On définit par application un “logiciel fournissant les fonctions requises par un service informatique” : traduction en français de la norme ITIL 2011, source : https://qualiti7.com/wp-content/uploads/2011/12/ITIL_2011_French_Glossary_v1.1.pdf

L'objectif est de modéliser, dans un annuaire SupAnn, les applications connues du système d'informations afin :

• de les authentifier indépendamment de leurs utilisateurs, que ce soit par certificat ou par identifiant et mot de passe, autant pour un usage interne au LDAP que pour un service externe voulant authentifier des applications (exemple: une passerelle de services web) ;
• de leur attribuer des permissions d'accès à différentes parties de l'annuaire LDAP ;
• de les recenser afin de gérer leurs intervenants et leur cycle de vie, soit directement dans l'annuaire si les besoins sont réduits, soit pour les établissements disposant de plus de moyens, à travers un logiciel d'inventaire dont le contenu est, au moins partiellement, synchronisé avec l'annuaire.

L'interopérabilité n'est pas ici un objectif : les établissements ne sont pas invités à partager leur référentiel d'applications, de sorte que les recommandations de ce chapitre ne sont en rien obligatoires. Il s'agit plutôt de généraliser les “bonnes pratiques” en proposant un standard de représentation servant de langage commun à tous les administrateurs d'annuaires. De même, les informations représentées pour le recensement des applications sont volontairement sommaires et ne constituent qu'un sous-ensemble de celles détenues par un logiciel d'inventaire ; notamment, il n'existe pas de typologie des applications selon une nomenclature qui resterait à définir, ni d'association des applications avec les ressources qu'elles consomment.

Cette modélisation peut également être exploitée pour accorder aux applications des permissions d'accès à des services du système d'information en dehors du contexte LDAP : par exemple, des web-services REST autorisés par le protocole OAuth2, CAS (https://apereo.github.io/cas/6.3.x/services/LDAP-Service-Management.html), etc.

Les permissions des applications sont gérées, non pas directement, mais à travers de groupes situés dans une branche de l'annuaire distincte de celle des groupes de personnes, et dont le nommage fait l'objet d'une recommandation en fonction des permissions qu'ils accordent ; voir : Les groupes d'applications. Cela permet d'obtenir une configuration stable. Le fait d'être membre ou non d'un groupe d'applications octroie ou bien refuse à une application l'accès à une branche de l'annuaire, à certains attributs ou valeurs d'attributs, selon l'opération effectuée (lecture, écriture, etc), ou bien limite le volume de données renvoyées par une requête LDAP. Cet ensemble de règles est mis en pratique par la configuration de l'annuaire LDAP - notamment OpenLDAP qui dispose, à cet effet, d'un langage puissant.

Les entrées représentant les applications elles-mêmes sont pour leur part regroupées dans une autre branche dédiée à ce usage ; voir : Modélisation des applications.

Les ACL de l'annuaire devraient restreindre fortement l'accès à ces deux branches.