La nouvelle gestion des droits d’accès permet une gestion très fine de la sécurité.
Elle apporte des fonctionnalités qui n’étaient pas gérées dans l’ancienne gestion des droits, notamment :
La gestion des droits sur les paramétrages internes à l’entreprise,
La gestion des droits sur les consultations,
La gestion des droits sur les éditions,
La gestion des droits sur les masques,
La gestion des droits sur les listages du générateur de listes…
Tout en conservant les possibilités de l’ancienne gestion des droits :
La gestion des droits sur un module,
La gestion des droits sur une application,
La gestion des droits sur une unité d’une application (entête/corps),
La gestion des droits sur les différents traitements d’une application,
La gestion des droits sur les tables et les champs.
Avant de mettre en place cette nouvelle gestion, il convient de désigner les utilisateurs administrateurs dans la gestion des utilisateurs. Ces derniers disposeront de tous les droits sur l’ERP sans avoir besoin de leur affecter des privilèges.
Une fois le paramétrage finalisé, il faut procéder à son activation dans l’ERP, voir « 16.12. Activation de la nouvelle gestion des droits d'accès ». Cela permet d’utiliser l’ancienne gestion des droits pendant une phase de transition.
Il n’y a pas de traitement de basculement de l’ancienne version vers la nouvelle gestion des droits, l’architecture ayant été totalement repensée.
C’est donc l’occasion de remettre à plat et de réactualiser la stratégie au niveau de la sécurité liée aux droits d’accès à l’ERP.
Par défaut, après activation, seuls les administrateurs accèdent à L’ERP si aucun privilège n’a été attribué au minimum à un utilisateur ou à un groupe d’utilisateur.
Dans un premier temps, il faut identifier les objets de l’ERP qui nécessitent une gestion des droits et définir les privilèges et les rôles dans l’entreprise.
Ces notions sont mise en œuvre pour protéger les données en accordant (ou retirant) des privilèges à un utilisateur ou à un groupe d'utilisateur via l’affectation directe des rôles ou des modèles de privilèges pour un objet de l’ERP.
Un Objet peut se définir comme étant une fonctionnalité de l’ERP gérée par les droits utilisateurs. Il est souvent associé à des modèles de privilèges de type « Autoriser tout » ou « Interdire tout » qui donnent des droits sur un ensemble de privilèges qui dans le cas du modèle « Autoriser » ont tous des valeurs d’autorisation par défaut et inversement dans le cas du modèle « Interdit », ont tous des valeurs d’interdiction par défaut. Voir 16.1. Privilèges des objets.
Un modèle de privilège porte donc les droits sur la manipulation d’un objet (Application, Champs, Etats, Traitements, Listages…) et sur les fonctionnalités de cet objet (Création, Modification, Suppression, Export…).
Par exemple le module « Fournisseurs » : Deux modèles de privilège par défaut donnant des droits opposés sur les privilèges.
Voir 16.1. Privilèges des objets.
Un rôle est un regroupement de modèles de privilèges sur un ou plusieurs objets. Une fois créé il peut être associé à un ou plusieurs utilisateur(s) ou à un ou plusieurs groupe(s) d’utilisateur. Ces derniers héritent des valeurs des privilèges du rôle. Voir 16.9. Les rôles.
Important : Lorsque deux privilèges sont contradictoires, c’est le privilège le plus permissif qui s’exprime.
Dans un second temps, il faut identifier les utilisateurs ayant besoin d'un accès à l’ERP, ils sont de trois types :
Utilisateur non administrateur : L'utilisateur est une personne physique se connectant directement à l’ERP. Il peut être aussi un utilisateur fictif utilisé dans les traitement automatisés des macro-commandes. Par exemple un utilisateur codifié « Macro ». Il peut être dans un groupe d’utilisateur et il est possible de l’associer à des rôles ou directement à des modèles de privilège pour lui octroyer des droits. Voir 16.10. Les utilisateurs.
Administrateurs : L’administrateur est une personne physique ayant tous les droits. C’est un utilisateur, typé « Administrateur ». Il peut réaliser des opérations de gestion des droits d'accès et des ressources systèmes. Bien que parfaitement logique d'un point de vue métier, pour la protection de données sensibles par exemple, retirer à un administrateur les droits de lecture et d'écriture sur le contenu d'une base de données n'a pas de sens d'un point de vue technique puisqu'il possède les capacités techniques de s'octroyer ces droits-là. Au sens de l’ERP Silog, un administrateur dispose donc de tous les droits sur tout L’ERP sans avoir besoin de lui octroyer des privilèges. Voir 16.10. Les utilisateurs.
Groupes d’utilisateurs : Un groupe d’utilisateur permet de regrouper au sein d’un ensemble les utilisateurs ayant un profil similaire au niveau des droits de sécurité, des fonctions communes. Cela permet d’affecter les droits directement sur le groupe, cela évite de le faire utilisateur par utilisateur. Voir 16.11. Les groupes d'utilisateur. Un utilisateur ou un groupe d’utilisateur peut être associé à plusieurs rôles.
Un utilisateur ou un groupe d’utilisateur peut être associé à plusieurs rôles.
En résumé :
Voici la liste des applications de l’ERP permettant de gérer les droits utilisateurs. Elles sont accessibles depuis le menu de l’ERP.
Sommaire