ScoDoc
/
DocScoDoc
5
2
Fork 10
Code Issues 1 Pull Requests 1 Projects Releases Wiki Activity

Améliore doc config CAS

This commit is contained in:
Emmanuel Viennet 2023-03-06 22:25:24 +01:00
parent 4948da5e84
commit 169b5749aa
2 changed files with 56 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

56
docs/ConfigCAS.md
View File

@ -68,7 +68,7 @@ annuaire, il va falloir saisir ces identifiants pour chaque compte. On peut le
faire via le formulaire habituel de paramétrage du compte utilisateur, ou bien
par import Excel.
Le formulaire n'est accessible qu'au super-admin (actuellement).
Cette configuration n'est accessible qu'au super-admin.
![form. config. utilisateur](fig/config-cas-user.png)
@ -88,15 +88,69 @@ forçage est activé, il leur faut passer par une adresse spéciale:
https://votre.serveur.scodoc.fr/auth/login_scodoc
```
(remplacer `https://votre.serveur.scodoc.fr` par le début de l'adresse de votre serveur).
🚸 **Attention**: en général, les **clients d'API** (et notamment la
"passerelle") n'utilisent pas le CAS: si vous forcez les utilisateurs à utiliser
le CAS, pensez à autoriser les comptes de l'API à se connecter sur ScoDoc sans
CAS.
## Sécurité: permissions et informations
L'utilisateur connecté via CAS a exactement les mêmes permissions que s'il
s'était connecté via ScoDoc.
### Permission
Le paramétrage CAS au niveau général nécessite la permission `Super Administrateur`.
Il est naturel de déléguer la création des comptes utilisateurs ScoDoc aux
responsables de département ou à leur représentant. Toutefois, le réglage CAS
pourrait créer des problèmes de sécurité (par exemple affecter à un département
un utilisateur CAS qui n'en fait pas réellement partie).
Le CAS ajoute une permission ScoDoc `ScoUsersChangeCASId` qui contrôle la
possibilité de changer l'identifiant CAS d'un compte. Cette permission peut ou
non être associée au rôle `Admin` d'un département, selon la politique de
l'établissement.
Les réglages par compte **Autorise connexion via CAS**
et **Autorise connexion via ScoDoc** sont réservés au `Super Administrateur`.
### Informations sur un utilisateur
Le super-administrateur (et elle seule) peut visualiser les dates de:
- dernière utilisation (date du dernier chargement de page);
- dernière connexion (login) via CAS.
dans les tables d'utilisateurs et sur la page de chaque compte:
![Informations sur un utilisateur](fig/config-user-view.png)
### Logs
Les connexions et tentatives de connexions via CAS sont logguées au niveau
`INFO`, qui arrive par défaut dans `/opt/scodoc-data/scodoc.log`.
Exemples:
- Connexion réussie:
```text
INFO: CAS: login user_name
```
- Tentative de connexion CAS réussie mais utilisateur non reconnu par ScoDoc:
```text
INFO: CAS login denied for cas_id=prenom.nom (unknown or inactive)
```
!!! note "Voir aussi"
- [Gestion des utilisateurs](AdminUsers.md)
- [Rôles et permissions](ConfigPermissionsDept.md)
- [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role)
- [Guide administrateur ScoDoc](GuideAdminSys.md)
- [API pour ScoDoc 9](ScoDoc9API.md)
- [FAQ](FAQ.md)

1
docs/ConfigPermissionsDept.md
View File

@ -67,6 +67,7 @@ Peuvent saisir des notes dans une évaluation située dans un module:
- [ConfigPermissions](ConfigPermissions.md) pour plus de détails sur les permissions (pour les développeurs)
- [Gestion des utilisateurs](AdminUsers.md)
- [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role)
- [Guide administrateur ScoDoc](GuideAdminSys.md)
- [FAQ](FAQ.md)
- [Contacts](Contact.md).