Agent Connect - OpenId Connect authentification

[odelcroi]

Why - Business Value

• Donner un accès facile aux users sans nécessairement se créer un compte sur Tchap, ni vérifier leur email
• Permettre aux users de se connecter à Tchap sans saisie de mot de passe (SSO) s'ils sont déjà connecté à Agent Connect

What

Catégorie de users

Le user qui se connecte avec AC ne possède pas de mot de passe Tchap. Il faut traiter cette nouvelle catégorie de user dans certaines User Stories existantes.

Tchap ne distingue pas un user qui se connecte via Agent Connect sur son Fournisseur d'identité ministériel ou sur MonComptePro. La réconcialiation des données se fait sur l'adresse email.

• 👨‍🚀 user legacy : user enregistré dans Tchap avec un mot de passe Tchap
• 👩‍⚕️ user ac : user enregistré dans Tchap mot de passe Tchap
• 🧍‍♂️ new user : personne non enregistré dans Tchap

User Stories

en gras les nouvelles User Stories à déployer

🏷️ register

• P1 : etq new user, je veux me connecter à Tchap par AC
• etq new user, je veux créer un compte Tchap avec le formulaire Tchap

🔑 login

• P1 : etq user de Tchap, je veux me connecter par AC
• P2 : etq user ac, je veux me connecter avec le mdp Tchap (-> reset password)
• etq user legacy, je veux me connecter avec le mdp Tchap

🔒 action "doublement authentifiée" UIA

• P1 : etq user ac, je veux réaliser une action dans Tchap nécessitant d'entrer un mot de passe
• etq user legacy, je veux réaliser une action dans Tchap nécessitant d'entrer un mot de passe (déconnecter un appareil)

🗝️ reset password

• P2 : etq user ac, je veux changer mon mot de passe Tchap
• etq user legacy, je veux changer mon mot de passe Tchap

⏮️ logout

• P3 : etq user ac, je veux me déconnecter de Tchap
• etq user legacy, je veux me déconnecter de Tchap

🔀 changer de compte

• P3 : etq user ac, je veux me connecter à Tchap avec un autre compte sur le même appareil
• etq user legacy, je veux me connecter à Tchap avec un autre compte sur le même appareil

How

Stratégie de déploiement

progressive par homeserveur (à définir)

• dinum
• mte
• finance est sur le RIE, ce n'est pas le meilleur candidat

client :

• 1/ web + mobile legacy
• 2/ tchap X
  warning : tchap X n'aura pas de login par mdp Tchap -> en discussion

A etudier

Beta Give feedback

1. Creuser le sujet FI accessible seulement via le RIE (ça veut dire que pas AC sur tel perso) #362
   P1 a-agentconnect +2
   
2. https://github.com/tchapgouv/tchap-infra/pull/2527
3. https://github.com/tchapgouv/tchap-design/issues/5
4. étudier la nécessité d'installer le Matrix Authentication Service : https://matrix-org.github.io/matrix-authentication-service/development/architecture.html : -> pas nécessaire
5. AC : Enlever la possibilité de modifier le mot de passe Tchap #394
   P3 a-agentconnect +2
6. Questions en tout genre : https://pad.numerique.gouv.fr/fitSitElStGFk47zpl5FMQ?edit
7. Comment suivre les statistiques d'usage de connection par Agent Connect sur Tchap
8. implémenter le login_hint coté client
9. Study : que se passe-t-il si le user utilise MonComptePro en parallele de son FI officiel #397
   a-agentconnect +1
10. https://github.com/tchapgouv/tchap-backend/issues/58

Milestone 1

Beta Give feedback

1. Login avec AgentConnect : ne montrer le bouton "continuer avec Agent Connect" qu'une fois l'email saisi #386
   2 of 3
   P1 a-agentconnect enhancement web +4
2. Alors que je suis connecté via Agent Connect, je veux réaliser une action (UIA) authentifiée par mot de passe #392
   0 of 2
   P1 a-agentconnect +2
3. Alors que je n'ai pas de compte Tchap, je veux me connecter par Agent Connect #391
   P1 a-agentconnect +2
4. Agentconnect : La redirection vers le mobile depuis MCP ne fonctionne pas #403
   a-agentconnect +1
   
5. https://github.com/tchapgouv/tchap-infra/issues/3074
6. https://github.com/tchapgouv/tchap-infra/issues/3002
7. migrer synapse à 1.108+

Preproduction

Beta Give feedback

1. Demander les secret pour la PREPROD pour chaque Homeserveur
2. https://github.com/tchapgouv/tchap-infra/issues/3072

Production

Beta Give feedback

1. les secret pour la PRODUCTION pour chaque Homeserveur sont dans vaultwarden

D'où viennent les users de Agent Connect ?

(sur 6 mois, https://agentconnect.gouv.fr/stats)

• Finances : 45%
• Générique (monComptePro) : 30%
• MTE : 14%
• Interieur : 5%
• 5% : Autre
  L'education nationale va raccorder son SSO à ProConnect d'ici fin 2024

Pour se connecter à quoi ?

Portail des applications interministérielles RH : 39,39%

• DINUM - RESANA : 26,64%
• OSMOSE : 10,15%
• WebConf de l'État : 6,97%
• Annuaire des entreprises : 3,51%
• demarches-simplifiees.fr : 3,35%

Sur quel appareil ?

• Mobile 50%
• Web 50%

Par quel réseau ?

Internet 66,7%
RIE 33%

[MatMaul]

Expérimentation en cours sur dev01.
La partie simple est faite, on peut passer l'étape agent connect.

Il reste la partie compliquée, le mapping et la gestion des 3pid email, et tester tous les cas un peu bizarres, comme les comptes désactivées.

Branche de synapse à utiliser : https://github.com/tchapgouv/synapse/tree/oidc-extra-grant

Conf à rajouter dans synapse :

oidc_providers:
  - idp_id: agent_connect
    idp_name: "Agent Connect"
    discover: true
    issuer: https://fca.integ01.dev-agentconnect.fr/api/v2/
    client_id: ***
    client_secret: ***
    enable_registration: true
    client_auth_method: client_secret_post
    scopes: ["openid", "profile", "email", "acr"]
    pkce_method: never
    allow_existing_users: true
    extra_grant_values:
      acr_values: eidas1

[yostyle]

Pour afficher l'option agent connect dans les clients on doit fournir l'url du homeserver.
Cependant on a besoin d'obtenir l'url du homeserver à partir de l'email.

[MatMaul]

Le mapping et la gestion des comptes désactivés est fonctionnel.

Bugs connus restants:

• le 3pid mail n'est pas associé au compte quand il est créé à partir d'une session SSO
• display name non fonctionnel

[MatMaul]

element-hq/synapse#16971
element-hq/synapse#16972
element-hq/synapse#16974

Il manque un dernier changement à envoyer.

[julie-ri]

est-ce qu'on veut que les users aient un compte par défaut sans avoir à le créer s'ils sont sur AC ?

[julie-ri]

@MatMaul dans ton poc dans la dev tu as pris en compte le sub universel ?

[MatMaul]

Ça n'a pas d'impact de notre côté pour la v1, la réconciliation se fait sur l'adresse email.

[julie-ri]

AC va forcer le 2FA avec MonComptePro. Et demander aux FI d'etre aussi en 2FA mais on ne peut pas les forcer. Si le FS demande un 2 FA alors soit AC dira au user du FI , tu ne peux pas y acceder soit le user passera par Moncompte Pro

[julie-ri]

c'est bon pour la dev ? vu que je vois le bouton agentconnect
Pour passer en preprod et prod c'est dependant de l'upgrade synapse @MatMaul ?

[julie-ri]

AGentConnect devient Proconnect : https://pad.numerique.gouv.fr/p/QylmZQWC5#/2