Development #34448
FC, intégrer l'obligation de passer un niveau d'authentification dans la demande d'autorisation
0%
Description
Extrait du mail de FranceConnect:
FOUILLEN Lionel <lionel.fouillen@modernisation.gouv.fr>
....
A compter du 1er janvier 2020, 3 évolutions seront à intégrer par l’ensemble des fournisseurs de service FranceConnect :
...
2) FranceConnect vous permettra dès 2020 d’utiliser des identités de niveau de garantie substantiel et/ou élevé pour vos services plus sensibles. Vos requêtes vers FranceConnect devront donc intégrer le niveau de garantie Eidas attendu.
Le claim "acr" de la norme OpenID Connect (http://openid.net/specs/openid-connect-basic-1_0.html#RequestParameters) doit obligatoirement être renseigné lors de la demande d'authentification (appel à l'endpoint /api/v1/authorize. Il faut spécifier une valeur correspondant au niveau eIDAS utilisé parmi les suivantes :
eidas1 : niveau standard (exemple : authentification par identifiant / mot de passe)
eidas2 : niveau substantiel (exemple : second facteur. Homologué eIDAS)
eidas3 : niveau élevé (exemple : utilisation de certificats, lecteurs de cartes, ... Homologué eIDAS)
Il faudra donc par défaut et a minima ajouter un paramètre &acr_values=eidas1
à toutes nos requêtes.
Fichiers
Révisions associées
Historique
Mis à jour par Benjamin Dauvergne il y a presque 5 ans
- Fichier 0001-auth_fc-force-acr_values-to-eidas1-34448.patch 0001-auth_fc-force-acr_values-to-eidas1-34448.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Benjamin Dauvergne il y a presque 5 ans
Mis à jour par Paul Marillonnet il y a presque 5 ans
- Statut changé de Solution proposée à Solution validée
Ok.
Mis à jour par Benjamin Dauvergne il y a presque 5 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit 00aae049633e4d3d0305149a6a7733fdf22c3f96 Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Tue Jul 2 23:33:22 2019 +0200 auth_fc: force acr_values to eidas1 (#34448)
Mis à jour par Frédéric Péters il y a presque 5 ans
- Statut changé de Résolu (à déployer) à Solution déployée
auth_fc: force acr_values to eidas1 (#34448)