Alimenter et administrer un site eZiweb
Vous êtes dans :
Mots-clés : introduction, sécurité

Introduction à la sécurité

Cet article détaille les notions fondamentales de sécurité utilisées dans SpreadNShare.

Introduction

EZ Publish contient un mécanisme de contrôle d'accès, permettant de limiter l'accès des utilisateurs à certaines parties d'un site ou à certaines fonctions. SpreadNShare se base sur ce mécanisme standard pour gérer les contrôles d'accès, tout en y ajoutant des possibilité supplémentaires telles que l'utilisation de comptes réseau ou LDAP.

Les termes suivants sont utilisés dans la suite de l'article :

  • compte utilisateur
    Le compte utilisateur est un type d'accès s'appuyant sur un utilisateur déclaré dans eZ Publish, comprenant un login et un mot de passe reconnu par eZ Publish uniquement,
  • compte individuel LDAP
    Le compte individuel LDAP est également un type d'accès, s'appuyant sur un compte personnel déclaré dans le LDAP Ifremer,
  • compte collectif LDAP
    Le compte collectif LDAP est similaire au compte individuel LDAP, à ceci près qu'il est basé sur un ou plusieurs comptes, résultats d'une requête LDAP Ifremer,
  • compte réseau
    Le compte réseau désigne un type d'accès basé sur l'appartenance d'un utilisateur à un domaine, un réseau, ou un sous-réseau,
  • règle d'accès
    La règle d'accès permet de définir un compte utilisateur au sens SpreadNShare, et est utilisée pour vérifier si un utilisateur a le droit ou non de se connecter. La règle d'accès est générique, et embarque un type d'accès désignant le ou les utilisateurs associés. Ainsi, un utilisateur connecté est toujours désigné par sa règle d'accès.
  • police de sécurité, ou droit
    Il s'agit d'une règle générique autorisant une action (accès, modification, ...).
  • rôle
    Un rôle est un groupement de plusieurs polices de sécurité.
  • limitation
    La limitation permet de n'appliquer une police de sécurité qu'en fonction de critères spécifiques limitant la portée de celle-ci. Une police de sécurité peut ainsi être limitée en fonction d'une section, d'un arbre, d'un numéro de noeud, ...
  • fonction
    Une fonction au sens SpreadNShare correspond à un ensemble associant une ou plusieurs règles d'accès à une ou plusieurs polices de sécurité pouvant être limitées.

Règles d'accès

Le menu Règles d'accès (ou Access rules manager en version anglaise) permet de gérer les règles d'accès associées à un site SpreadNShare.

Cet écran présente une liste des règles d'accès existantes, et permet leur édition ou la création d'une nouvelle règle d'accès. La création d'une nouvelle règle affiche un assistant permettant de désigner le type de compte à associer à la nouvelle règle, et d'en paramétrer les propriétés.

Chaque personne, utilisateur ou groupe d'utilisateur devant effectuer des opérations spéciales sur le site (accès à une zone protégée, édition de contenus, etc...) devrait être déclaré dans le système à cet endroit, au moyen d'une règle d'accès qui lui est propre.

Sections

Les sections permettent de regrouper une partie du contenu afin généralement d'y appliquer par la suite des autorisations d'accès. L'écran Sections permet de créer une nouvelle section ou d'en changer les propriétés.

Une section possède un type (Média ou Contenu, indiquant dans quelle arborescence elle est située), un ensemble de noeuds (chaque noeud fait exclusivement partie de la section), et un mode d'accès (libre ou restreint). Un accès en mode restreint est une facilité qui empêche les utilisateurs non identifiés d'accéder au contenu de la section. Suivant la version de l'instance utilisée, un paramétrage supplémentaire est disponible, relatif au mécanisme d'approbation - ceci n'est pas détaillé dans le cadre de cet article et peut être ignoré.

Fonctions

Les fonctions sont les pièces maîtresses définissant les autorisations dans un site. Chaque fonction permet :

  • d'indiquer une série d'autorisations qu'elle offre, sous la forme d'une liste de rôles,
  • d'indiquer éventuellement sur quoi ces autorisations portent en particulier (par le biais de l'utilisation de limitations sur ces rôles),
  • et d'indiquer quelles sont les règles d'accès (et, par extension, quels sont les utilisateurs) qui sont concernés par ces autorisations.

L'écran Fonctions (ou Functions manager en version anglaise) donne la liste des fonctions créées, et permet d'en créer de nouvelles.

Lors de l'édition d'une fonction, seules les règles d'accès créées dans l'écran de gestion des règles d'accès peuvent être sélectionnées.

L'assignation des rôles à une fonction s'effectue au moyen du bouton Assigner ( Assign ). L'écran qui est alors affiché présente trois types de limitations pour le rôle qui sera ajouté :

  • le type Aucun , indiquant que les autorisations associées au rôle sélectionné seront appliquées tout le temps,
  • le type Par section , permettant d'appliquer les autorisations uniquement pour la section qui doit être choisie dans la liste déroulante présentée à côté de ce choix (la liste des sections proposées correspond aux sections du site créées depuis l'écran de gestion des sections),
  • le type Par sous-arbre , permettant d'appliquer les autorisations uniquement pour le noeud sélectionné via le bouton Parcourir ( Browse ), ainsi que pour tous ses noeuds enfants.

L'écran affiche à la suite la liste des rôles disponibles en fonction du type de limitation souhaité. Ces rôles sont prédéfinis par le gestionnaire de l'instance (le "super administrateur") ; si aucun rôle dans la liste ne convient aux besoins, il est nécessaire d'effectuer une demande à ce gestionnaire par le biais de l'écran Rôles ( Roles ).

Exemple : Pour protéger du contenu en lecture

Pour protéger une partie d'un site en lecture, les opérations suivantes peuvent être suivies :

  • Création d'une nouvelle section en accès restreint,
  • Création des règles d'accès correspondant à la ou les personnes devant avoir accès à ce contenu,
  • Création d'une seule nouvelle fonction, regroupant :
    • toutes les règles d'accès définies à l'étape précédente,
    • un seul rôle "SNS Reader", limité "Par section", sur la section créée en première étape.