supannConsentement
Définition technique
- Origine : SupAnn 2018r2
- Nom : supannConsentement
- Description : Consentements de l'utilisateur
- OID : 1.3.6.1.4.1.7135.1.2.1.62
- Attribut parent : aucun
- Valuation : Multivalué
- ObjectClass : supannPerson
- Obligatoire : Non
- Type de donnée : chaîne de caractères (max. 4096). Chaque valeur doit être au format étiqueté.
- Règles de comparaison : égalité, sous-chaîne (casse ignorée)
Règles d'exploitation
- Type d'usage: technique
- Contexte d'utilisation : LDAP, fédération
- Unicité : non
- Visibilité : privé
- Indexation recommandée : eq, subinitial
Utilisation
Chaque valeur de cet attribut étiqueté (voir: Les attributs étiquetés) matérialise un consentement de l'utilisateur, pour un usage ou un périmètre donné, à la diffusion d'une information personnelle le concernant, ou son approbation d'un ensemble de clauses conditionnant l'accès à un service.
Chaque valeur obéit au format suivant:
{QUEL OBJET}QUEL USAGE
- QUEL OBJET : de quelle information l’utilisateur consent la diffusion, ou à quel service se rapporte l'usage consenti
- QUEL USAGE : pour quel usage ce consentement est donné.
Syntaxe de l'étiquette (objet)
L'étiquette, placée entre accolades, contient l'objet sur lequel l'utilisateur donne son consentement. Ce peut être :
- APPLI:<APPLI> : une application donnée ;
- APPLI:<APPLI>:<OBJET> : un objet donné d'une application donnée ;
- <ATTRIBUT> : les valeurs d'un attribut donné de son entrée annuaire ;
- <ATTRIBUT>:<ETIQUETTE> : les valeurs d'un attribut donné de son entrée annuaire ayant l'étiquette indiquée ;
- CLASSE:<CLASSE> : les valeurs de l'ensemble des attributs d'une classe donnée de son entrée.
Par convention, les types d'attributs, classes, noms d'applications ou d'objets apparaissant dans l'étiquette sont représentés en MAJUSCULES.
Syntaxe de la valeur (usage)
La valeur représente le périmètre pour lequel l'utilisateur consent la diffusion d'information ou l'usage qu'il approuve. Ce peut être :
- PUBLIC : l'objet peut être diffusé publiquement ;
- AUTH : l'objet peut être diffusé aux personnes authentifiée dans l'établissement ;
- PR : l'objet peut être diffusé aux personnes ressources de l'établissement ;
- APPRENANTS : l'objet peut être diffusé aux apprenants de l'établissement ;
- INTERNE : l'usage de l'objet est consenti pour des procédures internes à l'établissement, sans impliquer de diffusion, par exemple pour la réinitialisation d'un mot de passe ;
- FER : l'objet peut être diffusé à tous les utilisateurs de la fédération Education-Recherche (FER) ;
- EDUGAIN : l'objet peut être diffusé à tous les utilisateurs de la fédération EduGAIN ;
- FER:<ATTRIBUT>:<VALEUR> : l'objet peut être diffusé à tous les utilisateurs de la fédération Education-Recherche (FER) ayant la valeur <VALEUR> dans leur attribut <ATTRIBUT> ;
- EDUGAIN:<ATTRIBUT>:<VALEUR> : l'objet peut être diffusé à tous les utilisateurs de la fédération EduGAIN ayant la valeur <VALEUR> dans leur attribut <ATTRIBUT> ;
- CGU : les conditions générales d'utilisation de l'objet ont été acceptées par l'utilisateur ;
- APPLI:<APPLI> : l'accès à l'objet est consenti pour une application donnée ;
- <ATTRIBUT>:<VALEUR> : l'accès à l'objet est consenti aux entrées d'annuaire de l'établissement local dont l'attribut indiqué possède la valeur indiquée ;
- LDAP://[[<host>]:<port>]/<baseDN>??<scope>?<filtre> : l'accès à l'objet est consenti aux objets retournés par la requête LDAP représentée sous forme d'URL (RFC 4516). Si <host> n'est pas spécifié, l'annuaire local de l'établissement est sous-entendu.
Les valeurs d'attributs et filtres LDAP apparaissant dans la valeur sont représentés dans leur casse native. Les noms d'applications et types d'attributs sont représentés en MAJUSCULES, par symétrie avec la syntaxe de l'étiquette.
Exemple
Valuation
Dans l’exemple suivant, la personne dont l’entrée est représentée consent à ce que :
- son adresse de messagerie privée de secours soit utilisée d’une manière interne à l’établissement (en cas de mot de passe perdu par exemple), mais pas diffusée ;
- l’image JPEG contenant sa photo numérisée soit diffusée sans restrictions ;
- son adresse email personnelle principale soit visible par tous les usagers ayant la valeur “teacher” dans leur attribut eduPersonAffiliation ;
- son adresse email professionnelle principale soit visible pour les usagers appartenant à la Fédération d'identités éducation-recherche de Renater ;
- l’application de contrôle d’accès « CASTEL » accède à tous ses attributs de la classe supannCMS ;
- l’application « PSTAGES » consulte ses objets de type « CV » gérés par l’application nommée « RESEAUPRO » ;
- son numéro de mobile professionnel soit visible par les personnels administratifs et techniques membres de son établissement ;
et a par ailleurs accepté les condition générales d'utilisation de l'application « RESEAUPRO ».
supannConsentement: {SUPANNMAILPRIVE:SECOURS}INTERNE supannConsentement: {JPEGPHOTO}PUBLIC supannConsentement: {SUPANNMAILPERSO}EDUPERSONAFFILIATION:teacher supannConsentement: {MAIL}FER supannConsentement: {CLASSE:SUPANNCMS}APPLI:CASTEL supannConsentement: {APPLI:RESEAUPRO:CV}APPLI:PSTAGES supannConsentement: {APPLI:RESEAUPRO}CGU supannConsentement: {MOBILE}LDAP:///ou=people,dc=univ-exemple,dc=fr??sub?(&(eduPersonAffiliation=staff)(eduPersonAffiliation=member))
Filtrage
Obtenir tous les étudiants inscrits en Master 1 ayant accepté de rendre leur photo publique:
(&(supannEtuCursusAnnee={SUPANN}M1)(supannConsentement={JPEGPHOTO}PUBLIC))
Obtenir tous les personnels administratifs ou techniques ayant accordé un consentement (quel qu'en soit le périmètre) sur leur téléphone privé principal:
(&(eduPersonAffiliation=staff)(supannConsentement={HOMEPHONE}*))
Vérifier si l'étudiant dont le numéro de dossier est 123456 a accepté les conditions générales d'utilisation de l'application RESEAUPRO:
(&(supannEtuId=123456)(supannConsentement={APPLI:RESEAUPRO}CGU))