri: https://cas.univ-rouen.fr/oidc
proconnect:
issuer-uri: https://fca.integ01.dev-agentconnect.fr/api/v2
franceconnect:
issuer-uri: https://fcp-low.sbx.dev-franceconnect.fr/api/v2
registration:
proconnect:
provider: proconnect
client-id: xxxxxxx
client-secret: xxxxxxx
authorization-grant-type: authorization_code
scope:
- openid
- email
- family_name
- usual_name
- given_name
franceconnect:
provider: franceconnect
authorization-grant-type: authorization_code
client-id: xxxxxx
client-secret: xxxxxx
scope:
- openid
- family_name
- given_name
- email
Authentification FranceConnect
Depuis la version 1.34.0 vous avez la possibilité de configurer une authentification FranceConnect !
Fonctionnement de l'authentification OTP par SMS
Depuis la version 1.24.1 il est possible d'activer ou non l'utilisation des SMS dans le cadre de la connexion OTP via le parametre sms-required: false du fichier de configuration application.yml
Dans le cas ou sms-required est à false, l'utilisateur demandeur à la possibilité de forcer l'utilisation du SMS sinon le seul lien reçu par mail par le destinataire suffira à accéder à la plateforme.
Pour l'utilisation des SMS, il faut configurer un système d'envoi via la configuration suivante Configuration#sms
Pour envoyer une demande de signature à une personne externe, le processus est le même que pour une personne de l'établissement.
Après avoir cliqué sur "Demander une signature", il faut saisir l'adresse email du destinataire. Lorsque le système détecte une adresse externe, il propose de compléter les informations minimal pour authentifier l'utilisateur.
Vous devez obligatoirement saisir nom, prénom.
Le numéro de mobile servira lors de l'authentification du destinataire et servira d'identifiant (en base de données) pour les journaux d'activités.
Si vous n'avez pas de numéro, il devra être saisi par le signataire à posteriori dans le cas ou sms-required est à true
Authentification de l'utilisateur externe
Lorsque la demande est envoyée, le destinataire externe reçoit un mail contenant un lien à usage unique :
Lorsque le destinataire clique sur le lien, un SMS lui est envoyé. Il peut alors saisir le code reçu sur la page de connexion :
Si tout correspond, l'utilisateur est connecté et obtient le rôle OTP qui lui permet d'accéder pour une durée limitée à la demande de signature. L'interface pour les externes a été simplifiée, ils peuvent, sur la page de la demande, compléter leurs nom et prénom et ajouter ou dessiner une image de signature.
Si une signature avec certificat leur est demandée, il leur faudra installer Esup-DSS-Client