La carte multi-services

La carte d'accès, autrement appelée “Carte Multi-Services” (CMS), est un objet se présentant sous la forme d'un rectangle de plastique que l'on peut ranger dans son portefeuille, personnalisée graphiquement pour l'établissement qui la distribue à ses utilisateurs en fonction de leur statut, et possédant un circuit intégré permettant de stocker et de transmettre des informations à des bornes, le plus souvent sans fil et à courte distance. Dans ce domaine, début 2018, la technologie dominante est Mifare, basée sur la norme ISO 14443, et possédant différentes désinences selon la capacité de stockage et le niveau de sécurité offert.

Les objectifs de SupAnn sont les suivants :

  • Normaliser une méthode de stockage des identifiants de cartes multi-services dans l'annuaire;
  • proposer un cadre technique standardisé aux développeurs d'applications, et assurer l'inter-opérabilité entre établissements (UNR, COMUE, campus…) via la fédération d'identités.

Cette représentation peut s'adapter à tout type de carte, badge ou autre objet matériel destiné à l'identification, quel qu'en soit la finalité : contrôle d'accès, carte professionnelle ou étudiant, monétique…, y compris lorsqu'il est dédié.

Le choix a été fait de modéliser deux notions:

  1. la carte elle-même (ou autre dispositif d'identification);
  2. les applications pouvant être embarquées dans la carte.

Une carte se définit par son identifiant physique, sa technologie et un ou plusieurs encodages de l'identifiant afin de satisfaire aux exigences des différents environnements techniques. Elle dispose d'un type (généralement associé à la finalité et/ou au visuel de la carte: “étudiant”, “personnel”, “lecteur”, “véhicule”, “visiteur”, etc), d'un état (actif ou inactif), et optionnellement d'une date de fin de validité et d'une source (application et établissement qui la gère).

Une application se définit par son identifiant applicatif individuel, un domaine définissant l'application concernée (et optionnellement l'encodage de l'identifiant si des variantes sont nécessaires), le type de la carte qui l'embarque, et de la même façon que pour une carte, un état, une date de fin de validité et une source.

Il a été prévu de pouvoir attribuer à un porteur donné un nombre quelconque de cartes et d'applications.

Pour les identifiants physiques de carte, un traitement insensible à la casse a été retenu afin de faciliter la gestion de l'encodage hexadécimal. En revanche, les identifiants applicatifs ont été définis en casse exacte pour permettre la prise en charge d'encodages sensibles à la casse, tel le base-64.
Dans les technologies usuelles, les identifiants physiques de cartes ne sont en général pas protégés par cryptographie (exemple: UID des cartes Mifare Classic ou DESFIRE). Ils sont donc techniquement falsifiables. Lorsque la carte sert d'élément d'authentification, afin de se prémunir d'une usurpation d'identité par forgeage d'identifiant, il est préférable de faire appel à un identifiant applicatif, rendu infalsifiable par clé cryptographique.
  • Accès aux locaux, aux parkings des campus
  • Gestion des impressions (déblocage par carte), des photocopies (imputation financière), de la numérisation des documents
  • Ouverture de session sur poste de travail par carte
  • Authentification double facteur (carte + mot de passe)
  • Gestion du temps de travail
  • Émargement électronique aux examens, aux élections, etc.
  • Gestion des emprunts en bibliothèque

Cette classe auxiliaire a principalement vocation à être attribuée au compte LDAP d'une personne ; cependant, il est possible de l'attribuer à un autre type d'objet, comme un groupe ou une structure. Elle permet de représenter les informations liées à une carte d'accès.

Nom Obligatoire Sémantique
supannCMSId N identifiant de la carte d'accès avec options
supannCMSIdEtiquette N identifiant de la carte d'accès avec étiquettes
supannCMSAppId N identifiant applicatif privé stocké dans la carte avec options
supannCMSAppIdDomaine N identifiant applicatif privé stocké dans la carte avec domaines
supannCMSAffectation N attribut composite représentatif de tous les attributs d'une carte (active ou inactive) affectée à un compte
supannCMSAppAffectation N attribut composite représentatif de tous les attributs d'une application (active ou inactive) affectée à un compte
supannCMSType N type de carte
supannCMSSource N application et établissement gestionnaire de la carte
supannCMSDateFin N date de fin de validité de la carte ou de l'application

Aucun attribut n'est formellement identifié comme obligatoire dans le schéma LDAP, cependant :

  • l'un des deux attributs supannCMSId ou supannCMSIdEtiquette doit apparaître dans chaque entrée représentant un porteur de carte ;
  • supannCMSType n'est pas obligatoire si toutes les cartes de l'établissement sont du même type (exemple : un laboratoire qui, dans son annuaire, référence uniquement des personnels). Auquel cas, il est possible de le publier comme un attribut à valeur unique dans l'IdP.
  • supannCMSSource n'est pas obligatoire pour un établissement qui ne dispose que d'un seul système de gestion des cartes. Même remarque concernant l'IdP.

Ces nomenclatures sont semi-ouvertes: SupaAnn définit une liste de valeurs de base, chaque établissement peut la compléter par des valeurs locales.

Lorsque utilisées dans des étiquettes, l'établissement DOIT préfixer les valeurs locales par son code établissement pour en identifier l'origine; exemple: {UAI:0751717J:GID96:B32}. Cependant les établissements qui le souhaitent peuvent soumettre à SupAnn (voir: Évolution des recommandations) leurs propositions d'étiquettes pour référencement.

Les technologies sont utilisées pour caractériser les identifiants de cartes.

Elles figurent en MAJUSCULES dans :

et en minuscules dans:

SupAnn définit les technologies suivantes:

Technologie Usage Encodages supportés
MIFARE CSN Mifare ou Desfire XLSB, XMSB, DLSB, DMSB. Pour XLSB et XMSB, les zéros non-significatifs sont présents à concurrence de la taille de CSN autorisée par la technologie: 8 digits pour Mifare Classic, 14 digits pour les plus récentes (dont DESfire).

Les encodages sont utilisées pour caractériser les identifiants de cartes et les identifiants applicatifs, lorsque leur présentation n'est pas univoque.

Ils figurent en MAJUSCULES dans:

et en minuscules dans:

SupAnn définit les encodages suivants:

Encodage valeur stockée
XLSB hexadécimal, octet de poids faible à gauche (lettres en MAJUSCULES)
XMSB hexadécimal, octet de poids fort à gauche (lettres en MAJUSCULES)
DLSB décimal, octet de poids faible à gauche
DMSB décimal, octet de poids fort à gauche
B64 base-64
Les encodages sensibles à la casse, tels que le base-64, ne peuvent être utilisés que pour les identifiants applicatifs (supannCMSApp*). Pour leur part, les attributs contenant les identifiants physiques de carte sont insensibles à la casse.

.

  • documentation/supann/supann2020/recommandations2020/personnes/carte-ms.txt
  • Dernière modification : 2019/02/05 10:05
  • de 127.0.0.1