Click here for the english version

Spécification Identifiant Étudiant Européen (ESI)

Dans le cadre des travaux liés à la digitalisation des processus de mobilité des étudiants, un nouvel identifiant appelé Identifiant Étudiant Européen ou ESI a été mis en œuvre.

Cet identifiant est utilisé pour identifier de manière univoque les étudiants dans le cadre de leurs activités formelles d'apprentissage et d'enseignement et/ou des activités administratives qui y sont liées, et pour lesquelles des échanges de données entre établissements (ou hors des frontières de l'établissement d'origine) sont nécessaires.

Il utilise l'attribut schacPersonalUniqueCode (urn:oid:1.3.6.1.4.1.25178.1.2.14), tel que précisé dans cette documention de référence.

La spécification ESI se caractérise par l'ajout d'un tag spécifique dans les métadonnées, avec comme double objectif :

  1. D'identifier les fournisseurs de services (SP) éligibles ayant besoin de l'ESI ;
  2. De faciliter la tâche des fournisseurs d’identités (IdP) pour gérer la diffusion de l’ESI à ces fournisseurs de services éligibles.

# ESI-SP-01
La déclaration d'une conformité à la spécification ESI pour un fournisseur de service via le guichet de la fédération n'est possible que :

  • pour un organisme établi dans l'un des États membres de l'Union Européenne et dans tout autre pays appartenant à l'Espace économique européen (Islande, Liechtenstein et Norvège) ;
  • ou tout autre organisme international d'un pays tiers offrant un niveau adéquat de protection des données au sens de l'article 45 du RGPD.

# ESI-SP-02
Les fournisseurs de service éligibles à la spécification ESI sont :

  • les services qui supportent directement la mobilité des étudiants, par exemple les services du programme Erasmus+ (ex: Online Learning Agreement, application mobile Erasmus+)
  • les services qui transfèrent des dossiers d'étudiants ou des relevés de notes entre établissements d'enseignement supérieurs et qui doivent identifier les étudiants auxquels les dossiers appartiennent. Par exemple, les scénarios d'alliances universitaires où les dossiers des étudiants sont partagés entre (certaines) des universités de l'alliance.

# ESI-SP-03
Un fournisseur de service éligible qui souhaite recevoir l'ESI (via l'attribut schacPersonalUniqueCode) doit présenter le tag spécifique suivant (i.e. attribut Entity Category) dans ses métadonnées :

<mdattr:EntityAttributes
        xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
   <saml:Attribute
        xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
        NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
        Name="http://macedir.org/entity-category">
    <saml:AttributeValue>
        https://myacademicid.org/entity-categories/esi
    </saml:AttributeValue>
  </saml:Attribute>
</mdattr:EntityAttributes>
Ce tag spécifique est ajouté automatiquement dans les métadonnées du fournisseur de service à partir du moment où une conformité à la spécification ESI est déclarée sur le guichet de la fédération.

# ESI-SP-04
En affichant le tag spécifique ci-dessus dans ses métadonnées, un fournisseur de service s'engage à ne pas utiliser l'attribut ESI à des fins autres que celles précisées dans le périmètre au §1, et à ajouter cette mention d'utilisation restreinte dans la politique de confidentialité publiée pour le service.

# ESI-IDP-01
Un fournisseur d'identités capable de prendre en charge la spécification ESI doit présenter le tag spécifique suivant (i.e. attribut Entity Category Support) dans ses métadonnées :

<mdattr:EntityAttributes 
        xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
  <saml:Attribute
        xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
        NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
        Name="http://macedir.org/entity-category-support">
    <saml:AttributeValue>
        https://myacademicid.org/entity-categories/esi
    </saml:AttributeValue>
  </saml:Attribute>
</mdattr:EntityAttributes>
Ce tag spécifique est ajouté automatiquement dans les métadonnées du fournisseur d'identités à partir du moment où une conformité à la spécification ESI est déclarée sur le guichet de la fédération.

# ESI-IDP-02
En affichant le tag spécifique ci-dessus dans ses métadonnées, un fournisseur d'identités indique qu'il est capable de transmettre l'ESI via l'attribut SchacPersonalUniqueCode conformément à la spécification en vigueur, à tous les fournisseurs de service labellisés ESI (cad possédant un tag tel que décrit dans l'exigence #ESI-SP-03), soit automatiquement, soit sous réserve du consentement ou de la notification de l'utilisateur, sans intervention administrative d'aucune partie.

Déclarer une conformité à la spécification ESI pour son fournisseur de services implique de réaliser les étapes suivantes :

  1. Prendre connaissance des exigences liées à la spécification ESI qui s'appliquent spécifiquement au fournisseur de service ;
  2. Si les conditions d'éligibilité sont respectées (pays d'origine de l'organisme et nature du service), demander à recevoir l'attribut schacPersonalUniqueCode pour son fournisseur de service depuis le guichet de la fédération et déclarer celui-ci conforme à la spécification ESI : consulter cette page dédiée pour plus de détails.
  3. Mettre à jour la politique de confidentialité publiée pour le service, en y ajoutant la mention d'utilisation restreinte requise pour l'ESI (cf. exigence #ESI-SP-04)

Déclarer une conformité à la spécification ESI pour son fournisseur d'identités implique de réaliser les étapes suivantes :

  1. Prendre connaissance des exigences liées à la spécification ESI qui s'appliquent spécifiquement au fournisseur d'identités ;
  2. Configurer son fournisseur d'identités afin qu'il puisse renvoyer l'ESI aux fournisseurs de service labellisés ESI : consulter cette page dédiée pour plus de détails.
  3. Déclarer la conformité de son fournisseur d'identités depuis le guichet de la fédération.
  • federation/documentation/engagement-conformite/esi.txt
  • Dernière modification : 2022/03/15 17:15
  • de herve.bourgault@renater.fr