Configurer ADFS comme un fournisseur d’identité de FranceConnect Agent

La plateforme FranceConnect Agent (FCA) est un système d’identification à l’initiative de la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) visant à faciliter l’accès des agents de la Fonction publique aux différents services numériques de l’administration en ligne en fonction de leur besoin et habilitations et ce, au travers de l’identifiant et des crédentités utilisés au sein de leur administration et d’un parcours utilisateur numérique unifié. A l’heure actuelle, il est courant qu’un agent ait recours pour cela à plus de six identifiants distincts…

Ce système est actuellement en cours d’expérimentation et devrait rentrer prochainement en phase pilote, une fois son homologation RGS (Référentiel Général de Sécurité) prononcée.

Cette plateforme est le pendant pour les agents des services publics de FranceConnect Particulier que chaque particulier comme vous et moi pouvons tous utiliser au quotidien, à l’image des 8 279 297 personnes « FranceConnectées », pour accéder en toute facilité à des téléservices de l’administration.

Ainsi, le système FranceConnect Agent vise à permettre à chaque agent de disposer d’un mécanisme d’identification reconnu par les téléservices de l’administration au travers du bouton FranceConnect : S’identifier avec FranceConnect.

Lors de l’accès à un tel service, le bouton permet de sélectionner une identité compatible dont l’agent disposerait déjà au travers de son administration hôte par le biais d’un fournisseur d’identité (FI) Agent compatible et reconnu et de l’utiliser dans ce contexte. FranceConnect Agent est une plateforme qui se fonde sur le standard OpenID Connect (OIDC) pour les échanges.

Il est à noter que FranceConnect Agent comporte ici une dimension supplémentaire par rapport à son corolaire Particulier, à savoir la notion d’habilitations comme illustré ci-après, grâce à laquelle un agent est autorisé ou non à accéder aux téléservices.

Source : http://etatplateforme.modernisation.gouv.fr/actualite/franceconnect-se-decline-egalement-pour-les-agents-de-la-fonction-publique

Le système FranceConnect Agent agit en tant que tiers de confiance/plateforme d’intermédiation mettant en relation les agents de cette organisation et les services et données accessibles de diverses autorités administratives. Le système FranceConnect Agent permet donc sous le contrôle de l’agent et de son consentement la fédération de comptes. L’expérience utilisateur (UX) ainsi proposée s’apparente à celle communément proposée par une application dont les comptes auraient été fédérées avec un réseau social comme Facebook, LinkedIn, etc.

La qualité de l’identité est bien évidemment tout autre. A ce propos, et au-delà des éléments et processus propres à l’établissement d’un compte utilisateur, cela suppose toutefois que le niveau d’authentification (faible, substantiel ou fort) pris en charge par le fournisseur d’identité pour le compte sélectionné soit au moins équivalent à celui imposé au niveau du service numérique accédé. Le système FranceConnect est conforme à la règlement eIDAS (Electronic Identification and Signature) proposant ainsi une interopérabilité des systèmes d’identification utilisés par les Etats membres pour accéder à leurs services en ligne. Ainsi, un autre pays de l’Union sera ainsi de facto reconnu sur ledit service numérique de l’Administration en ligne française si le système d’identification d’origine est à la fois compatible eIDAS et fédéré avec FranceConnect Agent.

Compte tenu des éléments précédents, le système FranceConnect Agent – vous l’aurez compris - constitue une composante essentielle de la stratégie d’Etat plateforme mis en œuvre par le Secrétariat Général pour la Modernisation de l’Action Publique (SGMAP) en facilitant l’accès des agents aux différents services numériques disponibles tout en renforçant la confiance de ces mêmes agents dans ces services au travers de la prise en charge reproductible et contrôlée des identités existantes compatibles de leur organisation d’appartenance. Ceci représente à n’en point douter un élément central dans les échanges de l’Administration électronique. (L’article L'administration change avec le numérique présente plus en détail cette initiative.)

Microsoft France, un contributeur à la plateforme FranceConnect Usager, avait partagé dès 2016 un Kit de démarrage FranceConnect en open source permettant de faciliter la participation à l’écosystème FranceConnect en tant que Fournisseur de service (FS), Fournisseur d’identité (FI), et/ou Fournisseur de données (FD). Ce kit disponible sur un repo GitHub est constitué dans la pratique d’un ensemble d’exemples/accélérateurs compatibles FranceConnect, prêt à l’usage, interopérable, ouvert, et évolutif. Dans la pratique, ces exemples/accélérateurs peuvent s’adapter très facilement comme socle technique à la stratégie de l’acteur public notamment en termes de portail usager ou d’interfaces informatiques (API) dans le cadre de l’Etat plateforme.

Un « OpenLab FranceConnect » organisé cette semaine par la DINSIC avec les acteurs éditeurs, intégrateurs et cabinets de conseil de l’écosystème FranceConnect a été l’occasion de partager sur un retour d’expérience en termes d’intégration (préliminaire) avec FranceConnect Agent dans le cadre de l’expérimentation en cours.

L’objectif poursuivi par cette intégration peut se résumer comme suit :

Permettre à toute entité du Secteur Public disposant d’un annuaire Active Directory (AD) pour l’authentification de ses agents d’être vue comme un fournisseur d’identité Agent compatible et reconnu par le système FranceConnect Agent (FCA)

Pour cela, des tests d’intégration ont été réalisés dans l’environnement FCA « bac à sable » (réseau Web) mis à disposition pour la circonstance avec les services de fédération Active Directory (AD FS).

ADFS est un service natif de la plateforme Windows Server 2016 et ultérieur certifié OpenID Connect (OIDC) pour les principaux profils de conformité.

Cette intégration est réalisée avec la DINSIC et le Département du Morbihan qui a conduit les tests d’intégration sur sa plateforme en place. (Nous en profitons pour les remercier).

Fruit de ces travaux, une première procédure en pas à pas décrit désormais les étapes à suivre pour configurer ADFS comme Fournisseur d’identité Agent pour la plateforme FranceConnect Agent.

Cette procédure de configuration en version préliminaire est accessible ici : https://aka.ms/adfs2016-fifca.

Nous nous félicitons de cette collaboration qui permet de contribuer, nous l’espérons, concrètement à cette dynamique en marche et d’accompagner ainsi les divers acteurs du Secteur Public comme les collectivités territoriales, les collectivités locales ou d’autres organismes de l’administration dans ce mouvement. Cette collaboration s’inscrit dans un effort plus global des acteurs éditeurs, intégrateurs et cabinets de conseil afin de faciliter l’intégration et l’adoption du système FranceConnect Agent, de son écosystème en croissance constante et de contribuer à faire au final de FranceConnect Agent une vraie proposition de valeur pour le Secteur Public et ses agents, lorsque cette plateforme sera disponible (en phase pilote).

Merci,

Philippe