Différences

Ci-dessous, les différences entre deux révisions de la page.

--- sg:gt:controleacces2017:si [02/11/2017 15:03] – [Définition des groupes d'usagers] momm
+++ sg:gt:controleacces2017:si [15/12/2017 08:27] (Version actuelle) – dberthet
@@ Ligne 1: / Ligne 1: @@
-[[sg:gt:controleacces20017|ACCUEIL CONTRÔLE D'ACCÈS 2017]]
+<btn type="info" icon="glyphicon glyphicon-home">[[sg:gt:controleacces20017|ACCUEIL CONTRÔLE D'ACCÈS 2017]]</btn>
 ====== Contrôle d'Accès : Système d'Information ======
@@ Ligne 21: / Ligne 21: @@
   * <todo>Prévoir VPN site à site entre 192.168.153.0/24 et 193.49.172.251 (Florent BITSCHY)</todo>
-====== Définition des groupes d'usagers ======
+====== Principes Généraux ======
-<WRAP center round help 60%>
+===== Fonctionnement =====
-Faut-il faire un filtre LDAP pour chaque groupe?
-</WRAP>
+Le contrôle d'accès reposera sur 3 briques :
-^ Nom du groupe ^ Filtre LDAP correspondant ^
+==== 1.- Référentiel utilisateur LDAP ====
-|ELEVE|<nowiki>(&(supannActivite=ACTIF)(businessCategory=ELEVE))</nowiki>|
-|PERSONNEL|<nowiki>(&(supannActivite=ACTIF)(|(businessCategory=ADMIN)(businessCategory=CIS)(businessCategory=CMP-GC)(businessCategory=FAYOL)(businessCategory=SMS)(businessCategory=SPIN)))</nowiki>|
-|VACATAIRE|<nowiki>(&(supannActivite=ACTIF)(businessCategory=VACATAIRE))</nowiki>|
-|STAGIAIRE|<nowiki>(&(supannActivite=ACTIF)(|(businessCategory=ADMIN)(businessCategory=CIS)(businessCategory=CMP-GC)(businessCategory=FAYOL)(businessCategory=SMS)(businessCategory=SPIN))(employeeType=Stagiaire))</nowiki>|
-|...||
-===== ÉTUDIANTS =====
+  * Point de vérité données utilisateurs (création de comptes : ARRIVANTS, CREENS, DOCGEST)
-Droits initiaux = 1 an (carte d'étudiant)
+  * Synchronisation automatique des utilisateurs avec SESAME basée sur des filtres
-  * businessCatégory = ELEVE
-===== TEAM =====
+==== 2.- Application maison SESAME ====
-Droits accès aux batiments / accès aux salles communes / accès bureau dédié à l'équipe
-===== EXTERNE =====
+  * **Point de vérité droits d'accès des utilisateurs**
+  * Application maison PHP / Mysql + CRON pour interactions avec ARD et mise à jour de changement de valeur d'attribut dans LDAP
+  * Attribution de droits initiaux en fonction des attributs LDAP lors de la création de l'utilisateur
+  * Interface d'attribution, de modification et de suppression de droits LN2, locaux spécifiques, accès exceptionnels (workflow), accès à durée limité (workflow)...
+  * Interface utilisateurs de visualisation des droits d'accès en cours, des attributs LDAP, de déclaration de perte/vol de badge, de demande d'autorisation de droits (via WORKFLOW)
-Attribut trop large à ce jour (PERSONNEL MDE / VACCATAIRE)
+==== 3.- ARD Accès ====
-Transfert des anciens élèves en ADMIN
+  * **Point de vérité "badges", "Points d'Accès, Groupes d'utilisateurs**
+  * Gestion manuelle de droits non automatisés (EXTERNE)
-===== AUTRE =====
+===== Groupes Principaux de locaux =====
-  * A détruire
+  * BÂTIMENTS = portes extérieurs + SAS Fauriel
+  * BÂTIMENTS-HPH = accès BÂTIMENTS Hors Plages Horaires
+  * ACCES-HPH = accès pour véhicules Hors Plages Horaires
+  * SC = Salles de cours
+  * SV = Salles de visio
+  * SR = Salles de réunions
+  * BARRIÈRES = barrières parking
+  * BUREAUX = bureaux
+  * BUREAUX-DIR = bureaux des responsables de centre/département (CENTRE)
+  * LN1 = Laboratoires Niveau 1
+  * LN2 = Laboratoires Niveau 2
-<WRAP center round important 80%>
+===== Groupes Principaux d'usagers =====
-Prévoir isoler ou repérer STAGIAIRES / EMERITES / TEAM + MICROPACKS
+  * ÉLÈVE = BÂTIMENTS + SC
-</WRAP>
+  * PERSONNEL = BÂTIMENTS + BARRIÈRES + SC/SR/SV
+  * CENTRE = PERSONNEL + LN1 + BUREAUX CENTRE
+  * CENTRE-DIR = CENTRE + BUREAUX-DIR
+  * ADMIN = PERSONNEL + BUREAU SERVICE
+  * STAGIAIRE = PERSONNEL + LOCAUX DÉFINIS DANS SESAME
+  * VACATAIRE = ÉLÈVES + BARRIÈRES
+  * TEAM/MICROPACKS = BÂTIMENTS + BARRIÈRES + BUREAU(X) TEAM SESAME
+  * WE = BÂTIMENTS-HPH + LOCAUX DÉFINIS DANS SESAME
+  * VÉHICULES = BARRIÈRES + ACCES-HPH
+Les services DSI, PMG (STE) et Infra (Gardanne) doivent avoir accès à tous les locaux sauf LN2 en HO pour gérer l'accueil des entreprises et les interventions.
-====== Les Profils ======
+[[sg:gt:controleacces2017:profils|Liste exhaustive des profils]]
-===== Créations d'attributs spécifiques =====
-  * Date de création du compte (type date)
-  * Date d'expiration du badge (type date)
-  * Date d'expiration du mot de passe (type date)
-  * Profils d'accès géographique (texte multivalué)
-  * Profile d'accès Services (texte multivalué)
-  * Statut du contrôle d'accès (multivalué = ACTIF / INACTIF / ASUPPRIMER) : **SuppannActivite**
-  * N° BADGE (injecté depuis ARD ACCESS si possible)
-===== Opération préalable sur annuaire LDAP =====
+====== Modèle des données ======
-[[sg:gt:controleacces2017:nettoyage_ldap|Nettoyage annuaire LDAP]]
-  * Repérage **DOCTORANTS** : EduPersoAffiliation = student + researcher (OK)
-  * Repérage **STAGIAIRES** : EmployeType=stagiaire (pris en compte dans process actuel de création de compte
-    * Modification process affectation de badges
-    * If EmployeType=stagiaire : affectation des droits dans application "Droits Particuliers"
-  * Remplir **SuppannActivite** : filtre = BusinessCategory (ADMIN/ CIS / SMS / CMP / SPIN / FAYOL / ELEVE) ET employeNumber
+  * [[sg:gt:controleacces2017:modelesdonnees|Modèle des données]] (LDAP / SESAME / ARD)
-    * EmployeNumber = 0 ⇒ INACTIF = pas de demande de badges initial
-    * EmployeNumber # 0 ⇒ ACTIF = demande de création de badge
-    * A VERIFIER : les doctorants
-  * Remplir Fin de droits de badges
+  * [[sg:gt:controleacces2017:nettoyage_ldap|Nettoyage annuaire LDAP]]
-    * Attributs type date à trouver (demande IANNA en cours)
-    * Prévoir action automatique à expiration de la date : modification SuppannActivite = ADETRUIRE
-===== Modification des application de création de comptes =====
+  * [[https://portailmetier.emse.fr/dev/ard/sources/build/api/html/classes.xhtml|Documentation API SOAP]]
-  * SuppannActivite
+  * [[sg:gt:controleacces2017:sesame-spec|Spécifications SESAME]]
-Prévoir une interface d'attribution de profil