Authentification via ProConnect
Nouveau en version 1.14.0
Il est possible de mettre en place une authentification via ProConnect sur Sites Faciles. Cela permet de créer facilement des comptes utilisateurs, notamment pour des sites contenant de nombreuses pages privées.
Demande d’accès
Pour pouvoir utiliser ProConnect, il faut d’abord faire une demande d’accès via un formulaire sur Démarches Simplifiées : voir à ce sujet la documentation de ProConnect.
Pour certains champs, il faut entrer des valeurs spécifiques :
- « Réseau(x) du Fournisseur de Services » : seul Internet est supporté actuellement
- « URLs de redirection de connexion (Internet) » : l’adresse doit être https://<domaine-du-site>.gouv.fr/oidc/callback/
- « URLs de redirection de déconnexion Internet » : l’adresse doit être https://<domaine-du-site>.gouv.fr/oidc/logout-callback/
- Pour les deux champs précédents, il est uniquement possible d’indiquer des domaines de développement (par exemple « http://sites-faciles.localhost:8000/oidc/callback/ ») l'environnement « Intégration » a été choisi.
Configuration
Pour cela, la variable d’environnement PROCONNECT_ACTIVATED doit valoir True (sa valeur par défaut est False.)
D’autres variables d’environnement doivent également être incluses, notamment :
PROCONNECT_DOMAIN: doit contenir le nom de domaine par lequel se fait la connexion (cf. documentation de ProConnect.)PROCONNECT_CLIENT_IDetPROCONNECT_CLIENT_SECRET: ce sont les identifiants qui doivent être fournis par ProConnect pour le site. (cf. documentation de ProConnect.)
Il est également possible de configurer d’autres variables optionnelles :
PROCONNECT_CREATE_USER: autoriser la création de compte utilisateur via ProConnect (par défautTrue)PROCONNECT_SCOPES: les variables à récupérer depuis ProConnect. Il faut demander l’autorisation à ProConnect pour récupérer certains scopesPROCONNECT_SIGN_ALGO: l’algorithme de signature internet (doit correspondre à celui indiqué dans le formulaire de demande à ProConnect.)
Filtrage des comptes utilisateurs
Par défaut, ProConnect permet à toute personne disposant d’une adresse email rattachée à un SIRET de créer un compte. Il est possible (et probablement souhaitable) de restreindre cela plus avant, par exemple pour n'autoriser que les agents publics.
Actuellement, deux filtres sont proposés sur Sites Faciles :
email_domain_basic_whitelist: il s’agit plus d’un exemple que d’une méthode destinée à l’utilisation réelle. Elle autorise la création de comptes si l’adresse email se termine par «.gouv.fr».email_domain_db_whitelist: ce filtre autorise la création d’un compte si le domaine est inclus dans une liste blanche, située dans le panneau d’administration de Sites Faciles dans ProConnect > Domaines email en liste blanche. Une commande est fournie pour pré-remplir cette liste pour les domaines de la Fonction publique d'État (cf. ci-dessous.)
Pour paramétrer un de ces filtres, il faut le définir via la variable d’environnement PROCONNECT_USER_CREATION_FILTER en utilisant son chemin complet, comme ceci :
PROCONNECT_USER_CREATION_FILTER="proconnect.utils.email_domain_db_whitelist"
Ajout de nouvelles méthodes de filtrage
Si vous avez besoin d’une autre méthode de filtrage des comptes utilisateurs, n’hésitez pas à contacter l’équipe. Nous en étudierons ensemble la faisabilité.
Pré-remplissage de la liste blanche de domaines
La DINUM maintient une liste blanche des domaines de la fonction publique d’État. Elle est disponible via une API accessible à l’adresse https://domaines-lasuite.numerique.gouv.fr/help.html et nous avons intégré une commande pour permettre son intégration.
La clef d’API doit être renseignée dans la variable d’environnement LASUITE_DOMAINE_API_KEY.
La commande à passer (en ligne de commande) est make import_domain_whitelist.