La carte multi-services
Description
La carte d'accès, autrement appelée “Carte Multi-Services” (CMS), est un objet se présentant sous la forme d'un rectangle de plastique que l'on peut ranger dans son portefeuille, personnalisée graphiquement pour l'établissement qui la distribue à ses utilisateurs en fonction de leur statut, et possédant un circuit intégré permettant de stocker et de transmettre des informations à des bornes, le plus souvent sans fil et à courte distance. Dans ce domaine, début 2018, la technologie dominante est Mifare, basée sur la norme ISO 14443, et possédant différentes désinences selon la capacité de stockage et le niveau de sécurité offert.
Les objectifs de SupAnn sont les suivants :
- Normaliser une méthode de stockage des identifiants de cartes multi-services dans l'annuaire;
- proposer un cadre technique standardisé aux développeurs d'applications, et assurer l'inter-opérabilité entre établissements (UNR, COMUE, campus…) via la fédération d'identités.
Cette représentation peut s'adapter à tout type de carte, badge ou autre objet matériel destiné à l'identification, quel qu'en soit la finalité : contrôle d'accès, carte professionnelle ou étudiant, monétique…, y compris lorsqu'il est dédié.
Périmètre
Le choix a été fait de modéliser deux notions:
- la carte elle-même (ou autre dispositif d'identification);
- les applications pouvant être embarquées dans la carte.
Une carte se définit par son identifiant physique, sa technologie et un ou plusieurs encodages de l'identifiant afin de satisfaire aux exigences des différents environnements techniques. Elle dispose d'un type (généralement associé à la finalité et/ou au visuel de la carte: “étudiant”, “personnel”, “lecteur”, “véhicule”, “visiteur”, etc), d'un état (actif ou inactif), et optionnellement d'une date de fin de validité et d'une source (application et établissement qui la gère).
Une application se définit par son identifiant applicatif individuel, un domaine définissant l'application concernée (et optionnellement l'encodage de l'identifiant si des variantes sont nécessaires), le type de la carte qui l'embarque, et de la même façon que pour une carte, un état, une date de fin de validité et une source.
Il a été prévu de pouvoir attribuer à un porteur donné un nombre quelconque de cartes et d'applications.
Cas d'usages
- Accès aux locaux, aux parkings des campus
- Gestion des impressions (déblocage par carte), des photocopies (imputation financière), de la numérisation des documents
- Ouverture de session sur poste de travail par carte
- Authentification double facteur (carte + mot de passe)
- Gestion du temps de travail
- Émargement électronique aux examens, aux élections, etc.
- Gestion des emprunts en bibliothèque
- …
Classes et attributs
La classe supannCMS
Cette classe auxiliaire a principalement vocation à être attribuée au compte LDAP d'une personne ; cependant, il est possible de l'attribuer à un autre type d'objet, comme un groupe ou une structure. Elle permet de représenter les informations liées à une carte d'accès.
Nom | Obligatoire | Sémantique |
---|---|---|
supannCMSId | N | identifiant de la carte d'accès avec options |
supannCMSIdEtiquette | N | identifiant de la carte d'accès avec étiquettes |
supannCMSAppId | N | identifiant applicatif privé stocké dans la carte avec options |
supannCMSAppIdDomaine | N | identifiant applicatif privé stocké dans la carte avec domaines |
supannCMSAffectation | N | attribut composite représentatif de tous les attributs d'une carte (active ou inactive) affectée à un compte |
supannCMSAppAffectation | N | attribut composite représentatif de tous les attributs d'une application (active ou inactive) affectée à un compte |
supannCMSType | N | type de carte |
supannCMSSource | N | application et établissement gestionnaire de la carte |
supannCMSDateFin | N | date de fin de validité de la carte ou de l'application |
Aucun attribut n'est formellement identifié comme obligatoire dans le schéma LDAP, cependant :
- l'un des deux attributs supannCMSId ou supannCMSIdEtiquette doit apparaître dans chaque entrée représentant un porteur de carte ;
- supannCMSType n'est pas obligatoire si toutes les cartes de l'établissement sont du même type (exemple : un laboratoire qui, dans son annuaire, référence uniquement des personnels). Auquel cas, il est possible de le publier comme un attribut à valeur unique dans l'IdP.
- supannCMSSource n'est pas obligatoire pour un établissement qui ne dispose que d'un seul système de gestion des cartes. Même remarque concernant l'IdP.
Nomenclatures
Ces nomenclatures sont semi-ouvertes: SupaAnn définit une liste de valeurs de base, chaque établissement peut la compléter par des valeurs locales.
Lorsque utilisées dans des étiquettes, l'établissement DOIT préfixer les valeurs locales par son code établissement pour en identifier l'origine; exemple: {UAI:0751717J:GID96:B32}
. Cependant les établissements qui le souhaitent peuvent soumettre à SupAnn (voir: Évolution des recommandations) leurs propositions d'étiquettes pour référencement.
Technologie
Les technologies sont utilisées pour caractériser les identifiants de cartes.
Elles figurent en MAJUSCULES dans :
- l'étiquette de l'attribut supannCMSIdEtiquette;
- le champ format de l'attribut supannCMSAffectation;
et en minuscules dans:
- l'option de l'attribut supannCMSId.
SupAnn définit les technologies suivantes:
Technologie | Usage | Encodages supportés |
---|---|---|
MIFARE | CSN Mifare ou Desfire | XLSB, XMSB, DLSB, DMSB. Pour XLSB et XMSB, les zéros non-significatifs sont présents à concurrence de la taille de CSN autorisée par la technologie: 8 digits pour Mifare Classic, 14 digits pour les plus récentes (dont DESfire). |
Encodage
Les encodages sont utilisées pour caractériser les identifiants de cartes et les identifiants applicatifs, lorsque leur présentation n'est pas univoque.
Ils figurent en MAJUSCULES dans:
- l'étiquette de l'attribut supannCMSIdEtiquette;
- le champ format de l'attribut supannCMSAffectation;
et en minuscules dans:
- le domaine de l'attribut supannCMSAppIdDomaine;
- le champ domaine de l'attribut supannCMSAppAffectation;
- l'option de l'attribut supannCMSAppId;
- l'option de l'attribut supannCMSId.
SupAnn définit les encodages suivants:
Encodage | valeur stockée |
---|---|
XLSB | hexadécimal, octet de poids faible à gauche (lettres en MAJUSCULES) |
XMSB | hexadécimal, octet de poids fort à gauche (lettres en MAJUSCULES) |
DLSB | décimal, octet de poids faible à gauche |
DMSB | décimal, octet de poids fort à gauche |
B64 | base-64 |
.