La gestion des droits dans Business Objects

La configuration des droits est une étape souvent délicate lors de l’intégration de Business Object dans un projet. Les droits dans BO peuvent être paramétrés finement et par conséquent être compliqués à gérer lorsqu’on ne maîtrise pas bien les règles qui les régissent.

Dans cet article je présente les notions de droits et niveau d’accès et leur mode d’utilisation puis je décris les règles d’héritages qui s’appliquent sur les droits dans BO.

Définition des droits et niveaux d’accès

Les droits

Les droits permettent de contrôler l'accès des utilisateurs aux objets, utilisateurs, applications, serveurs et autres fonctionnalités de BO

Les droits sont définis sur des objets (rapports, dossiers, etc.) et non sur les utilisateurs ou groupes qui y accèdent.

Par exemple, pour donner à un directeur l'accès à un dossier particulier, dans la zone "Dossiers", vous ajoutez le directeur à la “liste de contrôle d'accès” (liste des utilisateurs et groupes principaux qui ont accès à un objet) pour le dossier. Vous ne pouvez pas accorder l'accès au directeur en configurant ses droits d'accès dans la zone "Utilisateurs et groupes". Les droits d'accès du directeur dans la zone "Utilisateurs et groupes" sont utilisés pour accorder à d'autres utilisateurs ou groupes principaux (tels que les administrateurs délégués) le droit d'accéder au directeur en tant qu'objet du système.

Chaque droit sur un objet peut être accordé, refusé ou non spécifié.

Le modèle de sécurité de BO consiste à refuser un droit qui n'a pas été spécifié. Ce modèle “basé sur le refus” permet de veiller à ce que les utilisateurs et les groupes n'acquièrent pas automatiquement des droits qui ne leur ont pas été accordés explicitement.

Les niveaux d'accès.

Les niveaux d’accès sont des groupes de droits. Ils permettent aux administrateurs de définir rapidement et uniformément les niveaux de sécurité des utilisateurs et groupes au lieu d'avoir à définir les droits individuels un par un.
BO fournit quatre niveaux d’accès prédéfinis. Le tableau suivant récapitule les droits contenus dans chacun de ces niveaux d'accès et indique quelques clés pouvant aider à choisir quand attribuer tel ou tel niveau d’accès:

Les niveaux d'accès dans BO

Il est également possible de créer et personnaliser vos propres niveaux d'accès.

Les droits et l’héritage

BO définit deux types d'héritage concernant les droits: l'héritage de groupe et l'héritage de dossier.

L'héritage de groupe

Cet héritage permet aux utilisateurs ou groupes d'hériter des droits des groupes auxquels ils appartiennent.
L'héritage de groupe est une fonction particulièrement utile si vous organisez tous vos utilisateurs en groupes répartis selon les règles de sécurité à appliquer.

L'héritage de dossier

Cet héritage permet aux utilisateurs ou groupes d'hériter de tous les droits qui leur ont été accordés sur le dossier parent d'un objet.
L'héritage de dossier s'avère particulièrement utile lorsque vous organisez
le contenu de BO selon une hiérarchie de dossiers qui reflète les règles de sécurité à appliquer.

Une exception à l'héritage : Le “remplacement des droits”

Si un droit explicitement défini sur un objet enfant est en contradiction avec les droits hérités de l'objet parent, le droit défini sur l'objet enfant remplace les droits hérités.

Cette exception s'applique aux utilisateurs qui sont également membres de groupes. Si un utilisateur se voit accorder explicitement un droit refusé au groupe de l'utilisateur, le droit défini sur l'utilisateur remplace les droits hérités.
Ainsi il n'est pas nécessaire de désactiver l'héritage pour définir des droits personnalisés sur un objet enfant. L'objet enfant hérite des paramètres de droits de l'objet parent sauf pour les droits explicitement définis sur l'objet enfant.

Bilan

Les droits effectifs d’un utilisateur sur un contenu sont issus de l’agrégation des droits hérités de son (ses) groupe(s), des droits hérités par le contenu et des droits personnalisés définis sur l’utilisateur. Tous ces paramètres doivent être pris en compte lors de la définition des droits des utilisateurs dans BO.

Un commentaire

  1. Merci pour l’explication des droits concernant la sécurité des dossiers / rapports.

    Me mon côté, j’ai une besoin encore plus complexe. Soit donner à un utilisateur le droit
    de développer des rapports, mais en ne lui donnant pas l’ensembles des classes de l’univers.

    Est-ce possible d’appliquer ce genre de sécurité ?

    Merci du suivi !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.