Rôles, permissions et politiques
Authentification
Pour accéder à la plateforme et gérer les droits, un utilisateur doit être authentifié. L'authentification garantit qu'un utilisateur est bien celui qu'il prétend être en présentant les bonnes informations d'identification. Cela se fait par le biais du processus de connexion. Nos clients se connectent via l'authentification du portail Client Entreprise. L'authentification multi-facteurs assure la sécurité du système en empêchant le spoofing ou l'utilisation d'informations d'identification compromises.
Autorisation
Les autorisations (ou permissions) sont accordées aux utilisateurs en fonction de l'utilisation prévue. Certains utilisateurs administreront (administrateurs de services ou utilisateurs métiers), ou utiliseront le service final (utilisateurs finaux). Par exemple, un chef de projet se verra accorder des droits pour créer et gérer des projets. Certains utilisateurs spéciaux administreront les droits et permissions pour les accorder aux autres. Ces utilisateurs sont des administrateurs IAM ou des administrateurs des droits. Ils auront la responsabilité de gérer les comptes et les permissions de tous les utilisateurs. Seuls les administrateurs IAM auront accès au menu de Gestion des Identités et des Accès. L'IAM fournira aux utilisateurs (administrateurs IAM, administrateurs de services, utilisateurs finaux) les permissions d'accès aux ressources, via un mécanisme de rôles et de politiques décrit ci-dessous.
Permissions
Les actions possibles liées à une permission sont :
- créer / lire / mettre à jour / supprimer / lister.
Les permissions disponibles sont listées sur l'écran accessible à gauche par l'élément "Permissions". Une permission a une étiquette, un type de permission et une ressource sur laquelle elle est applicable. Les permissions sont intégrées et dédiées à un type de ressource.
Rôles
Un rôle est un ensemble de permissions regroupées pour simplifier l'attribution de ces permissions à des comptes ou groupes de comptes. Les rôles sont accessibles depuis l'élément de menu "Gestion des Rôles". Il existe des rôles préexistants (appelés "Intégrés") qui sont disponibles. Ces rôles sont conçus pour l'administration des ressources IAM (locataire, dossier, projet, ressources). Les administrateurs de locataires peuvent créer des rôles personnalisés pour répondre aux besoins de leurs projets. Pour créer un nouveau rôle, cliquez sur le bouton "Créer un Rôle". Un rôle a un nom (Étiquette du Rôle), une description et un ensemble de permissions. Pour choisir les permissions, il faut cliquer sur le champ "permissions associées", puis sélectionner dans la liste déroulante les permissions disponibles. Les permissions sélectionnées sont ajoutées et affichées juste en dessous du champ.
Exemple : un administrateur de dossier est un rôle qui a la responsabilité d'administrer les dossiers. L'administrateur de dossier a les permissions suivantes :
- supprimer_dossier / lire_dossier / créer_dossier / créer_projet / lister_projet
Assignations de rôle
Pour pouvoir affecter des rôles aux utilisateurs, nous devons définir des assignations de rôle. Les assignations de rôle listent qui peut faire quoi. Par exemple, si la liste des administrateurs de dossiers est vide, personne ne peut administrer les dossiers créés du locataire. Nous devons donc définir les comptes, parmi les comptes disponibles du locataire, qui sont désignés comme administrateurs de dossiers. Ce lien peut être fait avec des groupes de comptes ou directement avec des comptes. Pour assigner des rôles aux utilisateurs, il faut cliquer sur le menu Assignation de Rôle, puis sur le bouton "Créer une Assignation de Rôle". Une assignation de rôle a une étiquette, une description et un rôle (une seule rôle peut être assigné par assignation de rôle). Par exemple, je peux créer les administrateurs de dossiers du département des ventes. Après avoir choisi le Rôle, il faut choisir les utilisateurs. Cela peut être fait en remplissant le tableau "Assigné à", en utilisant l'icône +. Cela ouvre une fenêtre modale. Dans la partie supérieure, il est possible d'afficher les comptes disponibles, de les cocher et de les transférer dans la partie inférieure pour sélection, en utilisant l'icône de flèche vers le bas. Ensuite, validez en cliquant sur "Attacher le Compte". Le tableau "Assigné à" est maintenant rempli. Enfin, il est possible d'attacher des politiques à l'assignation de rôle juste définie et de sauvegarder.
Politiques
Pour être applicable, une assignation de rôle doit être liée à une politique. La politique permet de sélectionner l'élément concret sur lequel une assignation de rôle peut être appliquée. Ainsi, lors de la création d'une politique, il faut sélectionner l'élément de l'arbre concerné par la politique (du domaine à la ressource laissée) et sélectionner l'assignation de rôle.
- Les politiques sont applicables à une ou plusieurs assignations de Rôle.
- Une politique est applicable sur des instances de ressources (à tout niveau de l'arbre).
- Une politique est héritée aux niveaux fils, sauf si une autre politique l'en empêche.