Development #34448
FC, intégrer l'obligation de passer un niveau d'authentification dans la demande d'autorisation
0%
Description
Extrait du mail de FranceConnect:
FOUILLEN Lionel <lionel.fouillen@modernisation.gouv.fr>
....
A compter du 1er janvier 2020, 3 évolutions seront à intégrer par l’ensemble des fournisseurs de service FranceConnect :
...
2) FranceConnect vous permettra dès 2020 d’utiliser des identités de niveau de garantie substantiel et/ou élevé pour vos services plus sensibles. Vos requêtes vers FranceConnect devront donc intégrer le niveau de garantie Eidas attendu.
Le claim "acr" de la norme OpenID Connect (http://openid.net/specs/openid-connect-basic-1_0.html#RequestParameters) doit obligatoirement être renseigné lors de la demande d'authentification (appel à l'endpoint /api/v1/authorize. Il faut spécifier une valeur correspondant au niveau eIDAS utilisé parmi les suivantes :
eidas1 : niveau standard (exemple : authentification par identifiant / mot de passe)
eidas2 : niveau substantiel (exemple : second facteur. Homologué eIDAS)
eidas3 : niveau élevé (exemple : utilisation de certificats, lecteurs de cartes, ... Homologué eIDAS)
Il faudra donc par défaut et a minima ajouter un paramètre &acr_values=eidas1
à toutes nos requêtes.
Files
Associated revisions
History
Updated by Benjamin Dauvergne over 5 years ago
- File 0001-auth_fc-force-acr_values-to-eidas1-34448.patch 0001-auth_fc-force-acr_values-to-eidas1-34448.patch added
- Status changed from Nouveau to Solution proposée
- Patch proposed changed from No to Yes
Updated by Paul Marillonnet over 5 years ago
- Status changed from Solution proposée to Solution validée
Ok.
Updated by Benjamin Dauvergne over 5 years ago
- Status changed from Solution validée to Résolu (à déployer)
commit 00aae049633e4d3d0305149a6a7733fdf22c3f96 Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Tue Jul 2 23:33:22 2019 +0200 auth_fc: force acr_values to eidas1 (#34448)
Updated by Frédéric Péters over 5 years ago
- Status changed from Résolu (à déployer) to Solution déployée
auth_fc: force acr_values to eidas1 (#34448)