ETQ admin, je me connecte en 2FA en utilisant AgentConnect

[LeSim]

Rappel grosse maille : AgentConnect (AC) est une façade devant plusieurs Fournisseur d'Identité (FI), ex: Min Eco, Mon Compte Pro ...

Pour que le 2fa fonctionne sur AC, il faut que tout les FI l'implémentent.

On commence par le Fournisseur d'Identité Mon Compte Pro.

1. lors de l'appel a AC

• demander le claim amr (Authentification Method Reference), pour que AC nous indique dans sa réponse si l'agent utilise un 2FA, voir la doc.
• demander le scope idp_id afin qu'AC précise le FI utilisé

    uri = client.authorization_uri(
      scope: [:openid, :email, :given_name, :usual_name, :organizational_unit, :belonging_population, :siret, :idp_id], # Ajouter idp_id !
      state:,
      nonce:,
      acr_values: 'eidas1',
      claims: { id_token: { acr: { essential: true } } }.to_json, # rajouter les claims !
      prompt: :login # le prompt login est demandé dans la doc
    )

dans app/services/agent_connect_service.rb

3. lors de la réponse

• si l'agent utilise le FI MonComptePro (user_info.idp_id = '71144ab3-ee1a-4401-b7b3-79b44f7daeeb' (A vérifier) ) et id_token.amr indique un 2FA, on sign_in
• si l'agent n'utilise pas le FI MonComptePro et amr n'indique pas un 2fa, on redirige vers la page d'enrollement d'un 2FA : https://app-sandbox.moncomptepro.beta.gouv.fr/connection-and-account?notification=2fa_not_configured (ou app.moncomptepro... pour la prod.
• si l'agent utilise un autre FI, on fait le parcours habituel.

En attente:

• idp_id de MonComptePro (dev et prod)
• savoir ou récupérer idp_id

[rdubigny]

https://app-sandbox.moncomptepro.beta.gouv.fr/connection-and-account?notification=2fa_not_configured

je dois te transmettre le idp_id