eduPersonTargetedID
Définition technique
- Origine : Internet2 (eduPerson 200312)
- Nom : eduPersonTargetedID
- Description : identifiant de personne ciblé, opaque, pérenne et non-réattribuable
- OID : 1.3.6.1.4.1.5923.1.1.1.10
- Valuation : multivalué
- Attribut parent : aucun
- ObjectClass : eduPerson
- Obligatoire : Non
- Type de donnée : chaîne de caractères
- Règles de comparaison : égalité (casse exacte)
Règles d'exploitation
- Type d'usage : identifiant technique
- Contexte d'utilisation: fédération
- Unicité : oui
- Visibilité : privé
- Indexation recommandée : eq
Utilisation
L'attribut eduPersonTargetedID est un identifiant de personne globalement unique, opaque, pérenne, non-réattribuable et révocable, spécifiquement conçu pour le contexte de la fédération d'identités SAML. Sa particularité est de contenir une valeur différente pour chaque service cible.
Il se conforme au “SAML V2.0 Name Identifier format” de type “persistent”, chacune de ses valeurs étant constituée de 3 éléments: l'EntityID du fournisseur d'identité délivrant cet identifiant, l'EntityID du fournisseur de service cible (1024 caractères maxi pour chaque EntityID), et un identifiant utilisateur opaque ciblé (256 caractères maxi).
Cet attribut n'est en général pas stocké dans l'annuaire LDAP, mais généré directement par la brique applicative “fournisseur d'identités” (exemple: Shibboleth IdP). Par conséquent, les recommandations concernant sa valuation et son usage sont définies dans le cadre technique de la fédération d'identités et non dans SUPANN.
Néanmoins, la génération de l’identifiant utilisateur opaque par le fournisseur d’identités nécessite de disposer d’une clé de croisement pérenne et non-réattribuable au sein de l’annuaire SUPANN.
Au vu de ces pré-requis, SUPANN 2018 recommande d'utiliser l'attribut eduPersonUniqueId comme clé de croisement entre le fournisseur d'identités et l'annuaire.
En l’absence de l’attribut eduPersonUniqueId il est recommandé d’utiliser un autre attribut utilisateur unique, par exemple le eduPersonPrincipalName.
Exemples
Utilisation
Les services ayant besoin de conserver un identifiant persistent mais opaque pour un utilisateur donné à des fins de personnalisation ou d’archivage.
Les fournisseurs d’identités ou de services ayant le besoin de lier des comptes externes avec des comptes internes gérés dans leurs propre système. Cet attribut est souvent utilisé pour la liaison de compte à long terme entre un fournisseur d'identité et un fournisseur de services.
Valuation
eduPersonTargetedID: https://idp-test.renater.fr/idp/shibboleth!https://test.federation.renater.fr/test/ressource!jx1SM1wXMQDvudJDBe3Bn8Yg0XQ=
Configuration de l'IDP
Extrait de configuration du connecteur de données pour la génération du eduPersonTargetedID en s'appuyant sur le eduPersonUniqueId sur un IDP Shibboleth v3:
- attribute-resolver-ldap.xml
<!-- Targeted ID/Persistent ID --> <resolver:AttributeDefinition id="eduPersonTargetedID" xsi:type="ad:SAML2NameID" sourceAttributeID="persistentID" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"> <resolver:Dependency ref="myStoredId" /> <!-- ... --> </resolver:AttributeDefinition> <resolver:DataConnector id="myStoredId" xsi:type="dc:StoredId" generatedAttributeID="persistentID" sourceAttributeID="eduPersonUniqueId" <!-- ... --> </resolver:DataConnector>
Pour plus d'informations: Créer un attribut persistentID/eduPersonTargetedID