Pourquoi un nouveau service d'authentification pour Tchap?

Matrix, le protocole de Tchap, a établi une nouvelle spécification pour l'authentification des clients et des services basé sur Oauth2 et OpenId.

Element, l'éditeur du logiciel open source sur lequel Tchap est basé, a fait évoluer son serveur Synapse et nous permet de mettre à jour nos serveurs Tchap avec ce nouveau service.

Plus d'information ici : https://element-hq.github.io/matrix-authentication-service/index.html

Les fonctionnalités de login disponibles:

• se connecter avec un mot de passe Tchap
• se connecter avec son compte Proconnect
• (à venir) se connecter avec un QR Code

Les clients Tchap compatibles :

• 🖥 Web (PWA) - 4.18.4
• 🖥 Windows - 4.18.4
• 🤖 Android - 2.20.5
• 🤖 Android X beta (nouvelle application)
• 📱 iPhone - 2.11.4
• 📱 iPhone X beta (nouvelle application)

Anomalies connues

• Les applicatifs Edge et Chrome (PWA) peuvent nécessiter une réinstallation si vous rencontrez une erreur 403.
• Vérifier que vos favoris Tchap ne se termine pas en index.html, sinon recréer votre favori avec l'adresse https://www.tchap.gouv.fr
• Les bots et scripts doivent utiliser le mxId plutôt que email pour effectuer un login (voir ci-dessous)
• Certains mails de réinitialisation de mot de passe sont classés dans les SPAM

Qu'est ce que cela change?

Pour les membres de Tchap

• migration transparente
• des procédures de login plus ergonomiques

Pour les développeurs de Bot

• les tokens d'authentification actuels restent valides
• Pour demander de nouveau token, vous devez utiliser un matrixId à la place de l'email
• Si le compte est un compte Proconnect, il faut faire une procédure de perte de mot de passe dans Tchap pour que un mot de passe soit créé coté Tchap.

curl -X POST "https://matrix.agent.YOUR_HOMESERVER.tchap.gouv.fr/_matrix/client/v3/login" \
-H "Content-Type: application/json" \
-d '{
    "type": "m.login.password",
    "password": "YOUR_PASSWORD",
    "identifier": {
        "type": "m.id.user",
        "user": "YOUR_MATRIX_ID"
    }
}'

Pour les développeurs de Tchap

• standard d'authentification OAUTH - OIDC
• standardisation des flow d'authentification basé uniquement sur des écrans web

Restrictions d'url

Cela nécessite que les clients soient à jour pour gérer les nouvelles interactions OIDC avec ce serveur et autoriser les URLs suivantes :

• auth.agent.education.tchap.gouv.fr
• auth.agent.pm.tchap.gouv.fr
• auth.agent.finances.tchap.gouv.fr
• auth.agent.collectivites.tchap.gouv.fr
• auth.agent.dev-durable.tchap.gouv.fr
• auth.agent.ssi.tchap.gouv.fr
• auth.agent.social.tchap.gouv.fr
• auth.agent.diplomatie.tchap.gouv.fr
• auth.agent.agriculture.tchap.gouv.fr
• auth.agent.tchap.gouv.fr
• auth.agent.elysee.tchap.gouv.fr
• auth.agent.culture.tchap.gouv.fr
• auth.agent.intradef.tchap.gouv.fr
• auth.agent.interieur.tchap.gouv.fr
• auth.agent.dinum.tchap.gouv.fr
• auth.agent.externe.tchap.gouv.fr
• auth.agent.justice.tchap.gouv.fr

Mis à jour le : 01/04/2026