Cette extension pour Keycloak ajoute un fournisseur d'identité permettant d'utiliser les services proposés par Pro Santé Connect.
Ce connecteur Keycloack fourni par l’ANS a pour vocation de simplifier l’intégration de Pro Santé Connect, mais n’affranchit pas le service utilisateur du bon respect du référentiel d’exigences que vous pouvez retrouver ici : https://industriels.esante.gouv.fr/produits-services/pro-sante-connect/referentiel-psc.
- Vérification de signature (basée sur le client-secret)
- Gestion du niveau d'authentification (eIDAS1) dans la demande d'autorisation
- Thèmes de connexion permettant l'affichage du bouton Pro Santé Connect (psc-theme)
- Meilleure gestion du logout (contourne https://issues.jboss.org/browse/KEYCLOAK-7209)
- La version 1.0.0 est compatible avec Keycloak
18.0.X. - La version 2.0.X est compatible avec Keycloak
21.0.X. - La version 3.0.X est compatible avec Keycloak
22.0.X. - La version 4.0.X est compatible avec Keycloak
23.0.Xet supérieur.
- Sur la machine Keycloak, déposer le jar dans le répertoire
/providers - Si le serveur Keycloak était déjà démarré, l’arrêter.
- Pour prendre en compte le nouveau connecteur, effectuer la commande suivante :
/bin/kc.sh build - Démarrer le serveur Keycloak:
/bin/kc.sh start
Vous devez créer un compte Pro Santé Connect depuis le Portail Industriel afin d’obtenir les informations nécessaires à la configuration de cette extension (clientId, clientSecret, URIs de redirection et de logout).
Il existe 2 environnements de connexion, Bac à sable et Production. La demande d'un compte permettant l'accès à n'importe quel des environnements s'effectue par email au service support de Pro Santé Connect.
Se connecter à la console d’administration.
La connexion à Pro Santé Connect pourra être définie comme suit – dans l’onglet « Identity Providers », sélectionner « Add Provider » et choisir « Pro Sante Connect » dans la liste déroulante.
Dans l’écran ci-dessous, il est nécessaire de remplir le client id et client secret de ce serveur keycloak tels qu’enregistrés chez Pro Sante Connect. Il est nécessaire d’enregistrer deux Redirect URIs chez Pro Sante Connect. Dans notre exemple :
- https://keycloak.henix.asipsante.fr/realms/master/broker/psc/endpoint (Celle renseignée dans le champ grisé « Redirect URI »)
- https://keycloak.henix.asipsante.fr/realms/master/broker/psc/endpoint/logout_response
Des champs supplémentaires sont disponibles une fois le provider créé :
A noter que l'environnement Pro Santé Connect par défaut est celui de production. Pour pouvoir utiliser l'environnement bac à sable, il est nécessaire de valoriser la variable d'environnement suivante : PROSANTECONNECT_BACASABLE=1
Déclarer l’application cliente auprès du serveur keycloak comme suit :
Le Client ID doit correspondre à celui défini dans la configuration de l’application cliente, par exemple au niveau de la directive suivante :
OIDCClientID tryecps
Il est ensuite possible d'activer l'authentification, comme suit :
Il est obligatoire de déclarer les redirect URIs exactement comme définis au niveau de l’application cliente, comme au niveau de la directive suivante (dans cet exemple, le wildcard * est utilisable) :
OIDCRedirectURI https://tryecps.henix.asipsante.fr/oidc/redirect
Le secret généré ici par Keycloak doit être renseigné auprès de l’application cliente, par exemple au niveau de la directive suivante :
OIDCClientSecret zjYDwYCqtSjseVHTGdLBi4FLiTWXogsQ
Cette extension fournit un thème : psc
Il y a deux moyens de définir le thème :
-
Au niveau du serveur Keycloak:
-
Au niveau de l'application cliente:
La page de login de Keycloak ressemblera alors à ça:
Que faire si le build échoue avec le message ' Some files do not have the expected license header.' ?
-
Exécuter la commande maven suivante :
mvnw initialize license:format -
Vérifier les modifications et committer
Le time-span des copyright est calculé automatiquement. Par conséquent, au premier build de l'année une moise à jour des en-têtes est demandée.