Ajoute une connexion via ProConnect

app/actions/LoginAction.scala

@@ -38,7 +38,11 @@ object LoginAction {
     )
 
   def signupSessionKeys: List[String] =
-    List(Keys.Session.signupId, Keys.Session.signupLoginExpiresAt)
+    List(
+      Keys.Session.signupId,
+      Keys.Session.signupLoginExpiresAt,
+      Keys.Session.signupProConnectSubject
+    )
 
 }
 

app/controllers/SignupController.scala

@@ -139,10 +139,11 @@ case class SignupController @Inject() (
                     LoginAction.readUserRights(user).flatMap { userRights =>
                       (
                         for {
+                          loginType <- maybeLinkUserToProConnectClaims(user.id, request)
                           userSession <- userService
                             .createNewUserSession(
                               user.id,
-                              UserSession.LoginType.MagicLink,
+                              loginType,
                               loginExpiresAt,
                               request.remoteAddress,
                               request.headers.get(USER_AGENT),
@@ -328,6 +329,18 @@ case class SignupController @Inject() (
         )
       )
 
+  private def maybeLinkUserToProConnectClaims(
+      userId: UUID,
+      request: Request[_]
+  ): EitherT[IO, Error, UserSession.LoginType] =
+    request.session.get(Keys.Session.signupProConnectSubject) match {
+      case None => EitherT.rightT[IO, Error](UserSession.LoginType.MagicLink)
+      case Some(subject) =>
+        EitherT(
+          userService.linkUserToProConnectClaims(userId, subject)
+        ).map(_ => UserSession.LoginType.ProConnect)
+    }
+
   /** Note: parameter is curried to easily mark `Request` as implicit. */
   private def withSignupInSession(
       action: Request[_] => (SignupRequest, Instant) => Future[Result]
@@ -395,10 +408,14 @@ case class SignupController @Inject() (
                           // (this case happen if the signup session has not been purged after user creation)
                           (
                             for {
+                              loginType <- maybeLinkUserToProConnectClaims(
+                                existingUser.id,
+                                request
+                              )
                               userSession <- userService
                                 .createNewUserSession(
                                   existingUser.id,
-                                  UserSession.LoginType.MagicLink,
+                                  loginType,
                                   loginExpiresAt,
                                   request.remoteAddress,
                                   request.headers.get(USER_AGENT),

app/models/EventType.scala

@@ -114,7 +114,6 @@ object EventType {
   object ReopenUnauthorized extends Warn
   object TerminateUnauthorized extends Warn
   object ToCGURedirected extends Info
-  object UserAccessDisabled extends Info
   object UserCreated extends Info
   object UserDeleted extends Info
   object UserEdited extends Info
@@ -194,6 +193,7 @@ object EventType {
   object AuthWithDifferentIp extends Warn
   object LoginByKey extends Info
   object AuthBySignupToken extends Info
+  object UserAccessDisabled extends Info
   object LoggedInUserAccountDeleted extends Warn
   object UserSessionError extends Error
   object PasswordPageShowed extends Info
@@ -228,6 +228,16 @@ object EventType {
   object FSMatriculeError extends Error
   object FSMatriculeChanged extends Info
 
+  // ProConnect
+  object ProConnectSecurityWarning extends Warn
+  object ProConnectError extends Error
+  object ProConnectUpdateProviderConfiguration extends Info
+  object ProConnectUserLoginSuccessful extends Info
+  object ProConnectSignupLoginSuccessful extends Info
+  object ProConnectLoginDeactivatedUser extends Error
+  object ProConnectUnknownEmail extends Warn
+  object ProConnectClaimsSaveError extends Error
+
   val unauthenticatedEvents: List[EventType] = List(
     GenerateToken,
     ExpiredToken,

app/models/ProConnectClaims.scala

@@ -0,0 +1,29 @@
+package models
+
+import java.time.Instant
+import java.util.UUID
+
+/** https://github.com/numerique-gouv/proconnect-documentation/blob/main/doc_fs/donnees_fournies.md#le-champ-sub
+  *
+  * ProConnect transmet systématiquement au Fournisseur de Services un identifiant unique pour
+  * chaque agent (le sub) : cet identifiant est spécifique à chaque Fournisseur d'Identité. Il est
+  * recommandé de l'utiliser pour effectuer la réconciliation d'identité.
+  *
+  * Le code est basé sur l'ancienne documentation :
+  *
+  * AgentConnect transmet systématiquement au Fournisseur de Services un identifiant unique pour
+  * chaque agent (le sub) : cet identifiant est spécifique à chaque couple Fournisseur de Services /
+  * Fournisseur d'Identité. Il ne peut donc pas être utilisé pour faire de la réconciliation
+  * d'identité : nous vous recommandons l'utilisation de l'email professionnel pour cet usage.
+  */
+case class ProConnectClaims(
+    subject: String,
+    email: String,
+    givenName: Option[String],
+    usualName: Option[String],
+    uid: Option[String],
+    siret: Option[String],
+    creationDate: Instant,
+    lastAuthTime: Option[Instant],
+    userId: Option[UUID]
+)

app/models/UserSession.scala

@@ -8,8 +8,9 @@ object UserSession {
   sealed abstract trait LoginType
 
   object LoginType {
-    case object MagicLink extends LoginType
+    case object ProConnect extends LoginType
     case object InsecureDemoKey extends LoginType
+    case object MagicLink extends LoginType
     case object Password extends LoginType
   }
 

app/modules/AppConfig.scala

@@ -4,7 +4,7 @@ import com.typesafe.config.{Config, ConfigFactory}
 import helper.{Crypto, UUIDHelper}
 import java.util.UUID
 import javax.inject.{Inject, Singleton}
-import play.api.Configuration
+import play.api.{ConfigLoader, Configuration}
 import scala.concurrent.duration._
 
 // Wraps `configuration: play.api.Configuration`.
@@ -151,4 +151,40 @@ class AppConfig @Inject() (configuration: Configuration) {
       .flatMap(UUIDHelper.fromString)
       .toSet
 
+  val featureProConnectEnabled: Boolean =
+    configuration.get[Boolean]("app.features.proConnectEnabled")
+
+  def proConnectConfig[A: ConfigLoader](key: String, defaultIfDisabled: => A): A =
+    configuration
+      .getOptional[A](key)
+      .getOrElse(
+        if (featureProConnectEnabled)
+          throw new Exception(s"Missing ProConnect configuration key $key")
+        else defaultIfDisabled
+      )
+
+  val proConnectIssuerUri: String =
+    proConnectConfig[String]("app.proConnect.issuerUri", "")
+
+  val proConnectMinimumDurationBetweenDiscoveryCalls: FiniteDuration =
+    proConnectConfig[Int](
+      "app.proConnect.minimumDurationBetweenDiscoveryCallsInSeconds",
+      10
+    ).seconds
+
+  val proConnectClientId: String =
+    proConnectConfig[String]("app.proConnect.clientId", "")
+
+  val proConnectClientSecret: String =
+    proConnectConfig[String]("app.proConnect.clientSecret", "")
+
+  val proConnectRedirectUri: String =
+    proConnectConfig[String]("app.proConnect.redirectUri", "")
+
+  val proConnectPostLogoutRedirectUri: String =
+    proConnectConfig[String]("app.proConnect.postLogoutRedirectUri", "")
+
+  val proConnectSigningAlgorithm: String =
+    proConnectConfig[String]("app.proConnect.signingAlgorithm", "")
+
 }

app/serializers/Keys.scala

@@ -33,6 +33,7 @@ object Keys {
     val signupId: String = "signupId"
     val sessionId: String = "sessionId"
     val signupLoginExpiresAt: String = "signupLoginExpiresAt"
+    val signupProConnectSubject: String = "signupProConnectSubject"
     val passwordEmail: String = "passwordEmail"
   }