supannCMSAppIdDomaine
Définition technique
- Origine : Supann 2018
- Nom : supannCMSAppIdDomaine
- Description : Identifiant applicatif embarqué dans une carte multi-services avec domaine
- OID : 1.3.6.1.4.1.7135.1.2.1.48
- Valuation : multivalué
- Attribut parent : aucun
- ObjectClass : supannCMS
- Obligatoire : non
- Type de donnée : chaîne de caractères (max. 256). Chaque valeur DOIT être de la forme identifiant@domaine.
- Règles de comparaison : égalité, sous-chaînes (casse exacte)
Règles d'exploitation
- Type d'usage : technique
- Contexte d'utilisation: LDAP, fédération
- Unicité : oui
- Visibilité : caché
- Indexation recommandée : eq, subfinal
- Voir aussi : supannCMSAppId, supannCMSAppAffectation
Utilisation
Chaque valeur de cet attribut contient un identifiant applicatif en cours de validité embarqués dans une carte multi-services ou autre dispositif physique d'identification (cf. La carte multi-services), suffixé d'un domaine précisant l'application concernée et si besoin l'encodage de l'identifiant.
Le format est le suivant: identifiant@domaine
. Le domaine est construit au moyen des éléments suivants, en lettres minuscules, dans cet ordre :
- si besoin, l'encodage de l'identifiant applicatif (xmsb, xlsb, etc): voir Encodage;
- le nom de l'application, utilisant uniquement les caractères admissibles dans un nom de domaine;
- le domaine DNS de l'établissement (ou de la communauté d'établissements) porteur de l'application, ou sur le lieu duquel le service est rendu.
Les choix des éléments liés au domaine sont établis par la communauté de l'application qui en détient les clés privés.
NOTES:
- Cet attribut ne doit contenir que des identifiants applicatifs en cours de validité (non expirés, non révoqués, sans opposition). Les applications ayant besoin d'accéder à des identifiants expirés, révoqués ou invalidés d'une façon ou d'une autre doivent faire appel à l'attribut composite supannCMSAppAffectation.
- Cet attribut est adapté aux applications basées sur la fédération d'identités, où il est possible d'extraire le domaine au moyen d'un script ECMA ou la déclaration d'un “scope”. Pour un usage LDAP, voir supannCMSAppId.
- le domaine a une portée globale. Il est du ressort de l'établissement ou de l'administrateur de l'application d'établir une bijection entre sa valeur et celle de l'option correspondante de l'attribut supannCMSAppId, si celui-ci est utilisé.
Exemples
Valuation
dn: uid=jdupont,ou=people,dc=univ-exemple,d=fr objectClass: supannPerson objectClass: supannCMS supannCMSAppIdDomaine: CgkJc3RyaW5nIGhlYWRlciAiRnJvbSIgI@biblio.univ-exemple.fr supannCMSAppIdDomaine: DEADBEEF0001@xlsb.impression.unr-exemple.fr supannCMSAppId;x-unrprint-xlsb: DEADBEEF0001 supannCMSAppIdDomaine: Y2VjaSBlc3QgdW4gaWRlbnRpZmlhbnQK@b64.parking.univ-exemple.fr
Filtrage
Recherche du porteur d'un identifiant donné encodé en Base64 pour l'application “parking.univ-exemple.fr”:
(&(objectClass=supannCMS)(supannCMSAppIdDomaine=Y2VjaSBlc3QgdW4gaWRlbnRpZmlhbnQK@b64.parking.univ-exemple.fr))
Énumération de toutes les personnes titulaires d'un identifiant applicatif “biblio.univ-exemple.fr”:
(&(objectClass=supannPerson)(supannCMSAppIdDomaine=*@biblio.univ-exemple.fr))