Le tronc commun

Les classes d'objet

La description des personnes dans l'annuaire se base sur les classes suivantes :

Seule une partie des attributs définis par inetOrgPerson et eduPerson est utilisée.

Les identifiants de personnes

Les préconisations concernant les identifiants ont été significativement revues dans l'édition 2018 de SupAnn, afin de mieux se conformer aux recommandations d'Internet2 (eduPerson) et aux usages communément établis. Veuillez lire attentivement les remarques ci-dessous, ainsi que les définitions des attributs correspondants.

Les recommandations SupAnn définissent plusieurs attributs candidats à être utilisés comme identifiant de personne. Ils ont des caractéristiques différentes qui doivent permettre de choisir l'identifiant le plus adapté à chaque besoin.

  • uid (userid) : identifiant de connexion aux systèmes informatiques, à portée locale (établissement). Constitue le RDN des objets de type Personne. Largement utilisé dans de nombreux systèmes et applications comme identifiant utilisateur principal, il souffre d'un amalgame historique entre ses usages d'identifiant de référence (qui devrait être opaque et immuable), et d'identifiant de connexion (mnémonique donc non-opaque, potentiellement modifiable). Il est désormais recommandé de réserver cet identifiant aux usages historiques ou pouvant s'accommoder de modifications occasionnelles.
  • eduPersonPrincipalName : identifiant de personne à portée globale. Pour ce faire il est constitué de deux partie, séparée par le caractère “@”. La partie gauche doit être unique pour un établissement donné ; la partie droite qualifie l'établissement via son domaine DNS. Très utilisé dans le domaine de la fédération d'identités comme identifiant utilisateur de référence, il souffre du même problème de manque d'opacité et de stabilité que l'uid (SupAnn préconise d'ailleurs d'utiliser l'uid comme valeur de sa partie gauche). Il est désormais recommandé de n'y faire appel qu'en second choix en absence du eduPersonUniqueId, ou pour des usages de type identifiant de connexion (userPrincipalName ActiveDirectory par exemple).
  • eduPersonUniqueId : identifiant expressément opaque à portée globale. Une alternative au eduPersonPrincipalName, offrant de meilleures garanties d'opacité, de stabilité et de non-réattribution. Cet attribut est recommandé lorsqu'un identifiant de référence global immuable est demandé, notamment dans le cadre de la fédération.
  • supannAliasLogin : identifiant de connexion (chaîne de caractères mnémonique, saisie par l'utilisateur pour s'authentifier, associée au mot de passe), à portée locale. Sa valeur par défaut est celle de l'uid; il est modifiable et réattribuable. Recommandé pour tous les usages d'authentification. En aucun cas cet attribut ne doit être considéré comme un identifiant de référence. Le système d'authentification doit “traduire” dynamiquement cet identifiant de connexion en recherchant dans l'annuaire l'identifiant de référence correspondant (eduPersonUniqueId par exemple), ce dernier étant transmis à l'applicatif pour référencer l'utilisateur.
  • mail : l'adresse email est souvent utilisée pour faire référence à un utilisateur, notamment parce qu'il est le seul identifiant facilement utilisable pour faire référence à un tiers. Cependant cet attribut ne satisfait pas à deux caractéristiques d'un bon identifiant : il n'est ni stable ni pérenne. En effet, l'adresse email d'une personne peut changer suite à un mariage ou un divorce ; la pérennité n'est généralement garantie que durant une courte période au-delà de laquelle une adresse email peut être réassignée à une autre personne. Il est conseillé de n'utiliser l'adresse email comme identifiant qu'en dernier choix.
  • Dans les contextes de fédération d'identité (Education/Recherche, FranceConnect), il peut être fait appel à des identifiants ciblés, opaques, dont la valeur dépend du couple fournisseur d'identité / fournisseur de service (voir: eduPersonTargetedID, supannFCSub). Ces attributs garantissent l'étanchéité des SI (absence de croisements possibles). Leur usage devra être privilégié dans toutes les situations où les responsabilités des SI sont clairement distinctes.
  • Selon les environnements techniques, d'autres identifiants plus spécifiques sont également disponibles (uidNumber POSIX, objectSid ActiveDirectory, identifiants locaux dans les bases de données d'applications…). Lorsque aucun attribut LDAP dédié n'est prévu pour les accueillir, il est possible de faire appel au supannRefId pour les stocker dans l'annuaire et maintenir de cette manière les références croisées avec les applications concernées.

Liste des attributs du «profil commun»

Cette partie précise l'ensemble des attributs considérés comme communs à toutes les entrées de personnes (étudiants, personnels, etc.). Une définition plus complète de ces attributs se trouvent dans Liste des attributs.

Nom de l'attribut utilisation
Etat-civil, identité
cn (commonName) “Nom Prenom” sans caractère diacritique
displayName “Prénom Nom” avec caractères diacritiques
eduPersonNickname Surnom ou pseudonyme
givenName (gn) Prénom
sn (surname) Nom d'usage (avec caractères diacritiques)
supannCivilite Civilité (Mme, M.)
supannCodeINSEEPaysDeNaissance Pays de naissance (code INSEE)
supannCodeINSEEVilleDeNaissance Commune de naissance (code INSEE)
supannNomDeNaissance Nom de famille de naissance
supannOIDCDateDeNaissance Date de naissance
supannOIDCGenre Genre (female, male, other)
supannPrenomsEtatCivil Prénoms de l'état-civil
title Titre (Docteur, Professeur, …)
Coordonnées, moyens de contact
facsimileTelephoneNumber (fax) Numéro de télécopie
labeledURI URL de page web personnelle
mail Adresse électronique institutionnelle principale
mobile Numéro de téléphone mobile
postalAddress Adresse postale
supannAutreMail Adresses de courrier électronique autres que l'adresse principale
supannAutreTelephone Numéro(s) de téléphone alternatif(s)
telephoneNumber Numéro de téléphone principal
Préférences, données personnelles
homePostalAddress Adresse postale de domicile de la personne
homePhone Numéro de téléphone de domicile de la personne
mailForwardingAddress Adresse de renvoi de courrier électronique reçu à l'adresse institutionnelle
preferredLanguage Langue usuelle
supannAdressePostalePrivee Adresses postales privées de l'utilisateur
supannConsentement Consentements de l'utilisateur
supannListeRouge Précise la volonté de la personne d'être ou non sur liste rouge
supannMailPerso Adresse électronique privée
supannMailPrive Adresses courriel privées de l'utilisateur
supannTelephonePrive Numéros de téléphone privés de l'utilisateur
Identifiants
eduPersonPrincipalName Identifiant unique global
eduPersonPrincipalNamePrior Historique des valeurs du eduPersonPrincipalName (en cas de modification)
eduPersonTargetedID Identifiant unique ciblé
eduPersonUniqueId Identifiant unique global, opaque et immuable
supannAliasLogin Identifiant de connexion
supannFCSub Identifiant ciblé France Connect
supannRefId Références croisées avec d'autres identifiants du SI
uid (userid) identifiant unique local
Crédentiels d'authentification
userCertificate Certificat X509
userPassword Mot de passe
Statut et activité dans l'établissement
eduPersonAffiliation Statut de la personne: étudiant, administratif/technique, enseignant, chercheur, etc.
eduPersonPrimaryAffiliation Le statut de la personne considéré comme principal
supannEntiteAffectation Affectations de la personne dans une entité, une composante, un service, etc. L'interopérabilité des applications est basée sur supannEntiteAffectation, eduPersonOrgUnitDN pouvant être utilisés en interne.
eduPersonOrgUnitDN
supannEntiteAffectationPrincipale représentent l'affectation principale de la personne dans l'établissement (composante, service, etc.). L'interopérabilité des applications est basée sur supannEntiteAffectationPrincipale, eduPersonPrimaryOrgUnitDN pouvant être utilisé en interne.
eduPersonPrimaryOrgUnitDN
supannEtablissement Établissement de rattachement administratif de la personne
eduPersonOrgDN
supannParrainDN Responsable (parrain) de la personne
supannTypeEntiteAffectation type de la structure d'affectation d'une personne
État et validité du compte et des ressources
supannRessourceEtat État courant du compte ou des ressources allouées à la personne
supannRessourceEtatDate Etat courant avec date de fin de validité du compte ou des ressources allouées à la personne