Le tronc commun
Les classes d'objet
La description des personnes dans l'annuaire se base sur les classes suivantes :
- la classe structurelle inetOrgPerson;
- la classe auxiliaire eduPerson;
- la classe auxiliaire supannPerson.
Seule une partie des attributs définis par inetOrgPerson et eduPerson est utilisée.
Les identifiants de personnes
Les préconisations concernant les identifiants ont été significativement revues dans l'édition 2018 de SupAnn, afin de mieux se conformer aux recommandations d'Internet2 (eduPerson) et aux usages communément établis. Veuillez lire attentivement les remarques ci-dessous, ainsi que les définitions des attributs correspondants.
Les recommandations SupAnn définissent plusieurs attributs candidats à être utilisés comme identifiant de personne. Ils ont des caractéristiques différentes qui doivent permettre de choisir l'identifiant le plus adapté à chaque besoin.
- uid (userid) : identifiant de connexion aux systèmes informatiques, à portée locale (établissement). Constitue le RDN des objets de type Personne. Largement utilisé dans de nombreux systèmes et applications comme identifiant utilisateur principal, il souffre d'un amalgame historique entre ses usages d'identifiant de référence (qui devrait être opaque et immuable), et d'identifiant de connexion (mnémonique donc non-opaque, potentiellement modifiable). Il est désormais recommandé de réserver cet identifiant aux usages historiques ou pouvant s'accommoder de modifications occasionnelles.
- eduPersonPrincipalName : identifiant de personne à portée globale. Pour ce faire il est constitué de deux partie, séparée par le caractère “@”. La partie gauche doit être unique pour un établissement donné ; la partie droite qualifie l'établissement via son domaine DNS. Très utilisé dans le domaine de la fédération d'identités comme identifiant utilisateur de référence, il souffre du même problème de manque d'opacité et de stabilité que l'uid (SupAnn préconise d'ailleurs d'utiliser l'uid comme valeur de sa partie gauche). Il est désormais recommandé de n'y faire appel qu'en second choix en absence du eduPersonUniqueId, ou pour des usages de type identifiant de connexion (userPrincipalName ActiveDirectory par exemple).
- eduPersonUniqueId : identifiant expressément opaque à portée globale. Une alternative au eduPersonPrincipalName, offrant de meilleures garanties d'opacité, de stabilité et de non-réattribution. Cet attribut est recommandé lorsqu'un identifiant de référence global immuable est demandé, notamment dans le cadre de la fédération.
- supannAliasLogin : identifiant de connexion (chaîne de caractères mnémonique, saisie par l'utilisateur pour s'authentifier, associée au mot de passe), à portée locale. Sa valeur par défaut est celle de l'uid; il est modifiable et réattribuable. Recommandé pour tous les usages d'authentification. En aucun cas cet attribut ne doit être considéré comme un identifiant de référence. Le système d'authentification doit “traduire” dynamiquement cet identifiant de connexion en recherchant dans l'annuaire l'identifiant de référence correspondant (eduPersonUniqueId par exemple), ce dernier étant transmis à l'applicatif pour référencer l'utilisateur.
- mail : l'adresse email est souvent utilisée pour faire référence à un utilisateur, notamment parce qu'il est le seul identifiant facilement utilisable pour faire référence à un tiers. Cependant cet attribut ne satisfait pas à deux caractéristiques d'un bon identifiant : il n'est ni stable ni pérenne. En effet, l'adresse email d'une personne peut changer suite à un mariage ou un divorce ; la pérennité n'est généralement garantie que durant une courte période au-delà de laquelle une adresse email peut être réassignée à une autre personne. Il est conseillé de n'utiliser l'adresse email comme identifiant qu'en dernier choix.
- Dans les contextes de fédération d'identité (Education/Recherche, FranceConnect), il peut être fait appel à des identifiants ciblés, opaques, dont la valeur dépend du couple fournisseur d'identité / fournisseur de service (voir: eduPersonTargetedID, supannFCSub). Ces attributs garantissent l'étanchéité des SI (absence de croisements possibles). Leur usage devra être privilégié dans toutes les situations où les responsabilités des SI sont clairement distinctes.
- Selon les environnements techniques, d'autres identifiants plus spécifiques sont également disponibles (uidNumber POSIX, objectSid ActiveDirectory, identifiants locaux dans les bases de données d'applications…). Lorsque aucun attribut LDAP dédié n'est prévu pour les accueillir, il est possible de faire appel au supannRefId pour les stocker dans l'annuaire et maintenir de cette manière les références croisées avec les applications concernées.
Liste des attributs du «profil commun»
Cette partie précise l'ensemble des attributs considérés comme communs à toutes les entrées de personnes (étudiants, personnels, etc.). Une définition plus complète de ces attributs se trouvent dans Liste des attributs.
Nom de l'attribut | utilisation |
---|---|
Etat-civil, identité | |
cn (commonName) | “Nom Prenom” sans caractère diacritique |
displayName | “Prénom Nom” avec caractères diacritiques |
eduPersonNickname | Surnom ou pseudonyme |
givenName (gn) | Prénom |
sn (surname) | Nom d'usage (avec caractères diacritiques) |
supannCivilite | Civilité (Mme, M.) |
supannCodeINSEEPaysDeNaissance | Pays de naissance (code INSEE) |
supannCodeINSEEVilleDeNaissance | Commune de naissance (code INSEE) |
supannNomDeNaissance | Nom de famille de naissance |
supannOIDCDateDeNaissance | Date de naissance |
supannOIDCGenre | Genre (female, male, other) |
supannPrenomsEtatCivil | Prénoms de l'état-civil |
title | Titre (Docteur, Professeur, …) |
Coordonnées, moyens de contact | |
facsimileTelephoneNumber (fax) | Numéro de télécopie |
labeledURI | URL de page web personnelle |
Adresse électronique institutionnelle principale | |
mobile | Numéro de téléphone mobile |
postalAddress | Adresse postale |
supannAutreMail | Adresses de courrier électronique autres que l'adresse principale |
supannAutreTelephone | Numéro(s) de téléphone alternatif(s) |
telephoneNumber | Numéro de téléphone principal |
Préférences, données personnelles | |
homePostalAddress | Adresse postale de domicile de la personne |
homePhone | Numéro de téléphone de domicile de la personne |
mailForwardingAddress | Adresse de renvoi de courrier électronique reçu à l'adresse institutionnelle |
preferredLanguage | Langue usuelle |
supannAdressePostalePrivee | Adresses postales privées de l'utilisateur |
supannConsentement | Consentements de l'utilisateur |
supannListeRouge | Précise la volonté de la personne d'être ou non sur liste rouge |
supannMailPerso | Adresse électronique privée |
supannMailPrive | Adresses courriel privées de l'utilisateur |
supannTelephonePrive | Numéros de téléphone privés de l'utilisateur |
Identifiants | |
eduPersonPrincipalName | Identifiant unique global |
eduPersonPrincipalNamePrior | Historique des valeurs du eduPersonPrincipalName (en cas de modification) |
eduPersonTargetedID | Identifiant unique ciblé |
eduPersonUniqueId | Identifiant unique global, opaque et immuable |
supannAliasLogin | Identifiant de connexion |
supannFCSub | Identifiant ciblé France Connect |
supannRefId | Références croisées avec d'autres identifiants du SI |
uid (userid) | identifiant unique local |
Crédentiels d'authentification | |
userCertificate | Certificat X509 |
userPassword | Mot de passe |
Statut et activité dans l'établissement | |
eduPersonAffiliation | Statut de la personne: étudiant, administratif/technique, enseignant, chercheur, etc. |
eduPersonPrimaryAffiliation | Le statut de la personne considéré comme principal |
supannEntiteAffectation | Affectations de la personne dans une entité, une composante, un service, etc. L'interopérabilité des applications est basée sur supannEntiteAffectation, eduPersonOrgUnitDN pouvant être utilisés en interne. |
eduPersonOrgUnitDN | |
supannEntiteAffectationPrincipale | représentent l'affectation principale de la personne dans l'établissement (composante, service, etc.). L'interopérabilité des applications est basée sur supannEntiteAffectationPrincipale, eduPersonPrimaryOrgUnitDN pouvant être utilisé en interne. |
eduPersonPrimaryOrgUnitDN | |
supannEtablissement | Établissement de rattachement administratif de la personne |
eduPersonOrgDN | |
supannParrainDN | Responsable (parrain) de la personne |
supannTypeEntiteAffectation | type de la structure d'affectation d'une personne |
État et validité du compte et des ressources | |
supannRessourceEtat | État courant du compte ou des ressources allouées à la personne |
supannRessourceEtatDate | Etat courant avec date de fin de validité du compte ou des ressources allouées à la personne |