Référence technique
Connexion SSO protocole OIDC

Connexion SSO protocole OIDC

Ce document décrit les étapes pour activer ou désactiver la connexion via votre SSO pour les agents du Département. Le SSO doit être compatible avec le protocole OpenID Connect (OIDC). À ce jour, seuls Keycloak et EntréeID ont été testés.

Configuration des variables d’environnement

Dans le fichier .env à la racine de l’application seront mises à disposition les variables d’environnement suivantes :

  • SSO_ENABLED : Permet d’activer ou désactiver l’authentification Single Sign-On (SSO).
    Valeurs possibles : 1 (activé) ou 0 (désactivé).

  • OIDC_WELL_KNOWN_URL : URL du point de terminaison de découverte OpenID Connect (OIDC).
    Cette URL fournit les métadonnées du fournisseur d’identité (IdP), telles que les endpoints d’autorisation, de token et de déconnexion.

  • OIDC_CLIENT_ID : Identifiant client attribué par le fournisseur OIDC.
    Utilisé pour authentifier l’application auprès du serveur OIDC.

  • OIDC_CLIENT_SECRET : Secret client associé à l’OIDC_CLIENT_ID.
    Utilisé pour sécuriser l’authentification et l’échange de tokens.

Procédure d’activation

Avant toute activation, vos configurations doivent d’abord être renseignées dans les variables OIDC_WELL_KNOWN_URL, OIDC_CLIENT_ID, OIDC_CLIENT_SECRET.

Pour activer la connexion SSO pour les agents, modifiez la variable SSO_ENABLED de 0 à 1.

Une fois activé, la page de connexion affichera deux méthodes d’authentification :

  • Connexion Office Notarial
  • Connexion Agent du Département

Dans le cadre d’une mise à jour de l’application, des templates seront à ajouter et à modifier.

Fonctionnement SSO

Connexion compte Notaire

La connexion des notaires reste inchangée. Leurs comptes sont créés dans la base de données de l’application et utilisent l’authentification traditionnelle.

Les comptes Admin et Agent existants dans la base de données ne pourront plus se connecter via le formulaire de connexion historique tant que le SSO est activé.

Connexion compte Agent/Admin

Les agents du département doivent utiliser la connexion SSO. Ils seront redirigés vers le fournisseur d’identité pour s’authentifier. Une fois connectés, ils seront redirigés vers l’application D&N.

Gestion des comptes existants

  • Les rôles des utilisateurs seront récupérés via le fournisseur d’identité après connexion.
  • La liaison entre un compte SSO et un compte existant dans l’application se fait par l’adresse e-mail. Il est impératif que l’email stocké dans l’infrastructure SSO corresponde à celui enregistré dans l’application.

Gestion des nouveaux comptes

  • Si un agent ne possède pas encore de compte dans l’application, un compte sera automatiquement créé en récupérant les informations du jeton utilisateur.
  • Par défaut, le rôle Agent lui sera attribué.
  • Si un compte doit avoir des privilèges administrateurs, son rôle devra être modifié manuellement dans l’interface de gestion des utilisateurs. Cette action n’est requise qu’une seule fois par compte.

Procédure de désactivation

Pour désactiver la connexion SSO pour les agents, modifiez la variable SSO_ENABLED de 1 à 0.

La connexion pour tous les comptes utilisateurs repassera à l’authentification traditionnelle.

Les agents et administrateurs devront utiliser la fonction J'ai oublié mon mot de passe pour définir un nouveau mot de passe, car celui de leur compte sur le fournisseur d’identité n’est pas enregistré dans l’application.

Instructeur·ice de territoireAlgorithme de recherche