eduPersonUniqueId
Définition technique
- Origine : Internet2 (eduPerson 201305)
- Nom : eduPersonUniqueId
- Description : identifiant opaque et pérenne globalement unique pour une personne, composé de deux parties séparées par un “@”: celle de gauche identifie la personne de manière opaque au sein d'un établissement, et celle de droite identifie cet établissement.
- OID : 1.3.6.1.4.1.5923.1.1.1.13
- Valuation : monovalué
- Attribut parent : aucun
- ObjectClass : eduPerson
- Obligatoire : Non
- Type de donnée : chaîne de caractères
- Règles de comparaison : égalité (casse ignorée)
Règles d'exploitation
- Type d'usage : identifiant technique
- Contexte d'utilisation: LDAP, fédération
- Unicité : oui
- Visibilité : privé
- Indexation recommandée : eq
Utilisation
L'attribut eduPersonUniqueId est un identifiant technique de personne globalement unique, opaque, stable dans le temps, non-réattribuable, utilisable dans un contexte inter-établissements comme la fédération d'identités.
Il est constitué de deux parties, séparées par le caractère “@”. La partie gauche doit être unique pour un établissement donné ; la partie droite qualifie l'établissement. Il ne doit pas y avoir d'autres occurrences du caractère “@” en sus du séparateur.
Cet attribut est opaque: la partie gauche ne doit en aucun cas être basée sur des informations nominatives ou dévoiler d'autres informations d'identification de la personne. Il ne DOIT PAS être utilisé comme identifiant de connexion ni être manipulé par l'utilisateur.
La partie gauche doit être constituée exclusivement d'un maximum de 64 caractères caractères alphanumériques (a-z, A-Z, 0-9).
La partie droite DOIT correspondre à un domaine DNS dont l'établissement est propriétaire, et sa longueur doit être inférieure ou égale à 256 caractères. Dans le cadre de la fédération d'identités, un fournisseur de services peut refuser les valeurs d'eduPersonUniqueId dont la partie droite ne figure pas dans la liste des domaines déclarés par le fournisseur d'identité.
Cet attribut ne doit être ni réattribué d'une personne à une autre, ni modifié au cours du temps pour une personne donnée.
NOTES:
- La valeur de cet attribut est bien associée à une personne et non à un compte. En conséquence, lorsqu'une personne change de compte (afin par exemple de résoudre un doublon), la valeur de cet attribut doit être réaffectée au nouveau compte.
- cet attribut est à préférer au eduPersonPrincipalName comme clé étrangère ou identifiant utilisateur interne dans une application, notamment dans le cadre de la fédération d'identités. Cependant lorsque possible, l'usage du eduPersonTargetedID offre de meilleures garanties de contrôle de ses données privées par l'utilisateur (révocabilité, interdiction du croisement entre fournisseurs de services).
- la valeur de cet attribut n'est en général pas connue de son propriétaire, qui n'a pas à la manipuler pour quelque raison que ce soit. Cependant il ne s'agit pas d'un secret, et elle peut être rendue visible à son propriétaire dans certains cas (notamment dans un écran d'approbation avant envoi à un service tiers).
Exemples
Valuation
dn: uid=jdupont,ou=people,dc=univ-xyz,dc=fr sn: Dupont givenName: Jean eduPersonPrincipalName: jdupont@univ-xyz.fr eduPersonUniqueId: bpWYKmQyl4HEQ3Z8POYXnimWgo6wvOuO@univ-xyz.fr
Filtrage
(&(objectClass=supannPerson)(eduPersonUniqueId=bpWYKmQyl4HEQ3Z8POYXnimWgo6wvOuO@univ-xyz.fr))