Aller au contenu principal

Permissions

Trois niveaux de permissions ont été développés dans Oort :

  • Permissions d'administrateur, ajoutés directement au niveau du rôle.
  • Permissions par objet, ajoutées au niveau des ressources, Formulaires, Applications, pages ou étapes de workflow.
  • Permissions par Enregistrement, ajoutées au niveau du Formulaire parent.

Ces autorisations définissent les actions CRUD qu'un utilisateur peut effectuer sur un objet.

Emplacement

Les permissions sont accessibles à différents endroits dans le back-office en fonction de la couche.

Permissions d'administrateur dans la page de rôles globaux
Permissions d'administrateur dans une page de rôle d'application
Permissions par objets sur un formulaire
Permissions par enregistrement
L'interface utilisateur n'est pas encore développée, mais les explications sont ici.

Utilisation de base

Les permissions sont utilisées pour restreindre l'accès des utilisateurs à certaines parties d'Oort. Si un utilisateur veut accéder à un objet spécifique, les permissions d'administrateur seront d'abord utilisées, puis si elles ne lui autorisent pas l'accès, les autorisations de l'objet seront alors utilisées.

Pour les enregistrements ce sera légèrement différent, les permissions d'administrateur seront d'abord utilisées, puis les autorisations spécifiques de l'enregistrement stockées dans le formulaire parent seront utilisées.

Permissions d’administrateur

Les permissions suivantes peuvent être ajoutées à un rôle global et avoir leur propre effet :

  • can_see_forms (autorise l'utilisateur connecté à voir l'onglet des formulaires)
  • can_see_applications (autorise l'utilisateur connecté à voir les applications)
  • can_see_users (autorise l'utilisateur connecté à voir et gérer les utilisateurs)
  • can_manage_applications (autorise l'utilisateur connecté à gérer toutes les applications)
  • can_manage_forms (autorise l'utilisateur connecté à gérer tous les formulaires)
  • can_manage_resources (autorise l'utilisateur connecté à gérer toutes les ressources)
attention

Pour un rôle d'application, seules deux autorisations d'administrateur sont disponibles :

  • can_see_users (autorise l'utilisateur connecté à gérer les utilisateurs de l'application uniquement)
  • can_see_roles (autorise l'utilisateur connecté à gérer les rôles de l'application uniquement)

Ces autorisations sont liées à un rôle et non à un utilisateur. Vous devez donc les configurer dans la page Rôle (au niveau global ou de l'application).

Permissions par objet

Cinq types d'objets disposent actuellement des autorisations par objet :

Les utilisateurs qui peuvent mettre à jour l'un de ces objets peuvent accorder des autorisations sur ceux-ci par rôle. ces autorisations peuvent ensuite contrôler quels rôles peuvent exécuter des actions CRUD sur les objets.

info

Les permissions par objet peuvent modifier l'affichage d'une application en fonction des rôles, car certains d'entre eux ne peuvent pas voir une page et d'autres le peuvent.

Permissions par enregistrement

Afin de définir les autorisations par enregistrement, un nouveau concept est utilisé, les attributs. Vous pouvez ensuite utiliser les rôles et les attributs de position afin de définir des règles pour chaque action CRUD. Pour l'instant, ces règles seront appliquées partout pour les actions read and create. Mais seulement dans le widget de la grille pour les actions delete and update. Plus de détails ici.