Quand on utilise openMairie avec un annuaire d’entreprise, on évite de créer des utilisateurs locaux qui échappent aux contrôles de sécurité d’entreprise. Un utilisateur métier régulier qui peut utiliser des droits puissants, parfois contraires à la logique métier ou la réglementation doit pouvoir n’y accéder que de façon très consciente et sécurisée. Par analogie avec les système d’exploitation, on peut imaginer un “jeton d’action privilégiée” qui soit:
-accessible à certains profils d’utilisateur seulement
-de façon temporaire (1 “action”, 1 session, quelques minutes …)
-avec une ré-authentification (idem sudo sous unix, ou jeton administrateur sous windows)
quelqu’un a t’il déjà fait un développement dans ce sens pour une application sensible ?
Dans le cadre de la gestion du courrier, dans sa nouvelle version 5.0.0 en cours on a ajouté la notion de fonction qui permet a un utilisateur de changer de rôle et de profil (au sens open mairie du terme) sans se déconnecter (sans s’authentifier). Il peut donc être administrateur pour une tache et redevenir utilisateur pour d autres.
Reste qu il n’ a pas de limite dans le temps sauf celle de la session si il reste inactif.
Pour openElec, mes collègues ont un “om_utilisateur” commun qui a la possibilité de lancer les traitements (fin d annee, j-5 …) de manière à éviter de mauvaises manipulations quand elles sont avec le public. Dans ce cas elles doivent se ré authentifier.
Merci de ce retour. En attendant, avec openARIA, je vais passer par une solution proche d’openElec avec des “om_utilisateur” locaux , jumeaux de ceux des annuaires d’entreprise (donc personnel) mais ayant un profil “paramétrage seul”.