Gestion des utilisateurs : Définir et gérer le système d'autorisation
Planifier la stratégie d'autorisation est l'une des premières choses à faire pour configurer votre système. Un système d'autorisation efficace et sécurisé comprend les objets et les définitions listés ci-dessous. Il n'est pas nécessaire de tous les utiliser. Selon la taille, la structure et la politique de votre entreprise, vous opterez pour l'une des solutions suivantes :
- Un système à autorisation simple dans lequel les autorisations et privilèges sont accordés au niveau Utilisateur. Ce n'est réalisable que pour de très petits systèmes avec peu d'utilisateurs et également peu de rôles.
- Systèmes plus complexes utilisant des rôles représentant des groupes d'utilisateurs dans l'entreprise, des catalogues utilisateurs pour faciliter leur accès aux fonctions, etc.
- Environnements extrêmement complexes dans lesquels des autorisations supplémentaires sont définies au niveau Objet.
Cette rubrique contient les sujets suivants :
L'implémentation de la stratégie d'autorisation commence lors de la planification et de la création de clients, qui est l'endroit où vous affectez vos utilisateurs, groupes d'utilisateurs, objets, etc. La façon de définir votre environnement client dépend de la structure de votre entreprise et de la façon dont vous décidez de la représenter.
Les clients constituent les plus grandes unités organisationnelles dans un système Automation Engine, où tous les paramètres à l'exception des agents sont spécifiques à un client (les agents peuvent être assignés à plusieurs clients). Cela signifie que vous pouvez librement configurer vos clients afin de représenter au mieux votre activité.
Une méthode courante consiste à créer un client par zone opérationnelle, département, etc. Par exemple.
- Client 1 pour le DEVELOPMENT contenant tous les utilisateurs développeurs, ainsi que les dossiers et objets avec lesquels ils devront travailler.
- Client 2 pour HR OPERATIONS contenant tous les utilisateurs RH, ainsi que leurs dossiers et objets.
- Client 3 pour FINANCE OPERATIONS, etc.
Il est également possible de créer un client par acheteur ou par type d'acheteur.
Les utilisateurs au sein d'un client peuvent ouvrir et travailler avec tous les dossiers et objets contenus dans ce client, à moins de définir et de gérer leurs autorisations et privilèges.
Client 0
Le client 0 (également appelé client système) est déjà disponible lorsque vous installez l'Automation Engine. Il est utilisé pour gérer les paramètres système globaux (par exemple les informations de connexion, les calendriers, les variables), pour créer les clients, les utilisateurs et les groupes d'utilisateurs que vous déplacez ensuite vers les autres clients, pour configurer les agents, etc.
Voir Exemple : Créer un environnement client / utilisateur de base pour toute information sur les procédures suivantes :
- Configurer un système avec un client 0 et deux autres clients
- Créer des groupes d'utilisateurs et des utilisateurs dans le client 0 et leur affecter des droits
- Déplacer des utilisateurs du client 0 vers le client sur lequel ils travaillent
Les groupes d'utilisateurs constituent la base d'un système d'autorisation efficace. Vous leur assignez les droits CRUD pour définir les dossiers et les objets ainsi que les privilèges pour utiliser les fonctions.
Par exemple, si vous configurez vos clients pour représenter les départements de votre entreprise, les groupes d'utilisateurs au sein de votre client peuvent représenter les groupes d'utilisateurs qui partagent les mêmes rôles et qui doivent donc pouvoir accéder aux mêmes dossiers et objets avec des droits et des privilèges identiques (ou très similaires).
Si vous appliquez cette structure à vos clients / groupes d'utilisateurs, il est fortement recommandé de définir et d'appliquer également des conventions de nommage et des modèles à vos dossiers et noms d'objets. Cela vous aide à facilement reconnaitre à quel groupe d'utilisateurs appartient un objet ou un dossier. Vous pourriez par exemple décider que les objets et les dossiers relatifs aux les développeurs de votre entreprise doivent débuter avec le préfixe DEV_.
Vous pouvez créer des utilisateurs directement dans le client dans lequel ils devront travailler ou bien dans le client 0 et les déplacer ensuite vers un autre client. Dans ce cas, tous les utilisateurs définis dans le système Automation Engine sont également disponibles dans le client 0.
Lors de la création d'utilisateurs, vous pouvez également leur assigner des autorisations pour accéder à des dossiers ou à des objets spécifiques, des droits CRUD et des privilèges pour accéder à des fonctions, de la même manière que vous le feriez pour des groupes d'utilisateurs. Si vous avez un petit système avec juste quelques utilisateurs, vous avez la possibilité de définir des autorisations et des droits au niveau utilisateur. Cependant, le fait de le faire au niveau groupe d'utilisateurs réduit considérablement les activités de maintenance (vous définissez les droits et les privilèges une seule fois et vous assignez simplement les utilisateurs au groupe d'utilisateurs) et améliore la transparence de votre stratégie d'autorisation.
Lors de l'installation de votre système Automation Engine, un utilisateur standard est fourni dans le client 0 et il contient tous les droits et les privilèges disponibles, en occurrence l'utilisateur UC (nom d'utilisateur) dans le département UC avec le mot de passe UC. Vous devez l'utiliser pour votre première connexion et pour commencer à configurer votre système.
Pour faciliter davantage l'accès des utilisateurs aux dossiers et aux objets auxquels ils ont accès, vous avez la possibilité des créer des catalogues d'utilisateurs basés sur les définitions des groupes d'utilisateurs.
Lorsque vous ajoutez un groupe d'utilisateurs à votre système, il est automatiquement disponible dans la liste Catalogue de l'utilisateur de la perspective Conception des processus. Vous devez ajouter les dossiers et les objets auxquels ce catalogue de l'utilisateur a accès ; les autorisations et les droits sont déjà spécifiés dans la définition du groupe d'utilisateurs.
Cela détermine quels sont les dossiers et les objets que les utilisateurs peuvent voir et ce qu'il peuvent faire avec lorsqu'ils ouvrent leur perspective Mon catalogue
Autorisations concernant les dossiers
Les dossiers sont des objets et par conséquent, il est possible de leur assigner des droits. Cependant, le fait de définir des droits sur un dossier n'empêche pas l'accès aux objets contenus à l'intérieur. Un utilisateur qui n'est pas autorisé à accéder à un dossier spécifique peut tout de même accéder à un objet de ce dossier, par exemple s'il est utilisé dans un Workflow. La commande Ouvrir est presque toujours disponible et donc également dans les workflows. Par conséquent, les objets qui ne doivent pas être accessibles par un utilisateur particulier doivent également être protégés
Autorisations sur les objets
De plus, il est possible de définir des droits CRUD spécifiques au niveau objet, que vous pouvez assigner à des utilisateurs ou à des groupes d'utilisateurs. Cela vous permet d'étendre les droits d'un utilisateur ou d'un groupe d'utilisateurs par rapport à un objet particulier. Les droits que vous définissez au niveau objet remplacent les droits spécifiés au niveau de l'utilisateur ou du groupe d'utilisateurs.
Important ! La combinaison de droits au niveau de l'utilisateur ou du groupe d'utilisateurs avec des autorisations supplémentaires au niveau de l'objet peut conduire à des définitions contradictoires. Utilisez les autorisations d'objets modérément.
Gérer les mots de passe
Si vous êtes administrateur système, définissez les critères auxquels les mots de passe doivent se conformer dans la variable UC_CLIENT_SETTING (UC_CLIENT_SETTINGS - Divers paramètres du client).
Les mot de passe ne s'appliquent pas aux logins définis via une connexion LDAP.
Voir aussi Chiffrement des mots de passe et Exit de mot de passe.
Voir aussi :