Aller à : navigation, rechercher

Maarch RM/Administration fonctionnelle

Ces panneaux d'administration permettent à l'administrateur fonctionnel de gérer les référentiels de sécurité et d'organisation pour définir les périmètres d'accès des utilisateurs et des services aux fonctionnalités et aux données d'archive. Cette gestion est de la responsabilité du service opérateur du système d'archivage.


Utilisateurs

Ces panneaux d'administration permettent de gérer les utilisateurs et leurs droits d'accès aux fonctionnalités de l'application.

Liste des utilisateurs

L'administrateur accès à la liste des utilisateurs par le menu Administration > Sécurité > Utilisateurs.

MaarchRM - Users.png

La zone intitulée "Filtre" en haut à gauche du tableau permet de saisir tout ou partie du nom de l'utilisateur pour filtrer les résultats affichés.

Un bouton en haut à droite de la liste affiche le formulaire permettant de saisir les informations d'un nouvel utilisateur.

Sur chaque ligne du tableau, à droite, trois boutons permettent d'accéder aux fonctions suivantes :

Le premier affiche le formulaire de saisie des informations et de gestion de l'utilisateur.

Le second permet de verrouiller ou de déverrouiller l'utilisateur selon son état actuel, le troisième permet de désactiver ou d'activer l'utilisateur selon son état actuel (voir plus bas pour la description de ces actions).

Informations d'un utilisateur

Le formulaire est organisé en 3 parties que sont les informations du compte, les rôles et l'administration du compte.

MaarchRM - User.png

En bas du formulaire, deux boutons permettent respectivement d'annuler et d'enregistrer les modifications apportées au compte. Dans les deux cas on retourne à la liste des utilisateurs.

Nom d'utilisateur

Le nom d'utilisateur est celui utilisé dans la procédure de connexion et qui l'identifie dans les processus métier. Il doit être unique dans le référentiel.

Informations personnelles

Cet onglet permet de détailler le nom complet de la personne et de son adresse de courrier électronique.

Le bouton "+" à droit de la zone de saisie du nom complet de l'utilisateur permet de détailler les informations de nom, de prénom et de titre de la personne.

MaarchRM - UserInfo.png

Rôles de l'utilisateur

Un onglet permet de gérer les rôles de l'utilisateur, qui définissent ses droits d'accès aux fonctionnalités et aux données de l'application. Le formulaire se compose d'une zone de saisie et de la liste des rôles attribués à l'utilisateur.

Les rôles sont cumulatifs, c'est-à-dire que les droits qu'ils attribuent sont ajoutés les uns aux autres pour définir le périmètre des droits de l'utilisateur.

MaarchRM - UserRoles.png

Une zone permet de saisir tout ou partie du nom du rôle à ajouter. L'application propose une liste des rôles correspondant à la recherche. Une fois le rôle sélectionné le bouton "+" à droite de la zone l'ajoute à la liste.

Dans la liste des rôles déjà attribués à l'utilisateur, sur chaque ligne, la croix à droite permet d'enlever le rôle.

MaarchRM - UserRoleRemove.png

Administrer le compte

Cette partie permet à l'administrateur de gérer l'état du compte par rapport aux opérations d'authentification de l'utilisateur.

MaarchRM - UserSecurity.png

Désactiver / Activer

Le statut d'activation de l'utilisateur permet de supprimer tout accès aux fonctionnalités pour le compte, mais aussi de le rendre invisible par les autres comptes et fonctionnalités du logiciel. Il s'agit d'une suppression logique, car le compte désactivé peut être référencé dans de nombreuses entités déjà existantes, notamment les journaux de l'application, et il est nécessaire de conserver ses informations jusqu'à ce que plus aucune référence n'y soit faite, ce qui couvre une période potentiellement longue voire sans limite.

En cliquant sur le bouton de désactivation, à partir de ce formulaire ou dans la liste des utilisateurs, l'administrateur affiche le formulaire de confirmation.

MaarchRM - UserDisable.png

Dans ce formulaire, il est possible de saisir le nom d'un utilisateur qui sera mentionné comme le remplaçant de celui sur le point d'être désactivé. Cette information permettra notamment de transmettre des droits sur des entités métier ou de router des messages par exemple.

L'administrateur doit confirmer par le bouton OK ou annuler la demande pour revenir à l'écran précédent.

Le bouton d'activation réactive le compte après confirmation.

MaarchRM - UserEnable.png

Verrouiller / Déverrouiller

Le statut de verrouillage est différent de la désactivation. Il s'agit d'empêcher uniquement la connexion du compte, qui reste cependant visible aux autres comptes et fonctionnalités de l'application.

Selon la politique de sécurité, il est possible que le compte soit verrouillé automatiquement après un nombre défini de tentatives de connexion en échec. Le verrouillage peut alors être temporaire ou permanent.

Il peut être nécessaire à l'administrateur de déverrouiller le compte manuellement après un verrouillage automatique, ou au contraire de le verrouiller pour empêcher son utilisation lorsqu'il existe une suspicion de vol de compte par exemple, ou que la personne correspondante est absente pour une durée importante.

Demander un nouveau mot de passe

Un bouton permet de demander la saisie d'un nouveau mot de passe à l'utilisateur lors de sa prochaine connexion. Ceci est utile lorsqu'il y a suspicion de divulgation du mot de passe.

La politique de sécurité permet aussi de définir une durée de validité des mots de passe, au terme de laquelle il sera automatiquement demandé un changement à l'utilisateur.

Saisir un mot de passe temporaire

Lorsque l'utilisateur a perdu son mot de passe, cette fonction permet à l'administrateur d'en indiquer un nouveau temporairement. La saisie d'un mot de passe par l'administrateur s'accompagne toujours d'une demande de nouveau mot de passe à l'utilisateur après sa première et seule connexion avec celui défini par l'administrateur.

Gérer la politique de sécurité

Maarch RM permet de définir une politique de sécurité des authentifications d'utilisateur selon plusieurs règles:

  • Le nombre de tentatives de connexion infructueuses au-delà duquel le compte d'utilisateur est verrouillé et la durée du verrouillage,
  • la durée de validité du mot de passe pour forcer le changement de mot de passe des utilisateurs de manière périodique,
  • La complexité du mot de passe: longueur minimale, présence de chiffres, de caractères mixtes, de caractères spéciaux.

Ces paramètres sont gérés dans le fichier de configuration de l'application:

securityPolicy = "{
  'loginAttempts' : 3,
  'lockDuration' : 60,
  'passwordValidity' : 365,
  'passwordMinLength' : 8,
  'passwordRequiresSpecialChars' : 0,
  'passwordRequiresDigits' : 0,
  'passwordRequiresMixedCase' : 0,
  'sessionTimeout' : 3600
}" 


Paramètre

Type

Description

loginAttempts

nombre

Nombre de tentatives de connexion en échec avant verrouillage du compte utilisateur (mot de passe erroné)

lockDuration

nombre

Durée du verrouillage de l'utilisateur, en secondes, lorsque le nombre de tentatives de connexions en échec a été atteint. Au-delà de cette durée, le compte est de nouveau déverrouillé. La valeur 0 ou l'absence de valeur indique que le verrouillage est permanent et que le déverrouillage nécessite l'intervention de l'administrateur.

passwordValidity

nombre

Durée de validité du mot de passe, en nombre de jour, au-delà de laquelle un nouveau mot de passe est demandé à l'utilisateur après connexion.

passwordMinLength

nombre

Longueur minimale du mot de passe en nombre de caractères

passwordRequiresSpecialChars

booléen

Si activé, le mot de passe doit contenir des caractères spéciaux, autres qu'alphanumériques.

passwordRequiresDigits

booléen

Si activé, le mot de passe doit contenir au moins un chiffre

passwordRequiresMixedCase

booléen

Si activé, le mot de passe doit contenir des caractères alphabétiques en minuscule ET en majuscule

sessionTimeout

nombre

Durée de validité de la connexion utilisateur, en secondes, si aucune activité n'est détectée.

Rôles des utilisateurs

Les rôles permettent de définir les droits d'accès des utilisateurs aux fonctionnalités de l'application.

Liste des rôles

L'administrateur accède via la liste des rôles d'utilisateurs déclarés dans le référentiel grâce au menu Administration > Sécurité > Rôles.

MaarchRM - Roles.png

La zone intitulée "Filtre" en haut gauche du tableau permet de saisir tout ou partie du nom du rôle pour filtrer les résultats affichés.

Un bouton en haut à droite de la liste affiche le formulaire permettant de saisir les informations d'un nouveau rôle.

Sur chaque ligne du tableau, à droite, deux boutons permettent d'accéder aux fonctions suivantes : Le premier affiche le formulaire de saisie des informations et de gestion du rôle, le second permet de verrouiller ou de déverrouiller le rôle (voir plus bas pour la description de ces actions).

Informations d'un rôle

Le formulaire se découpe en 3 parties que sont les informations du rôle, les membres, et les privilèges.

MaarchRM - Role.png

En bas du formulaire, deux boutons permettent respectivement d'annuler et d'enregistrer les modifications apportées au rôle. Dans les deux cas on retourne à la liste des rôles.

Nom du rôle et description

Le nom du rôle est celui affiché à l'utilisateur dans les différentes fonctions, il doit donc être relativement court. La description permet de saisir de plus amples informations sur le contenu du rôle en droits et autorisations.

Mode administrateur

Le mode administrateur permet de déclarer le rôle comme étant celui d'un super-utilisateur. Il a par défaut accès à toutes les fonctionnalités et à toutes les données de l'application. Ceci a pour effet de désactiver la gestion des privilèges et des droits d'accès du rôle, devenus inutiles.

Gérer les membres

Cette partie permet de gérer les utilisateurs membres d'un rôle, d'en ajouter et d'en retirer. Le formulaire se compose d'une zone de saisie et de la liste des utilisateurs membres du rôle.

Note: Comme nous l'avons vu, l'attribution ou le retrait d'un rôle à un utilisateur peut aussi être réalisée dans l'écran de gestion des utilisateurs.

MaarchRM - RoleMembers.png

Ajouter un membre

Une zone permet de saisir tout ou partie du nom de l'utilisateur à ajouter. L'application propose une liste des utilisateurs correspondant à la recherche. Une fois l'utilisateur sélectionné le bouton "+" à droite de la zone l'ajoute à la liste.

Enlever un membre

Dans la liste des utilisateurs déjà attribués au rôle, sur chaque ligne, la croix à droite permet d'enlever l'utilisateur.

Note: Cette suppression ne fait qu'enlever l'utilisateur du rôle, elle n'a aucune action sur le référentiel des utilisateurs.

Gérer les privilèges

Les privilèges représentent les droits des utilisateurs portant le rôle d'accéder à certaines fonctionnalités choisies de l'application.

Les privilèges sont organisés sur deux niveaux : Un domaine regroupe un ensemble cohérent vis-à-vis du métier, et apporte une liste de cas d'usage sur les fonctions disponibles, chacun apportant toutes les autorisations nécessaires pour réaliser le cas d'usage.

MaarchRM - RolePrivileges.png

Gérer par paquet

Le bouton "Tous" sur le paquet de cas d'usage est un commutateur qui permet d'attribuer lorsqu'il est vert, ou d'enlever lorsqu'il est blanc, tous les privilèges du paquet à la fois.

Gérer par cas d'usage

En cliquant sur le nom du paquet, on l'ouvre pour afficher les cas d'usage contenus. Chaque cas d'usage peut être activé (il devient vert), ou désactivé (il devient rouge) pour le rôle grâce au bouton commutateur situé à droite de la ligne correspondante.

Il n'est pas possible de gérer l'état précis de chaque cas d'usage lorsque l'intégralité du paquet est autorisée, car tous les cas sont alors automatiquement autorisés.

Comptes de service

Les comptes de services sont utilisés par les clients applicatifs, c'est-à-dire les logiciels tiers, qui accèdent aux fonctionnalités directement via la couche de service publiée et non par l'interface homme-machine.

Liste des comptes de services

L'administrateur accède via la liste des comptes de service déclarés dans le référentiel grâce au menu de l'application.

MaarchRM - ServiceAccounts.png

La zone intitulée "Filtre" en haut gauche du tableau permet de saisir tout ou partie du nom du compte pour filtrer les résultats affichés.

Un bouton en haut à droite de la liste affiche le formulaire permettant de saisir les informations d'un nouveau compte.

Sur chaque ligne du tableau, à droite, deux boutons permettent d'accéder aux fonctions suivantes : Le premier affiche le formulaire de saisie des informations et de gestion du compte, le second permet d'activer ou de désactiver le compte (voir plus bas pour la description de ces actions).

Informations d'un compte de service

MaarchRM - ServiceAccount.png

En bas du formulaire, deux boutons permettent respectivement d'annuler et d'enregistrer les modifications, pour revenir ensuite à la liste des comptes.

Nom de compte

Le nom de compte sera utilisé pour identifier le compte dans les échanges avec les systèmes tiers notamment. Il doit être unique dans le référentiel.

Service de rattachement

Le compte de service doit être rattaché à un service de l'organisation, à choisir dans une liste de sélection. Ceci permet d'identifier l'acteur archivistique dans les fonctions exécutées par le compte.

Activer/désactiver

Le statut d'activation du compte permet de supprimer tout accès aux fonctionnalités pour le compte, mais aussi de le rendre invisible par les autres comptes et fonctionnalités du logiciel. Il s'agit d'une suppression logique, car le compte désactivé peut être référencé dans de nombreuses entités déjà existantes, notamment les journaux de l'application, et il est nécessaire de conserver ses informations jusqu'à ce que plus aucune référence n'y soit faite, ce qui couvre une période potentiellement longue voire sans limite.

Générer un jeton

Le compte de service doit s'authentifier lors de l'appel aux services. Pour ce faire, le logiciel client doit fournir à chaque requête un jeton d'identification.

Note : Un compte utilisateur s'authentifie par une connexion de nom et de mot de passe (une ouverture de session) via l'interface homme-machine, ce qui fournit au navigateur internet le jeton d'authentification valable pour la durée de la session ou une durée définie.

MaarchRM - ServiceAccountToken.png

La zone en bas de l'écran permet à l'administrateur de demander la génération d'un jeton d'authentification, valide sans limitation de durée.

La génération d'un jeton rend le jeton précédent invalide, car il contient un "grain de sel" enregistré dans la base de données qui le rend unique et plus difficilement falsifiable.

La valeur de jeton ainsi générée doit être copiée et utilisée telle quelle comme identification dans les requêtes des logiciels clients à l'application.

Note : En protocole http, cette valeur doit être passée dans un cookie nommé LAABS-AUTH.

Gestion de l'organisation

Organigramme

L'administrateur accède à la vue de l'organigramme hiérarchique et fonctionnel par le menu "Organisation".

MaarchRM - Organigramme.png

L'écran affiche les organisations qui se trouvent à la racine, c'est-à-dire qui n'appartiennent pas à une autre organisation. En cliquant sur le bouton "+" à gauche de leur nom, on affiche leur contenu: les organisations rattachées ou unités organisationnelles, les utilisateurs positionnés, les contacts.

MaarchRM - OrganisationMenuCreation.png

En haut à droite du titre du panneau, un menu permet d'afficher le formulaire pour la saisie des informations d'une nouvelle organisation

Sur chaque organisation, un menu à droite de leur nom permet d'accéder aux fonctionnalités de gestion suivantes:

  • Modifier : affiche le formulaire de modification des informations de l'organisation
  • Ajouter une organisation : affiche le formulaire de saisie des informations d'une nouvelle organisation enfant rattachée à l'organisation
  • Ajouter une unité organisationnelle : affiche le formulaire de saisie des informations d'un nouveau service qui sera rattachée à l'organisation
  • Déplacer : affiche le formulaire de choix d'une nouvelle organisation parente
  • Supprimer : Affiche le formulaire de confirmation de la suppression.

Sur chaque service (ou unité organisationnelle), le menu à droite de leur nom permet d'accéder aux fonctionnalités de gestion suivantes:

  • Modifier : affiche le formulaire de modification des informations du service
  • Ajouter une unité organisationnelle : affiche le formulaire de saisie des informations d'un nouveau service qui sera rattaché à celui-ci
  • Gérer les membres : Affiche le panneau de gestion du positionnement des utilisateurs
  • Déplacer : affiche le formulaire de choix d'une nouvelle organisation parente
  • Supprimer : Affiche le formulaire de confirmation de la suppression.

Informations d'une organisation

MaarchRM-OrganisationInformationComplet.png

Noms et description

L'organisation possède plusieurs noms. La forme principale du nom, normalisée et/ou officielle, est affichée en haut du formulaire. Le bouton "+" à droite de la zone de saisie permet d'accéder aux autres formes du nom:

  • Autre nom permet d'indiquer une autre forme, normalisée ou non
  • Nom affiché permet de définir le nom plus court ou plus compréhensible dans les autres écrans et listes. Par défaut il est défini comme le nom principal.

Identification dans le registre

L'identifiant sera utilisé pour faire référence à l'organisation dans les données conservées et échangées. Il doit être unique dans l'application et respecter un format normalisé:

  • commencer par une lettre ou un tiret bas
  • ne contenir que des lettres, des chiffres, des tirets bas ou des tirets hauts

Ces identifiants sont invalides : "ACME 1", "1234567890", "ABCD@E"

Ces identifiants sont valides : "ACME_1", "_1234567890", "ABCDaE"

Classiquement il s'agit d'un numéro d'enregistrement dans un référentiel contrôlé tel que le registre du commerce (SIRET/SIREN).

Informations d'un service

Noms et description

Le service possède plusieurs noms. La forme principale du nom, normalisée et/ou officielle, est affichée en haut du formulaire. Le bouton "+" à droite de la zone de saisie permet d'accéder aux autres formes du nom:

  • Autre nom permet d'indiquer une autre forme, normalisée ou non
  • Nom affiché permet de définir le nom plus court ou plus compréhensible dans les autres écrans et listes. Par défaut il est défini comme le nom principal.

Identification dans le registre

L'identifiant sera utilisé pour faire référence à l'organisation dans les données conservées et échangées. Il doit être unique dans l'application et respecter le même format normalisé que celui des organisations. Étant donné que les services ne sont pas enregistrés dans un référentiel contrôlé, l'administrateur doit choisir un identifiant, qui pourra par exemple reprendre celui ce l'organisation suffixé par le code du service, voire pour les sous-services reprendre les codes des différents niveaux de services parents.

Rôles

Ce champ permet de déclarer le ou les rôles que le service peut prendre en tant qu'acteur du système d'archivage. Par extension, tous les utilisateurs appartenant à ce service pourront accéder aux cas d'usage correspondant au(x) rôle(s) de leur service.

Les rôles disponibles sont les suivants:

  • Opérateur d'archivage (onwer) : C'est le prestataire de tiers-archivage ou le service informatique qui exploite le système d'archivage. En tant que tel, il a un accès privilégié à toutes les fonctions et toutes les données.
  • Service d'Archives (archiver) : C'est un acteur du système responsable de la conservation des documents numériques reçus d'un ou plusieurs services versants pour un ou plusieurs services producteurs, auxquels il est lié par un accord de versement. Il peut traiter les versements, les demandes de communication, les demandes de restitution, gérer les archives, faire des demandes d'élimination, déclencher la destruction.
  • Service Versant (depositor) : C'est un acteur du système responsable de la constitution des paquets d'information versés et de leur transmission au système d'archivage. Il peut effectuer des versements.
  • Service Producteur (originator) : C'est un acteur du système à l'origine d'une partie des documents archivés, reçus ou produits par lui puis versés par le service versant. Il possède un accès à ses propres archives ainsi qu'à celles de ses services enfants. Il peut effectuer des demandes de communication de ses archives, demander et traiter leur restitution, valider leur élimination, il est notifié de leur modification et de leur destruction.
  • Service de Contrôle (control) : C'est un acteur de l'archivage sphère publique qui assure le contrôle scientifique et technique sur les archives pour les opérations de communication avec dérogation et d'élimination.
  • Service Demandeur (requester) : C'est un acteur du système d'archivage qui peut effectuer des demandes de communication des archives dont il n'est pas producteur, avec une dérogation qui doit être acceptés par le service producteur et le service de contrôle s'il est déclaré.

Déplacer dans l'organigramme

Cette opération permet de déplacer les organisations et services. Toutes les entités enfants sont aussi déplacées : organisations, services, utilisateurs, contacts.

MaarchRm-DeplacerOrganigramme.png

Les organisations et services ne peuvent être déplacés qu'au sein de leur organisation racine, autrement dit il n'est pas possible de déplacer une branche d'organisation vers une autre arborescence.

Les organisations ne peuvent être déplacées que vers une autre organisation, elles ne peuvent être placées sous un service.

Positionner les utilisateurs

Cette fonction permet de rattacher les comptes utilisateurs et comptes de service à un service.

La zone de saisie intuitive effectue une recherche par le nom complet de l'utilisateur dès que quelques caractères sont saisis, et propose la liste de ceux qui correspondent. Une fois le compte sélectionné dans la liste, on peut préciser sa fonction au sein du service à titre informatif, puis cliquer sur le bouton "+ Ajouter"

MaarchRm-PositionerUtilisateurComplet.png

Les utilisateurs rattachés au service apparaissent de deux manières dans l'arborescence:

  • précédés d'un glyphe d'utilisateur (personne) pour les utilisateurs "humains"
  • précédés d'un glyphe d'ordinateur pour les comptes de services .

Rattacher les contacts

Cette fonction permet de rattacher des informations d'adresse, de communication et de contacts à un servie.

La zone de saisie intuitive effectue une recherche par le nom complet du contact dès que quelques caractères sont saisis, et propose la liste de ceux qui correspondent. Une fois le contact sélectionné dans la liste, on peut préciser son mode de rattachement :

  • Importer adresses et moyens de communication : Dans ce cas, les adresses et communication du contact sont directement rattachés au service, car le contact représente ce dernier.
  • rattacher le contact : Dans ce cas la personne de contact est ajoutée comme membre du service, avec ses informations, adresses et moyens de communication

MaarchRm-PositionerContactComplet.png

Les contacts apparaissent donc de deux manières dans l'arborescence :

  • précédés d'un glyphe de bâtiment pour les adresses et communication du service
  • précédés d'un glyphe de bulle de message pour les personnes de contact

Contacts

Liste des contacts

MaarchRM-ContactListe.png

Informations des contacts

MaarchRM-ContactInformation.png

Nom complet

Organisation, service, fonction

Gérer les adresses

MaarchRM-ContactAdresse.png


Gérer les communications

MaarchRM-ContactCommunication.png



Moyens de communication

MaarchRM-ContactMoyenCommunication.png