From 169b5749aae238f795d8d65de4a497acf8fa3955 Mon Sep 17 00:00:00 2001 From: viennet Date: Mon, 6 Mar 2023 22:25:24 +0100 Subject: [PATCH] =?UTF-8?q?Am=C3=A9liore=20doc=20config=20CAS?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/ConfigCAS.md | 56 ++++++++++++++++++++++++++++++++++- docs/ConfigPermissionsDept.md | 1 + 2 files changed, 56 insertions(+), 1 deletion(-) diff --git a/docs/ConfigCAS.md b/docs/ConfigCAS.md index d2dbdd01..7eed3248 100644 --- a/docs/ConfigCAS.md +++ b/docs/ConfigCAS.md @@ -68,7 +68,7 @@ annuaire, il va falloir saisir ces identifiants pour chaque compte. On peut le faire via le formulaire habituel de paramétrage du compte utilisateur, ou bien par import Excel. -Le formulaire n'est accessible qu'au super-admin (actuellement). +Cette configuration n'est accessible qu'au super-admin. ![form. config. utilisateur](fig/config-cas-user.png) @@ -88,15 +88,69 @@ forçage est activé, il leur faut passer par une adresse spéciale: https://votre.serveur.scodoc.fr/auth/login_scodoc ``` +(remplacer `https://votre.serveur.scodoc.fr` par le début de l'adresse de votre serveur). + 🚸 **Attention**: en général, les **clients d'API** (et notamment la "passerelle") n'utilisent pas le CAS: si vous forcez les utilisateurs à utiliser le CAS, pensez à autoriser les comptes de l'API à se connecter sur ScoDoc sans CAS. +## Sécurité: permissions et informations + +L'utilisateur connecté via CAS a exactement les mêmes permissions que s'il +s'était connecté via ScoDoc. + +### Permission + +Le paramétrage CAS au niveau général nécessite la permission `Super Administrateur`. + +Il est naturel de déléguer la création des comptes utilisateurs ScoDoc aux +responsables de département ou à leur représentant. Toutefois, le réglage CAS +pourrait créer des problèmes de sécurité (par exemple affecter à un département +un utilisateur CAS qui n'en fait pas réellement partie). + +Le CAS ajoute une permission ScoDoc `ScoUsersChangeCASId` qui contrôle la +possibilité de changer l'identifiant CAS d'un compte. Cette permission peut ou +non être associée au rôle `Admin` d'un département, selon la politique de +l'établissement. + +Les réglages par compte **Autorise connexion via CAS** +et **Autorise connexion via ScoDoc** sont réservés au `Super Administrateur`. + +### Informations sur un utilisateur + +Le super-administrateur (et elle seule) peut visualiser les dates de: + +- dernière utilisation (date du dernier chargement de page); +- dernière connexion (login) via CAS. + +dans les tables d'utilisateurs et sur la page de chaque compte: + +![Informations sur un utilisateur](fig/config-user-view.png) + +### Logs + +Les connexions et tentatives de connexions via CAS sont logguées au niveau +`INFO`, qui arrive par défaut dans `/opt/scodoc-data/scodoc.log`. +Exemples: + +- Connexion réussie: + +```text + INFO: CAS: login user_name +``` + +- Tentative de connexion CAS réussie mais utilisateur non reconnu par ScoDoc: + +```text +INFO: CAS login denied for cas_id=prenom.nom (unknown or inactive) +``` !!! note "Voir aussi" - [Gestion des utilisateurs](AdminUsers.md) + - [Rôles et permissions](ConfigPermissionsDept.md) + - [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role) - [Guide administrateur ScoDoc](GuideAdminSys.md) - [API pour ScoDoc 9](ScoDoc9API.md) - [FAQ](FAQ.md) diff --git a/docs/ConfigPermissionsDept.md b/docs/ConfigPermissionsDept.md index 460c6bb4..6f6eb8cc 100644 --- a/docs/ConfigPermissionsDept.md +++ b/docs/ConfigPermissionsDept.md @@ -67,6 +67,7 @@ Peuvent saisir des notes dans une évaluation située dans un module: - [ConfigPermissions](ConfigPermissions.md) pour plus de détails sur les permissions (pour les développeurs) - [Gestion des utilisateurs](AdminUsers.md) + - [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role) - [Guide administrateur ScoDoc](GuideAdminSys.md) - [FAQ](FAQ.md) - [Contacts](Contact.md).