Cette extension pour Keycloak ajoute un fournisseur d'identité permettant d'utiliser les services proposés par Pro Santé Connect.

Ce connecteur Keycloack fourni par l’ANS a pour vocation de simplifier l’intégration de Pro Santé Connect, mais n’affranchit pas le service utilisateur du bon respect du référentiel d’exigences que vous pouvez retrouver ici : https://industriels.esante.gouv.fr/produits-services/pro-sante-connect/referentiel-psc.

• Vérification de signature (basée sur le client-secret)
• Gestion du niveau d'authentification (eIDAS1) dans la demande d'autorisation
• Thèmes de connexion permettant l'affichage du bouton Pro Santé Connect (psc-theme)
• Meilleure gestion du logout (contourne https://issues.jboss.org/browse/KEYCLOAK-7209)

• La version 1.0.0 est compatible avec Keycloak 18.0.X.
• La version 2.0.X est compatible avec Keycloak 21.0.X et supérieur.

• Sur la machine Keycloak, déposer le jar dans le répertoire /providers
• Si le serveur Keycloak était déjà démarré, l’arrêter.
• Pour prendre en compte le nouveau connecteur, effectuer la commande suivante : /bin/kc.sh build
• Démarrer le serveur Keycloak: /bin/kc.sh start

Vous devez créer un compte Pro Santé Connect depuis le Portail Industriel afin d’obtenir les informations nécessaires à la configuration de cette extension (clientId, clientSecret, URIs de redirection et de logout).

Il existe 2 environnements de connexion, Bac à sable et Production. La demande d'un compte permettant l'accès à n'importe quel des environnements s'effectue par email au service support de Pro Santé Connect.

Se connecter à la console d’administration.

La connexion à Pro Santé Connect pourra être définie comme suit – dans l’onglet « Identity Providers », sélectionner « Add Provider » et choisir « Pro Sante Connect » dans la liste déroulante.

Dans l’écran ci-dessous, il est nécessaire de remplir le client id et client secret de ce serveur keycloak tels qu’enregistrés chez Pro Sante Connect. Il est nécessaire d’enregistrer deux Redirect URIs chez Pro Sante Connect. Dans notre exemple :

• https://keycloak.henix.asipsante.fr/realms/master/broker/psc/endpoint (Celle renseignée dans le champ grisé « Redirect URI »)
• https://keycloak.henix.asipsante.fr/realms/master/broker/psc/endpoint/logout_response

Des champs supplémentaires sont disponibles une fois le provider créé :

A noter que l'environnement Pro Santé Connect par défaut est celui de production. Pour pouvoir utiliser l'environnement bac à sable, il est nécessaire de valoriser la variable d'environnement suivante : PROSANTECONNECT_BACASABLE=1

Déclarer l’application cliente auprès du serveur keycloak comme suit :

Le Client ID doit correspondre à celui défini dans la configuration de l’application cliente, par exemple au niveau de la directive suivante :
OIDCClientID tryecps

Il est ensuite possible d'activer l'authentification, comme suit :

Il est obligatoire de déclarer les redirect URIs exactement comme définis au niveau de l’application cliente, comme au niveau de la directive suivante (dans cet exemple, le wildcard * est utilisable) :
OIDCRedirectURI https://tryecps.henix.asipsante.fr/oidc/redirect

Le secret généré ici par Keycloak doit être renseigné auprès de l’application cliente, par exemple au niveau de la directive suivante :
OIDCClientSecret zjYDwYCqtSjseVHTGdLBi4FLiTWXogsQ

Cette extension fournit un thème : psc

Il y a deux moyens de définir le thème :

• Au niveau du serveur Keycloak:

• Au niveau de l'application cliente:

La page de login de Keycloak ressemblera alors à ça: