Click here for the english version
Spécification Identifiant Étudiant Européen (ESI)
1. Périmètre
Dans le cadre des travaux liés à la digitalisation des processus de mobilité des étudiants, un nouvel identifiant appelé Identifiant Étudiant Européen ou ESI a été mis en œuvre.
Cet identifiant est utilisé pour identifier de manière univoque les étudiants dans le cadre de leurs activités formelles d'apprentissage et d'enseignement et/ou des activités administratives qui y sont liées, et pour lesquelles des échanges de données entre établissements (ou hors des frontières de l'établissement d'origine) sont nécessaires.
Il utilise l'attribut schacPersonalUniqueCode
(urn:oid:1.3.6.1.4.1.25178.1.2.14
), tel que précisé dans cette documention de référence.
2. Objet
La spécification ESI se caractérise par l'ajout d'un tag spécifique dans les métadonnées, avec comme double objectif :
- D'identifier les fournisseurs de services (SP) éligibles ayant besoin de l'ESI ;
- De faciliter la tâche des fournisseurs d’identités (IdP) pour gérer la diffusion de l’ESI à ces fournisseurs de services éligibles.
3. Exigences pour un fournisseur de service (SP)
# ESI-SP-01
La déclaration d'une conformité à la spécification ESI pour un fournisseur de service via le guichet de la fédération n'est possible que :
- pour un organisme établi dans l'un des États membres de l'Union Européenne et dans tout autre pays appartenant à l'Espace économique européen (Islande, Liechtenstein et Norvège) ;
- ou tout autre organisme international d'un pays tiers offrant un niveau adéquat de protection des données au sens de l'article 45 du RGPD.
# ESI-SP-02
Les fournisseurs de service éligibles à la spécification ESI sont :
- les services qui supportent directement la mobilité des étudiants, par exemple les services du programme Erasmus+ (ex: Online Learning Agreement, application mobile Erasmus+)
- les services qui transfèrent des dossiers d'étudiants ou des relevés de notes entre établissements d'enseignement supérieurs et qui doivent identifier les étudiants auxquels les dossiers appartiennent. Par exemple, les scénarios d'alliances universitaires où les dossiers des étudiants sont partagés entre (certaines) des universités de l'alliance.
# ESI-SP-03
Un fournisseur de service éligible qui souhaite recevoir l'ESI (via l'attribut schacPersonalUniqueCode
) doit présenter le tag spécifique suivant (i.e. attribut Entity Category
) dans ses métadonnées :
<mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute"> <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="http://macedir.org/entity-category"> <saml:AttributeValue> https://myacademicid.org/entity-categories/esi </saml:AttributeValue> </saml:Attribute> </mdattr:EntityAttributes>
# ESI-SP-04
En affichant le tag spécifique ci-dessus dans ses métadonnées, un fournisseur de service s'engage à ne pas utiliser l'attribut ESI à des fins autres que celles précisées dans le périmètre au §1, et à ajouter cette mention d'utilisation restreinte dans la politique de confidentialité publiée pour le service.
4. Exigences pour un fournisseur d'identités (IdP)
# ESI-IDP-01
Un fournisseur d'identités capable de prendre en charge la spécification ESI doit présenter le tag spécifique suivant (i.e. attribut Entity Category Support
) dans ses métadonnées :
<mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute"> <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="http://macedir.org/entity-category-support"> <saml:AttributeValue> https://myacademicid.org/entity-categories/esi </saml:AttributeValue> </saml:Attribute> </mdattr:EntityAttributes>
# ESI-IDP-02
En affichant le tag spécifique ci-dessus dans ses métadonnées, un fournisseur d'identités indique qu'il est capable de transmettre l'ESI via l'attribut SchacPersonalUniqueCode
conformément à la spécification en vigueur, à tous les fournisseurs de service labellisés ESI (cad possédant un tag tel que décrit dans l'exigence #ESI-SP-03
), soit automatiquement, soit sous réserve du consentement ou de la notification de l'utilisateur, sans intervention administrative d'aucune partie.
5. Déclarer son fournisseur de services (SP) conforme à la spécification ESI
Déclarer une conformité à la spécification ESI pour son fournisseur de services implique de réaliser les étapes suivantes :
- Prendre connaissance des exigences liées à la spécification ESI qui s'appliquent spécifiquement au fournisseur de service ;
- Si les conditions d'éligibilité sont respectées (pays d'origine de l'organisme et nature du service), demander à recevoir l'attribut
schacPersonalUniqueCode
pour son fournisseur de service depuis le guichet de la fédération et déclarer celui-ci conforme à la spécification ESI : consulter cette page dédiée pour plus de détails. - Mettre à jour la politique de confidentialité publiée pour le service, en y ajoutant la mention d'utilisation restreinte requise pour l'ESI (cf. exigence
#ESI-SP-04
)
6. Déclarer son fournisseur d'identités (IdP) conforme à la spécification ESI
Déclarer une conformité à la spécification ESI pour son fournisseur d'identités implique de réaliser les étapes suivantes :
- Prendre connaissance des exigences liées à la spécification ESI qui s'appliquent spécifiquement au fournisseur d'identités ;
- Configurer son fournisseur d'identités afin qu'il puisse renvoyer l'ESI aux fournisseurs de service labellisés ESI : consulter cette page dédiée pour plus de détails.
- Déclarer la conformité de son fournisseur d'identités depuis le guichet de la fédération.