Documentation beta pour l'authentification France connect¶

Principes généraux¶

Des modifications ont été apportées à EoleSSO pour permettre d'authentifier les utilisateurs avec le portail France Connect.
Il est également possible de configurer d'autres fournisseurs d'identité OpenID Connect dans les limites des fontionnalités implémentées (testé à ce jour avec France Connect et Google)

Le principe de fonctionnement est le suivant :

• L'utilisateur se connnecte à une application protégér par EoleSSO et est redirigé sur la page d'authentification
• la page de login d'EoleSSO propose un bouton pour chaque fournisseur d'identité configuré;
• lorsqu'un utilisateur clique sur un de ces boutons, il est redirigé vers le portail de connexion du fournisseur correpondant;
• après authentification, il est renvoyé sur le portail EoleSSO. Deux cas sont possibles :
  • lors de la première connexion avec ce fournisseur, EoleSSO demande à l'utilisateur de renseigner son login/mot de passe habituel, et l'associe à l'identifiant retourné par le fournisseur;
  • si l'association a déjà été faite, EoleSSO va automatiquement retrouver le compte associé, et créer la session de l'utilisateur;
• l'utilisateur est ensuite redirigé vers l'application à laquelle il voulait accéder.

prérequis à la mise en oeuvre¶

Le protocole OpenID Connect repose sur un principe de confiance entre le fournisseur de service (Relying Party, dans notre cas le serveur EoleSSO) et un fournisseur d'identité (OpenID Provider, par exemple France Connect).

Pour mettre en place cette relation de confiance, le fournisseur de service va faire une demande d'enregistrement auprès du fournisseur d'identité. celui-ci lui enverra alors un n° de client et une clé secrète.
Le fournisseur d'identité doit également fournir un certain nombre d'URLs nécessaires à la configuration du client (un principe de configuration automatique est prévu par le protocole, mais il est rarement utilisé dans la pratique, et n'a pas été implémenté pour l'instant).

Les modalités de cet échange d'informations sont spécifiques à chaque fournisseur (voir les exemples plus loin).

variables de configuration¶

Une fois en possession des informations nécessaires, vous pouvez configurer le service eole-sso de la façon suivante (onglet eole-sso de l'interface gen_config)

• passer la variable "Autoriser l'authentification OpenID" à oui
• Ajouter un fournisseur en cliquant sur le bouton "+Référence du provider d'authentification OpenID" *

exemples de configuration¶

France Connect¶

Google¶

autres¶