Authentifications

Les différentes mécanismes d’authentifications

Une des difficultés d’intégration avec le DMP consiste à établir une connexion SSL (TLS) en authentification mutuelle avec le DMP. Contrairement aux connexions SSL classiques que nous pouvons avoir avec n’importe quel site, non seulement le DMP doit prouver son identité mais aussi le client qui s’y connecte.

Cette authentification mutuelle peut se faire de différentes manières :

Avec une carte CPS (authentification directe)
Avec un certificat P12 délivré par l’ANS (Authentification Indirecte et AIR)
Par le Proxy eSanté (authentification directe PSC)

Authentification Directe par carte CPS (CPx)

Ce mode d’authentification nécessite l’installation sur le poste client d’un lecteur de carte CPS. Le professionnel de santé doit posséder une carte CPS.

La DevBox-Santé DMP réalise cette authentification par carte CPS :

soit avec le dbx-agent en utilisant le mode authInHeader.
soit directement depuis le poste utilisateur, dans le cas où la DevBox-Santé est installé directement sur le poste client: /7.x/devbox-sante/installation/poste_client/

Authentification Directe par ProSanté-Connect (eCPS)

La DevBox-Santé DMP peut utiliser ce mode d’authentification en s’appuyant sur la DevBox-Santé eProxy. Or, si l’expérience utilisateur est simple, la mise en œuvre nécessite le référencement ANS de l’intégrateur pour rentrer dans l’Espace de Confiance.

Authentification Indirecte

La DevBox-Santé DMP s’appuie pour cela sur l’authentification certificat disponible : /7.x/devbox-sante/howtos/authentifications/#p12inheader

Ce mode d’authentification permet seulement l’alimentation dans le DMP.

Authentification Indirecte Renforcée

Pour la consultation, il faut mettre en place l’authentification indirecte renforcée ou bien le modo AIR.

Point de vue de l’intégrateur

Techniquement, il s’agit de la même authentification que l’authentification Indirecte. L’impact majeur se situe sur le jeton VIHF.

Il s’agit pour l’intégrateur de mettre en place une authentification forte des utilisateurs de l’établissement. Une fois authentifiée, l’autorisation de l’utilisateur à solliciter le système DMP doit être vérifiée par la structure de soins. Une fois autorisée l’utilisateur se connecte sur le serveur DMP avec le certificat de l’établissement et un jeton VIHF spécifique :

!theme aws-orange
!define DEVBOX_COLOR #278ef5
!define CPS_COLOR #D34A3C
!define VITALE_COLOR #5FD67A
!define DMP_COLOR #35D9C0
!define MSS_COLOR #DE5D80
!define INS_COLOR #07A2CF

!define DARK_COLOR #0073bb
hide footbox

actor "Professionnel de Santé" as utilisateur DARK_COLOR
participant "Navigateur" as navigateur DARK_COLOR
participant "Modules métiers \n\nintégrateur" as backend
participant "DevBox-Santé DMP" as dbxdmp DMP_COLOR
participant "**DMP**" as dmp DARK_COLOR

utilisateur -> navigateur : Connexion
activate utilisateur
activate navigateur
navigateur -> backend : Connexion
activate backend
note over navigateur, backend: Authentification primaire forte de l'utilisateur 
backend --> navigateur : utilisateur authentifié
deactivate backend
navigateur --> utilisateur
deactivate navigateur

utilisateur -> navigateur
activate navigateur
navigateur -> backend : accède à une foncion DMP
activate backend
backend -> dbxdmp : POST /dmp/xxx {context: {air : true, samlAuthnContext: ...}
activate dbxdmp
note over dbxdmp : Forge du jeton vihf , génération trace\n Génération requete XDS pour DMP
dbxdmp -> dmp : POST SOAP IHE/XDS
activate dmp
dmp--> dbxdmp : response <SOAP> 
deactivate dmp
dbxdmp -> backend : response {json}
deactivate dbxdmp
backend -> navigateur : response <html>
deactivate backend
navigateur --> utilisateur
deactivate navigateur
deactivate utilisateur

Point de vue de l’établissement : Auto-homologation

L’inscription dans ce mode est soumise à une auto-homologation de la part du directeur de l’établissement qui engage la responsabilité de sa structure sur le respect du référentiel d’exigences du DMP.

Description de cette auto-homologation lors du [Webinaire] Comité éditeurs Ségur à destination des éditeurs de DPI et PFI Vague 2 (18/02/2026) :

Précision Ségur

L’établissement devra ensuite contractualiser avec la CPAM (acoompagnement par ARS):

Synthèse

Celles-ci sont d’ordre organisationnel, technique et sécuritaire. Elles portent sur toute la chaîne d’authentification de l’utilisateur, depuis le processus d’enrôlement jusqu’au transport du jeton d’identification et d’habilitation (VIHF) pour l’accès au DMP. Cela passe par une authentification primaire forte de l’utilisateur.