Contrôle des autorisations par ACL (Administration)

De Wiki1000
(Différences entre les versions)
(Rôle développeur)
 
(10 révisions intermédiaires par 2 utilisateurs sont masquées)
Ligne 1 : Ligne 1 :
 
{{Version710}}
 
{{Version710}}
  
Le contrôle des autorisations par ACL est une fonctionnalité permettant de contrôler à quelles fonctionnalités un utilisateur à accès.
+
Le contrôle des autorisations par ACL est une fonctionnalité permettant de contrôler à quelles fonctionnalités un utilisateur a accès.
  
===Contrôle d'accès===
+
===Contrôle des autorisations===
Historiquement la gestion des autorisations dans Sage FRP 1000 est implémentée par la gestion des menus. L'accès aux interfaces, et donc les autorisations correspondantes, est conditionné par les menus auquel l'utilisateur a accès. Toutefois, et particulièrement à partir de la version Web, il existe de plusieurs manières d'ouvrir un écran sans passer par les menus. La gestion d'autorisation par les menus n'était donc pas suffisante.
+
Historiquement la gestion des autorisations dans Sage FRP 1000 est implémentée par la gestion des menus. L'accès aux interfaces, et donc les autorisations correspondantes, est conditionné par les menus auquel l'utilisateur a accès. Toutefois, et particulièrement à partir de la version Web, il existe plusieurs manières d'ouvrir un écran sans passer par les menus. La gestion d'autorisation par les menus n'était donc pas suffisante.
  
 
La nouvelle gestion introduite par cette fonctionnalité permet de combler cette faille, en effet le nouveau contrôle d'autorisation est appliqué globalement quel que soit la manière dont l'interface est ouverte.
 
La nouvelle gestion introduite par cette fonctionnalité permet de combler cette faille, en effet le nouveau contrôle d'autorisation est appliqué globalement quel que soit la manière dont l'interface est ouverte.
  
 
===Traçabilité===
 
===Traçabilité===
La nouvelle gestion des accès permet aussi la traçabilité des accès, elle permet de répondre aux questions suivantes :
+
La nouvelle gestion des autorisations permet aussi la traçabilité, elle permet de répondre aux questions suivantes :
  
 
* Quelles sont les interfaces autorisées pour un utilisateur ?
 
* Quelles sont les interfaces autorisées pour un utilisateur ?
 
* Quelles étaient les interfaces autorisées pour un utilisateur à une certaine date ?
 
* Quelles étaient les interfaces autorisées pour un utilisateur à une certaine date ?
 
* Quelles sont les utilisateurs autorisés pour une interface ?
 
* Quelles sont les utilisateurs autorisés pour une interface ?
* Quelles étaient les utilisateurs autorisées pour une interface a une certaine date ?
+
* Quelles étaient les utilisateurs autorisées pour une interface à une certaine date ?
  
 
===Listes d'autorisation===
 
===Listes d'autorisation===
Ligne 29 : Ligne 29 :
 
* Pour lesquels l'utilisateur est explicitement interdit.
 
* Pour lesquels l'utilisateur est explicitement interdit.
  
===Les objets globaux comprennent des interfaces qui sont toujours autorisées :===
+
Les objets globaux comprennent des interfaces qui sont toujours autorisées :
 
* Les écrans de connexion et de changement de mot de passe
 
* Les écrans de connexion et de changement de mot de passe
 
* Les écrans de gestion de compte
 
* Les écrans de gestion de compte
 
* L’écran notifiant une interdiction d'accès
 
* L’écran notifiant une interdiction d'accès
  
===La liste des objets référencés===
+
===La table des objets référencés===
Cette liste est une table de références croisées entre les objets d'interface. Par exemple lorsqu'une interface (I1) contient un lien vers une autre interface (I2) cela constitue une référence R1 référençant I2 avec comme source I1
+
Il s'agit d'une table des références croisées entre les objets d'interface. Par exemple lorsqu'une interface (I1) contient un lien vers une autre interface (I2) cela constitue une référence R1 référençant I2 avec comme source I1
  
===La liste blanche des objets implicites===
+
Cette table n'intervient pas directement dans le contrôle d'autorisation mais sert à construire la liste d'autorisation.
La liste blanche est alimentée :
+
 
+
* Par les objets de premier niveau référencés par les entrées de menu
+
* Par les objets de niveau supérieur référencés par la liste des références.
+
  
 
===Objets concernés===
 
===Objets concernés===
Les objets concernés par le contrôle d'accès :
+
Les objets concernés par le contrôle d'autorisation :
  
 
{|class="wikitable"
 
{|class="wikitable"
Ligne 82 : Ligne 78 :
 
La listes d'autorisation est impactées :
 
La listes d'autorisation est impactées :
 
* Par les modifications d'un menu
 
* Par les modifications d'un menu
* Par les associations explicite d'objet à un utilisateur.
+
* Par les modifications des références entre interfaces  
* Par la modification des références entre interfaces  
+
  
Tous ces cas sont gérés automatiquement excepté le cas ou les références entre interfaces sont modifiées, par exemple si vous ajouter un lien vers une interface (Int référencée) à partir d'une autre interface (Int. source)
+
Tous ces cas sont gérés automatiquement excepté le cas ou les références entre interfaces sont modifiées, par exemple si vous rajoutez un lien dans un écran.
  
 
Dans ce cas vous devez :
 
Dans ce cas vous devez :
* Mettre à jour la table des références de l'interface source.
+
# Mettre à jour la table des références de l'écran modifié.
* Mettre à jour la liste des autorisation.
+
# Mettre à jour la liste des autorisation.
  
 
===Rôle développeur===
 
===Rôle développeur===
En mode développement le contrôle d'accès peut devenir pénalisant car le développeur doit maintenir la liste d'autorisation à jour au cours du développement.
+
En développement le contrôle d'autorisation peut devenir pénalisant car le développeur doit maintenir la liste d'autorisation à jour au cours du développement.
 +
 
 +
Pour cette raison, les utilisateurs ayant le rôle développeur (Droit d'ouvrir le concepteur de modèle) peuvent outre passés le contrôle d'autorisation lors de l'ouverture d'une interface.
 +
 
 +
===Mise en œuvre du contrôle d'autorisation===
 +
 
 +
'''Accès à une interface autorisée:'''
 +
 
 +
[[image:autorisations-11.png]]
 +
 
 +
'''Accès à une interface non autorisée:'''
 +
 
 +
[[image:autorisations-12.png]]
 +
 
 +
'''Accès à une interface personnalisée autorisée:'''
  
Pour cette raison les utilisateurs ayant le rôle développeur (Droit d'ouvrir le concepteur de modèle) peuvent outre passé le contrôle d'accès lors de l'ouverture d'une interface.
+
[[image:autorisations-13.png]]
  
 
[[category:Administration]]
 
[[category:Administration]]
 +
[[category:Autorisations]]
 
[[category:Version710]]
 
[[category:Version710]]

Version actuelle en date du 2 juin 2016 à 08:01

version710-32x32.png

Le contrôle des autorisations par ACL est une fonctionnalité permettant de contrôler à quelles fonctionnalités un utilisateur a accès.

Sommaire

Contrôle des autorisations

Historiquement la gestion des autorisations dans Sage FRP 1000 est implémentée par la gestion des menus. L'accès aux interfaces, et donc les autorisations correspondantes, est conditionné par les menus auquel l'utilisateur a accès. Toutefois, et particulièrement à partir de la version Web, il existe plusieurs manières d'ouvrir un écran sans passer par les menus. La gestion d'autorisation par les menus n'était donc pas suffisante.

La nouvelle gestion introduite par cette fonctionnalité permet de combler cette faille, en effet le nouveau contrôle d'autorisation est appliqué globalement quel que soit la manière dont l'interface est ouverte.

Traçabilité

La nouvelle gestion des autorisations permet aussi la traçabilité, elle permet de répondre aux questions suivantes :

  • Quelles sont les interfaces autorisées pour un utilisateur ?
  • Quelles étaient les interfaces autorisées pour un utilisateur à une certaine date ?
  • Quelles sont les utilisateurs autorisés pour une interface ?
  • Quelles étaient les utilisateurs autorisées pour une interface à une certaine date ?

Listes d'autorisation

La gestion des autorisations s'appuie sur le concept de liste blanche et liste noire.

La liste blanche est constituée des objets :

  • Pour lesquels l'utilisateur est explicitement autorisé, ce qui inclue ses personnalisations.
  • Pour lesquels l'utilisateur est implicitement autorisé, ce qui inclue les objets référencés par un menu auquel l'utilisateur est rattaché (premier niveau) ET les objets référencés par ces objets (niveau supérieur)
  • Les objets globaux pour lesquels tous les utilisateurs sont autorisés.

La liste noire est constituée des objets :

  • Pour lesquels l'utilisateur est explicitement interdit.

Les objets globaux comprennent des interfaces qui sont toujours autorisées :

  • Les écrans de connexion et de changement de mot de passe
  • Les écrans de gestion de compte
  • L’écran notifiant une interdiction d'accès

La table des objets référencés

Il s'agit d'une table des références croisées entre les objets d'interface. Par exemple lorsqu'une interface (I1) contient un lien vers une autre interface (I2) cela constitue une référence R1 référençant I2 avec comme source I1

Cette table n'intervient pas directement dans le contrôle d'autorisation mais sert à construire la liste d'autorisation.

Objets concernés

Les objets concernés par le contrôle d'autorisation :

Type d'objet Nom d'objet Contrôle liste blanche Contrôle liste noire
Ecrans *.dfm Oui Oui
Formats d'édition mod*.dfm Non Oui
Reports *.drp Non Oui
Formats d'export Non Oui
Formats d'import Non Oui

Mise à jour de la liste d'autorisation

La listes d'autorisation est impactées :

  • Par les modifications d'un menu
  • Par les modifications des références entre interfaces

Tous ces cas sont gérés automatiquement excepté le cas ou les références entre interfaces sont modifiées, par exemple si vous rajoutez un lien dans un écran.

Dans ce cas vous devez :

  1. Mettre à jour la table des références de l'écran modifié.
  2. Mettre à jour la liste des autorisation.

Rôle développeur

En développement le contrôle d'autorisation peut devenir pénalisant car le développeur doit maintenir la liste d'autorisation à jour au cours du développement.

Pour cette raison, les utilisateurs ayant le rôle développeur (Droit d'ouvrir le concepteur de modèle) peuvent outre passés le contrôle d'autorisation lors de l'ouverture d'une interface.

Mise en œuvre du contrôle d'autorisation

Accès à une interface autorisée:

Autorisations-11.png

Accès à une interface non autorisée:

Autorisations-12.png

Accès à une interface personnalisée autorisée:

Autorisations-13.png

Outils personnels