eduPersonPrincipalName
Définition technique
- Origine : Internet2 (eduPerson 1.0)
- Nom : eduPersonPrincipalName
- Description : identifiant globalement unique pour une personne, composé de deux parties séparées par un “@”: celle de gauche identifie la personne au sein d'un établissement, et celle de droite identifie cet établissement
- OID : 1.3.6.1.4.1.5923.1.1.1.6
- Valuation : monovalué
- Attribut parent : aucun
- ObjectClass : eduPerson
- Obligatoire : Non
- Type de donnée : chaîne de caractères
- Règles de comparaison : égalité (casse ignorée)
Règles d'exploitation
- Type d'usage : identifiant technique, identifiant de connexion
- Contexte d'utilisation: fédération
- Unicité : oui (partagée avec le eduPersonPrincipalNamePrior)
- Visibilité : limitée
- Indexation recommandée : eq
Utilisation
L'attribut eduPersonPrincipalName est un identifiant de personne globalement unique, utilisable dans un contexte inter-établissements comme la fédération d'identités.
Il est constitué de deux parties, séparées par le caractère “@”. La partie gauche doit être unique pour un établissement donné ; la partie droite qualifie l'établissement. Il ne doit pas y avoir d'autres occurrences du caractère “@” en sus du séparateur.
Cet attribut n'est pas opaque: en particulier, la partie gauche peut être basée sur des informations nominatives, sans toutefois que ce ne soit une obligation.
Le format de la partie gauche n'est pas contraint, mais il est conseillé de s'en tenir aux syntaxes acceptées comme identifiant de connexion sur les systèmes informatiques. SUPANN préconise d'utiliser la même valeur que pour l'attribut uid (userid).
La partie droite DOIT correspondre à un domaine DNS dont l'établissement est propriétaire. Dans le cadre de la fédération d'identités, un fournisseur de services peut refuser les valeurs d'eduPersonPrincipalName dont la partie droite ne figure pas dans la liste des domaines déclarés par le fournisseur d'identité.
Comme l'attribut eduPersonPrincipalName peut être référencé dans des applications hors du périmètre de l'établissement, il ne DOIT PAS être réattribué d'une personne à une autre au fil du temps. SUPANN préconise de prendre toutes les mesures pour garantir cette qualité de non-réattribution..
En revanche, l'eduPersonPrincipalName d'une personne PEUT être changé de manière occasionnelle. Lorsque cela se produit, la valeur précédente de l'eduPersonPrincipalName DOIT être conservée dans l'attribut eduPersonPrincipalNamePrior, jusqu'à la fin de vie du compte, afin de permettre le rapprochement d'identité par les applications tierces. Cette pratique peut également faciliter l'atteinte de l'objectif de non-réattribution. Le changement d'eduPersonPrincipalName doit cependant rester exceptionnel et limité à des cas justifiés selon l'appréciation de l'établissement, comme par exemple un changement d'état-civil ou la correction d'une erreur.
Cet attribut ne doit pas être confondu avec l'attribut mail qui a une syntaxe proche.
NOTES:
- dans le cas où une garantie de stabilité ou d'opacité est requise, il est préférable de faire appel à l'attribut eduPersonUniqueId, ou, dans un contexte fédération, à l'attribut eduPersonTargetedID.
- Dans un contexte ActiveDirectory, la valeur du eduPersonPrincipalName PEUT être utilisée pour alimenter l'attribut userPrincipalName.
Exemples
Valuation
dn: uid=jdupont,ou=people,dc=univ-exemple,dc=fr sn: Dupont givenName: Jean uid: jdupont eduPersonPrincipalName: jdupont@univ-exemple.fr eduPersonPrincipalNamePrior: ydupont@univ-exemple.fr
Filtrage
(&(objectClass=supannPerson)(|(eduPersonPrincipalName=jdupont@univ-exemple.fr)(eduPersonPrincipalNamePrior=jdupont@univ-exemple.fr)))