Esup-Signature

Arborescence des pages

Esup-signature permet d'envoyer des demandes à des personnes extérieures à l'établissement. Lorsqu'une adresse externe est détectée, esup-signature ouvre un accès temporaire à la plateforme, via un lien unique, pour signer une demande en particulier.

Selon la configuration, l'utilisateur sera invité à se connecter via ProConnect, FranceConnect, code OTP via SMS ou aura accès directement à la demande (cette dernière possibilité n'est bien sur pas conseillée).

Authentification ProConnect


Depuis la version 1.34.0 vous avez la possibilité de configurer une authentification ProConnect et/ou FranceConnect !


Dans un premier temps, il faut faire une demande auprès de la plateforme ProConnect : https://partenaires.proconnect.gouv.fr/

La demande se fait en deux phase, test et prod. Il est très simple et rapide d'obtenir des identifiants de test vous permettant de vérifier le fonctionnement du dispositif. 

Vous devrez obligatoirement saisir une adresse de redirection qui sera de cette forme : https://esup-signature.univ-ville.fr/login/oauth2/code/proconnect

Il faudra aussi une adresse de logout : https://esup-signature-demo.univ-rouen.fr/logged-out

Enfin, il faut choisir l'encryption RS256

Une fois les identifiants obtenus, la configuration ProConnect se fait au niveau du fichier application.yml dans la section spring → security.

Voici un exemple qui comprend aussi une configuration FranceConnect, les deux modes étant cumulables. Il s'agit de configurations de TEST (l'issuer esup-signature correspond à l'accès aux web service /ws-jwt)

Une liste de comptes de test est disponible ici : 

https://github.com/numerique-gouv/proconnect-identite/blob/master/scripts/fixtures.sql#L10

spring:
    security:
        oauth2:
            client:
                provider:
                    esup-signature:
                        issuer-uri: https://cas.univ-rouen.fr/oidc
                    proconnect:
                        issuer-uri: https://fca.integ01.dev-agentconnect.fr/api/v2
                    franceconnect:
                        issuer-uri: https://fcp-low.sbx.dev-franceconnect.fr/api/v2
                registration:
                    proconnect:
                        provider: proconnect
                        client-id: xxxxxxx
                        client-secret: xxxxxxx
                        authorization-grant-type: authorization_code
                        scope:
                            - openid
                            - email
                            - usual_name
                            - given_name
                    franceconnect:
                        provider: franceconnect
                        authorization-grant-type: authorization_code
                        client-id: xxxxxx
                        client-secret: xxxxxx
                        scope:
                            - openid
                            - family_name
                            - given_name
                            - email

Pour les tests de connexion, vous devrez utiliser un compte d'une administration publique, hors l'accès ProConnect est, pour l'instant, réserve aux externes, vous serrez donc redirigé vers CAS... (esup-signature compare le nom de domaine du mail avec celui de la conf globale)

Authentification FranceConnect


Depuis la version 1.34.0 vous avez la possibilité de configurer une authentification FranceConnect !

La configuration FranceConnect fonctionne de la même manière que ProConnect.

La demande est à faire ici : https://espace.partenaires.franceconnect.gouv.fr

On vous demandera en plus une adresse globale du site qui doit etre en https obligatoirement, cela n'est pas bloquant si l'on met https alors que vous faites de l'http (en test par exemple).

L'adresse de redirection sera de cette forme : https://esup-signature.univ-ville.fr/login/oauth2/code/franceconnect

L'adresse de logout : https://esup-signature-demo.univ-rouen.fr/logged-out

Enfin, il faut choisir le l'encryption RS256


Voici la liste des comptes de test FranceConnect :

https://github.com/france-connect/sources/blob/main/docker/volumes/fcp-low/mocks/idp/databases/citizen/base.csv

Mise en production ProConnect et FranceConnect

Lorsque tout fonctionne, que ça soit ProConnect ou FranceConnect, vous devrez, via démarche simplifiée, faire une demande de mise en production pour obtenir des identifiants de production. Voici les deux guides disponibles :

https://partenaires.proconnect.gouv.fr/docs/fournisseur-service/recommandation_parcours

https://docs.partenaires.franceconnect.gouv.fr/fs/devenir-fs/projet-qualification-fs/



FranceConnectProConnect
1 - Qualification

Vous devrez mettre en place une plateforme accessible à l'extérieur de l'établissement configurée avec votre id/secret de bac à sable. Vous pouvez alors provisionner une dizaine de demandes à destination de wossewodda-3728@yopmail.com (premier compte de test FranceConnect).

Cela fait (et bien testé en amont), vous pouvez initier une demande de qualification ici : https://www.demarches-simplifiees.fr/commencer/demande-qualification-fs


2 - Création du fournisseur

Lorsque la demande sera validée, démarrer une demande ici : https://www.demarches-simplifiees.fr/commencer/demande-creation-fs-fc


https://www.demarches-simplifiees.fr/commencer/demande-creation-fs-fca

Vous devrez mettre en place une plateforme accessible à l'extérieur de l'établissement configurée avec votre id/secret de bac à sable. Vous pouvez alors provisionner une dizaine de demandes à destination de user@yopmail.com (premier compte de test ProConnect). Les identifiants de production vous sont fournis dès validation.

3 - mise en production

dans application.yml mettre : 

franceconnect:

    issuer-uri: https://oidc.franceconnect.gouv.fr/api/v2

et vos client-id et client-secret fournis

dans application.yml mettre : 

proconnect:
    issuer-uri: https://auth.agentconnect.gouv.fr/api/v2

et vos client-id et client-secret fournis


Fonctionnement de l'authentification OTP par SMS


Depuis la version 1.24.1 il est possible d'activer ou non l'utilisation des SMS dans le cadre de la connexion OTP via le parametre sms-required: false du fichier de configuration application.yml

Dans le cas ou sms-required est à false, l'utilisateur demandeur a la possibilité de forcer l'utilisation du SMS sinon le seul lien reçu par mail par le destinataire suffira à accéder à la plateforme.


Pour l'utilisation des SMS, il faut configurer un système d'envoi via la configuration suivante Configuration#sms


Pour envoyer une demande de signature à une personne externe, le processus est le même que pour une personne de l'établissement. 

Après avoir cliqué sur "Demander une signature", il faut saisir l'adresse email du destinataire. Lorsque le système détecte une adresse externe, il propose de compléter les informations minimal pour authentifier l'utilisateur.

Vous devez obligatoirement saisir nom, prénom.

Le numéro de mobile servira lors de l'authentification du destinataire et servira d'identifiant (en base de données) pour les journaux d'activités.

Si vous n'avez pas de numéro, il devra être saisi par le signataire à posteriori dans le cas ou sms-required est à true

Authentification de l'utilisateur externe

Lorsque la demande est envoyée, le destinataire externe reçoit un mail contenant un lien à usage unique : 

Lorsque le destinataire clique sur le lien, un SMS lui est envoyé. Il peut alors saisir le code reçu sur la page de connexion :


Voici un aperçu de la page de connexion d'un externe dans le cas où tous les modes sont configurés :


Si tout correspond, l'utilisateur est connecté et obtient le rôle OTP qui lui permet d'accéder pour une durée limitée à la demande de signature. L'interface pour les externes a été simplifiée, ils peuvent, sur la page de la demande, compléter leurs nom et prénom et ajouter ou dessiner une image de signature. 

Si une signature avec certificat leur est demandée, il leur faudra installer Esup-DSS-Client



  • Aucune étiquette