diff --git a/doc/source/administrator/rights/auth_token.md b/doc/source/administrator/rights/auth_token.md
index b3b03440d37b757e0a89c2f98b551f144aa94bee..d8d2b4e3db1d1e044978c8b8aeab75cb253daad7 100644
--- a/doc/source/administrator/rights/auth_token.md
+++ b/doc/source/administrator/rights/auth_token.md
@@ -1,30 +1,33 @@
# Gestion des jetons de connexion
-Un jeton de connexion est une manière de permettre un accès à l'application, via le compte de la personne qui possède le jeton, sans avoir à fournir ses identifiants.
-
-L'avatange d'un jeton est qu'il ne donne aucunes informations sur l'utilisateur à la personne, et peut être désactivé à tout moment.
+Un jeton de connexion est une manière d'accéder à l'application, via le compte d'un utilisateur, sans avoir à fournir ses identifiants.
+Cette fonctionnalité est communément utilisé pour réaliser des `cartes ou applications publiques` (sans avoir à renseigner des informations de connexion).
## Utilité
-Le jeton de connexion permet de faire tout ce que l'utilisateur lié au jeton peut faire, et est au centre de plusieurs fonctionnalités :
+Un jeton de connexion permet :
-- Il permet l'utilisation de l'API
-- Il permet d'utiliser le mode public de vMap2, en étant connecté à l'application via cet utilisateur.
-- Il permet d'utiliser les widgets.
+- D'utiliser l'API
+- D'utiliser vMap comme un utilisateur normal mais sans que ce dernier ait la nécessité de se loguer à l'application (carte publique)
+- D'utiliser vMap sous forme de widget (intégrer vMap dans un site web).
-## Création
+## Création d'un jeton
-Il est possible de créer un token dans l'interface prévue à cet effet, à l'emplacement "Utilisateurs" > "Jetons de connexion", puis de cliquer sur le bouton "Ajouter" pour ajouter un nouveau jeton de connexion.
+Il est possible de créer un jeton de connexion depuis le bouton `Ajouter` présent dans le mode "Utilisateurs" > "Jetons de connexion".
-Il suffit ensuite de remplir les différents champs du formulaire pour créer le token :
+Les informations demandées permettent ainsi de définir :
+ - Le nom du jeton de connexion
+ - S'il possède une date limite de fonctionnement
+ - Un login et mot de passe utilisateur permettant à l'application de se connecter `en tant que` l'utilisateur renseigné
+ - Et enfin une restriction de ce jeton sur une IP précise.
-## Utilisation
+## Exemples d'utilisation
-### Utilisation de l'API avec un jeton
+### Utilisation d'un jeton dans l'API de vMap
Il est possible, via un jeton utilisateur, de récupérer un jeton de connexion, permettant d'utiliser l'API de vMap2.
@@ -40,20 +43,16 @@ Celui-ci peut ensuite être utilisé dans le reste des routes de l'API, dans le
-### Connexion au mode publique
+### Utilisation d'un jeton pour faire une carte publique dans vMap
+
+Pour réaliser une connexion publique (sans couple login / mot de passe à renseigner) dans vMap, il est nécessaire de mettre en place un jeton de connexion et de renseigner ce jeton
-Une autre des utilités des jetons est la mise en place du mode publique.
-En effet, le mode public nécessite un jeton de connexion afin de pouvoir connecter l'utilisateur invité à l'application.
-Pour ce faire, il suffit de paramétrer deux propriétés, dont une nécessitant le jeton de connexion :
+Pour ce faire, 2 propriétés sont à paramétrer dans la section `Authetification` du mode `Configuration > Général.`.
-```js
-{
-...
-"public_connect_enabled": false,
-"public_connect_token": "",
-...
-}
+```{figure} ../../images/administrator/rights/auth_token/jeton_connexion_public.png
+:alt: Paramètre du mode public
+:align: center
```
Une fois ces informations mises en place, il est possible d'accéder à l'application sans connexion de l'utilisateur.
@@ -62,29 +61,24 @@ Une fois ces informations mises en place, il est possible d'accéder à l'applic
:alt: mode_publique
:align: center
-Exemple d'application avec le mode publique
+Exemple d'application avec le mode public
```
### Création d'un widget carte
-Dans vMap2, il est également possible de créer un widget carte qui permet d'intégrer des cartes dans d'autres sites WEB.
-
-Pour ce faire, il est absolument nécessaire d'avoir un jeton de connexion existant.
+Dans vMap2, il est également possible de créer un `widget de type carte` permettant d'intégrer des cartes dans d'autres applications WEB.
+Pour fonctionner, les widgets nécessitent un jeton de connexion existant.
-Pour créer un widget, il faut se rendre dans "Cartes et Couches" > "Cartes".
+Pour créer un widget, éditer une carte depuis le mode `Cartes et Couches` > `Cartes` de l'application :
-Il faut ensuite appuyer sur le crayon au niveau de la carte choisie, puis sur le formulaire.
-
-Une fois sur le formulaire d'édition de la carte, il faut se rendre dans le sous-menu "appel externe" et ajouter un nouvel enregistrement :
+Se rendre dans la section `Appel externe`, y ajouter un nouvel enregistrement et y renseigner les informations demandées, notamment le jeton de connexion (indirectement le login de l'utilisateur) qui sera utilisé lors de chaque utilisation du widget :
-Une fois dans l'interface d'ajout, il suffit de remplir les différentes informations, en choisissant le bon token dans la liste déroulante.
-
-Une fois le formulaire validé, le code pour intégrer la carte est disponible dans une nouvelle fenêtre dans le formulaire :
+Une fois créé, l'application génère un code HTML qu'il suffit de copier / coller à l'endroit souhaité sur le site web :
\ No newline at end of file
diff --git a/doc/source/administrator/rights/data.md b/doc/source/administrator/rights/data.md
index 5eaa7a6a4ec60c8226584a2e5d140aa06b44485c..3d75d924247cf859735e94a41e7a6c22afbe6bd3 100644
--- a/doc/source/administrator/rights/data.md
+++ b/doc/source/administrator/rights/data.md
@@ -1,26 +1,31 @@
# Les droits portant sur les données
-La gestion des droits sur la donnée est une responsabilité administrateur, sa gestion revient donc à ceux-ci.
-
## Introduction
-Bien que les privilèges permettent l'accès à certaines fonctionnalités de l'application, et les groupes à certaines cartes et modèles d'impression, une autre notion importante à considérer quant à la gestion des droits, est la gestion des droits PostgreSQL.
-
-En effet, les droits PostgreSQL permettent à l'administrateur de définir quels sont les droits dont les utilisateurs disposent sur une donnée (une table/vue).
+Bien que les privilèges et les groupes permettent d'accéder à certaines fonctionnalités de l'application, ces deux notions ne permettent pas de gérer l'accéssibilité à la données (lecture, saisie, modification, suppression). Cette notion là est gérée par le SGBD (Postgresql pour vMap) sur la donnée (table, vue, vue matérialisée...). Cela peut être réalisé en ligne de commande ou plus communément par l'intermédiaire d'un client de base de données (exemple : PgAdmin, Dbeaver...)
-Rajouter des droits à ces éléments permet notamment à l’utilisateur final de pouvoir réaliser des actions différentes sur une donnée visualisée dans vMap2 (consultation, saisie, édition ou suppression d’une donnée géographique et attributaire).
+Rajouter des droits à ces éléments permet ainsi à l’utilisateur final de pouvoir réaliser des actions différentes sur une donnée dans vMap2 (consultation, saisie, édition, suppression, d’une donnée géographique et / ou attributaire).
-Une mauvaise gestion, ou un oubli de ceux-ci pourraient entraîner l'impossibilité pour un utilisateur d'exploiter certaines données dans vMap2.
+Une mauvaise gestion, ou un oubli de ces droits pourraient entraîner l'impossibilité pour un utilisateur de visualiser, d'éditer, de saisir ou de supprimer une donnée.
-## Fonctionnement
+## Exemple
-```{info}
+```{note}
Le tutoriel suivant est illustré avec le client SQL pgadmin.
-Le fonctionnement peut différer légèrement pour d'autres clients (DBeaver, phpMyAdmin, ...).
-Le principe est que le code SQL reste cependant le même.
+Le principe est que quelque soit le client utilisé, le code SQL pour Postgresql reste le même.
```
-Pour cet exemple, j'aimerais rajouter le privilège `exploitant_ville` sur ma table `data_demo_vmap`.`f_villes_l93`, afin qu'un utilisateur ayant ce privilège puisse utiliser/mettre à jour/supprimer les données de ma couche `ville` utilisant cette table.
+Pour cet exemple, nous souhaitons qu'un utilisateur ou groupe d'utilisateurs (appartenant au groupe `exploitant_ville`) puisse consulter, mettre à jour ou supprimer les données de la table `data_demo_vmap`.`f_villes_l93`. Pour cela voici les étapes :
+
+ 1- Créer un rôle groupe (soit directement en base de données, soit via les privilèges de vMap)
+ 2- Associer l'utilisateur à ce rôle groupe
+ 3- Affecter les droits sur la table à ce rôle groupe
+
+
+
+j'aimerais rajouter le privilège `exploitant_ville` sur ma table `data_demo_vmap`.`f_villes_l93`, afin qu'un utilisateur ayant ce privilège puisse consulter, saisir/mettre à jour/supprimer les données de ma couche `ville` utilisant cette table.
+
+### 1- Créer un rôle groupe
```{note}
Le fonctionnement et la création d'un privilège sont expliqués dans la [section suivante](./privilege.md).
@@ -28,38 +33,45 @@ Le fonctionnement et la création d'un privilège sont expliqués dans la [secti
-Pour ajouter des droits sur une table, il faut tout d'abord ouvrir un client SQL.
+### 2- Associer l'utilisateur à ce rôle groupe
+
+```{note}
+La gestion d'un utilisateur ainsi que ses droits sont expliqués dans la [section suivante](../authentification/local_user.md).
+```
-Il faut ensuite effectuer une connexion à la base de données contenant la structure de vMap2.
+### 3- Affecter les droits sur la table à ce rôle groupe
+
+
+Pour ajouter des droits sur une table, il faut tout d'abord ouvrir un client de base de données (exemple pgAdmin) et se connecter à la base de données.
-Une fois connecté, je navigue dans ma base via le menu latéral jusqu'à trouver la table concernée :
+Une fois connecté, naviguer dans la base via le menu latéral jusqu'à trouver la table concernée :
-Une fois la table trouvée, il faut faire un clique droit dessus, option "properties...", dans la nouvelle fenêtre qui s'ouvre, cliquer sur l'onglet "Security".
+Clic droit > Propriété, et se rendre dans l'onglet "Security" de la fenêtre qui s'ouvre.
-En cliquant sur le signe "+" de la ligne "Privileges", il m'est possible d'ajouter un nouvel utilisateur/groupe à ma table, je vais donc rajouter mon privilège `exploitant_ville`, avec les droits `SELECT`, `INSERT`, `UPDATE`, `DELETE` afin qu'il puisse gérer les données de la table.
+Cliquer sur le signe "+" de la ligne "Privileges", sélectionner `exploitant_ville` dans la colonne `Grantee` afin de donner des droits au rôle groupe (et donc à l'ensemble des utilisateurs associés à ce rôle groupe) sur la table `data_demo_vmap`.`f_villes_l93`.
-
+```{note}
+Il est possible d'ajouter des droits pour un utilisateur simple ou un groupe d'utilisateur.
+```
-Une fois ceci fait, il me suffit de sauvegarder, et l'utilisateur ayant le privilège `exploitant_ville` pourra maintenant consulter, ajouter, mettre à jour et supprimer des données dans cette table.
+Sélectionner les droits `SELECT`, `INSERT`, `UPDATE` et `DELETE` dans la colonne `Privilèges` pour donner les droits en consultation, création, mise à jour et suppression. Enregistrer.
+
+
:::{admonition} **Gérer les droits en SQL**
:class: dropdown important
-Il est également possible d'atteindre le même résultat en pur SQL.
-
-En utilisant l'éditeur de requêtes, par exemple via ce bouton sur pgadmin:
+Il est également possible d'atteindre le même résultat en SQL en utilisant l'éditeur de requêtes, par exemple via le bouton `Query Tool` sur pgadmin:
-Il est possible de rajouter les droits `SELECT`, `INSERT`, `UPDATE`, `DELETE` à la table `data_demo_vmap`.`f_villes_l93` pour le groupe `exploitant_ville` avec la requête suivante :
-
+La requête serait la suivante :
```sql
GRANT SELECT, INSERT, UPDATE, DELETE ON data_demo_vmap.f_villes_l93 TO exploitant_ville;
```
-Cette requête aboutit au même résultat que les étapes au-dessus.
:::
\ No newline at end of file
diff --git a/doc/source/administrator/rights/privilege.md b/doc/source/administrator/rights/privilege.md
index b61e7a1650f593f51072ef955454bdc6fda46f1d..3d419b0020aaa75ef9467187f0e1e8c8ffc1e9b9 100644
--- a/doc/source/administrator/rights/privilege.md
+++ b/doc/source/administrator/rights/privilege.md
@@ -1,7 +1,5 @@
# Les privilèges
-Les privilèges sont une notion administrateur, leur gestion revient donc à ceux-ci.
-
## Fonctionnement
Les privilèges sont l'essence de l'application, ce sont ceux-ci qui permettent l'accès aux différentes fonctionnalités dans l'application.
@@ -11,23 +9,32 @@ Il existe deux types de privilèges :
- Les privilèges propres à l'application, ceux-ci ne doivent pas être modifiés, édités, ou supprimés, sous peine d'une impossibilité d'utiliser l'application par la suite.
- Les privilèges créés par l'administrateur de l'application, qui servent souvent à limiter l'accès aux données.
-## Privilèges de vMap
+## Privilèges de l'application vMap
vMap contient une liste de privilèges permettant d'autoriser l'accès à différentes parties de l'application :
-- `vmap_user:` Il s'agit du droit le plus basique pour utiliser vMap, il permet l'accès à la cartographie, ainsi qu'à toutes les fonctionnalités associées à celle-ci (requêteur, filtre, sélection, ...).
-- `vmap_admin:` Il permet d'accéder à la partie administration de l'application, c'est-à-dire l'ajout de couches/flux, la gestion de ceux-ci, la gestion des thèmes, des sources de données, des systèmes de coordonnées et des symboles et polices d'écriture.
+- `vitis_user :` permet de se connecter à l'application et de configurer son utilisateur.
-- `vmap_data_manager:` permet à l'utilisateur d'avoir accès au mode "tableau", et ses différentes fonctionnalités, à savoir ajouter, supprimer ou modifier de la donnée.
+- `vitis_admin :` permet d'accéder à différents modes "super administrateur" de vMap permettant :
+ - de gérer les utilisateurs, domaines, groupes ou jetons de connexions
+ - de consulter les logs
+ - de consulter l'API
+ - et de configurer l'application de manière générale (propriétés générales sur l'authentification, l'interface, les traductions...)
-En plus des privilèges vMap2, certains autres privilèges sont disponibles pour les accès aux fonctionnalités du noyau :
+- `vmap_user :` permet d'accéder au mode "Carte" (à la cartographie) et donc à l'ensemble des fonctionnalités qui y sont disponibles (requêteur, filtre, sélection, ...).
-- `vitis_user` : permet de se connecter à l'application et de configurer son utilisateur.
+- `vmap_admin :` permet d'accéder à l'administration de vMap au sens "cartographie" c'est-à-dire
+ - la gestion des couches, cartes, thèmes, sources
+ - la gestion des flux (WMS et WFS)
+ - la gestion des symboles et polices d'écriture
+ - la gestion des sources de données
+ - la gestion des formulaires métier
+ - et enfin la gestion des impressions (modèles et styles) et rapports
-- `vitis_admin` : permet l'accès aux modes pour gérer les utilisateurs, domaines, groupes, jetons de connexions, logs, modèles d'email, interface et configuration de l'application. Il a en charge la gestion des paramètres système et de la configuration de vMap2. Il accède également dans le mode API à la documentation relative à l'API de vMap2.
+- `vmap_data_manager :` permet à l'utilisateur d'avoir accès au mode "tableau" et à ses différentes fonctionnalités.
-- `vitis_shared` : permet de gérer l'arborescence du dossier shared, qui est un dossier partagé entre plusieurs utilisateurs pour partager des ressources.
+- `vitis_shared :` permet de gérer l'arborescence du dossier shared, dossier partagé entre plusieurs utilisateurs pour s'échanger des ressources.
## Gestion des privilèges
diff --git a/doc/source/administrator/rights/restriction.md b/doc/source/administrator/rights/restriction.md
index d75fa3432e46190573ea6326f83968e320798854..5d2594d9e6a325cb7296a4cf996cd5cc14c1e3b1 100644
--- a/doc/source/administrator/rights/restriction.md
+++ b/doc/source/administrator/rights/restriction.md
@@ -2,52 +2,54 @@
Les restrictions sont un principe qui permet à un adminstrateur de restreindre l'accès à un utilisateur, à certaines données uniquement, contre un peu de configuration côté application et base de données.
-Ce principe est par exemple très utilisé au niveau des données cadastrales, afin de mettre en place des restrictions communale sur les données cadastrales, en renseignant par exemple le code INSEE d'une ou plusieurs communes, afin que l'utilisateur n'ait accès qu'aux données cadastrales nécessaires à son travail sur l'application.
+Ce principe est par exemple très utilisé au niveau des données cadastrales, afin de mettre en place des restrictions communale en renseignant, par exemple, le code INSEE d'une ou plusieurs communes, afin que l'utilisateur ait seulement accès (en consultation et interrogation) aux données cadastrales de son territoire.
## Configuration
-Pour saisir une restriction, il faut se rendre sur un utilisateur, dans la section "Utilisateurs" > "Utilisateurs" du menu latéral, puis de cliquer sur le bouton en forme de crayon à côté de l'utilisateur pour lequel il faut définir les restrictions.
+Pour saisir une restriction, il faut se rendre dans la section "Utilisateurs" > "Utilisateurs" du menu latéral, puis éditer l'utilisateur sur lequel il faut définir une restruction (cliquer sur le bouton en forme de crayon à côté de l'utilisateur).
-Une fois dans l'interface de modifications, dans la section "Droits et restrictions", une section "restrictions" permet de définir les différentes restrictions qui seront appliquées sur les données.
+Une fois dans l'interface de modifications, renseigner la restriction dans le champ `Restriction` de la section "Droits et restrictions".
+```{note}
La bonne syntaxe pour la chaîne de caractères est un ensemble de chaînes de caractères, séparés par un séparateur (le caractère `|`).
-
-Par exemple, pour des restrictions communales, la bonne syntaxe serait un ensemble de code INSEE, séparés par le caractère `|`.
+Par exemple, pour réaliser une restriction communales sur plusieurs communes, inscrire les Code INSEE séparés par le caractère `|`.
```sql
66106|66125|07324
```
-Une fois cela fait, la restriction est en place, il reste maintenant à voir le paramétrage côté données (donc en base de données).
+Une fois la restriction côté utilisateur réalisée, il reste désormais à configurer la base de données afin que cette dernière utilise la restriction.
## Paramétrage côté base de données
-```{tip}
-Les restrictions sur les données du cadastre sont déjà appliquées par défaut, étant une structure de données de Veremes.
-L'ajout n'est nécessaire que dans le cas où vous voudriez appliquer la restriction à des données autres que le modèle de données du cadastre.
-```
-
-Maintenant que les restrictions sont mises en place côté utilisateur, il faut également s'assurer que la restriction est appliquée à la table, afin de bien filtrer les données retournées.
+Côté base de données, les restrictions sont réalisées par l'intermédiaire de vues en utilisant une clause `WHERE`.
-Pour ce faire, il va être nécessaire de faire une vue, avec un filtre en fonction de cette restriction.
+#### Exemple
-Pour cet exemple, je vais prendre une table des villes (`data_demo_vmap`.`f_villes_f93`) constituée des colonnes suivantes :
+Dans cet exemple, nous allons travailler avec la table des villes (`data_demo_vmap`.`f_villes_f93`) constituée des colonnes suivantes :
-Je crée donc ensuite une vue, en cliquant droit sur "views" > "Create" > "View..."
+Voici les étapes à réaliser :
+
+ 1- Création de la vue
+ 2- Ajouter la clause `WHERE` en faisant référence à la restriction de l'utilisateur.
+
+
+Pour créer la vue, cliquer droit sur "views" > "Create" > "View..."
-Il faut rentrer un nom, puis ensuite se rendre dans l'onglet "code" :
+Entrer un nom, et se rendre dans l'onglet "code" :
-Puis il faut ensuite rentrer le code de la vue, en ajoutant le code suivant en tant que condition `WHERE` :
+Dans l'onglet "Code", ajouter le code SQL suivant en adaptant le paramètre `[nom de la colonne]` :
+
```sql
WHERE [nom de la colonne] ~ similar_escape(( SELECT "user".restriction
@@ -55,34 +57,49 @@ FROM s_vitis."user"
WHERE "user".login::name = "current_user"()), NULL::text);
```
-Pour ma vue, le code suivant me permet de filtrer les villes :
+```{note}
+`[nom de la colonne]` correspond au nom du champ référencé dans le champ `Restriction` de l'utilisateur.
+Exemple : `code_insee`, `code_com`, `code_dep`.
+```
+
+Dans notre exemple, le code suivant permet de filtrer les villes en fonction du champ `code` correspondant au `Code INSEE` de la commune:
+
```sql
-SELECT * FROM data_demo_vmap.f_villes_93
WHERE f_villes_93.code ~ similar_escape(( SELECT "user".restriction
FROM s_vitis."user"
WHERE "user".login::name = "current_user"()), NULL::text);
```
+Ce code SQL rajoute une condition WHERE à la vue dont l'aspect final est celui-ci :
+
-Une fois cette vue créée, on peut voir que je ne récupère que les données filtrées par la restriction de mon utilisateur :
+
+#### Test
+
+Afin de tester si la restriction fonctionne, se connecter à la base de données et exécuter une requête `SELECT` sur la vue en changeant d'utilisateur (exemple ci-dessous avec l'utilisateur `kyllian`) :
-## Exemple dans le module Cadastre
+## Les restrictions dans le module Cadastre.
+
+Tout le module cadastre de vMap utilise nativement les restrictions expliquées ci-dessous. Excepté le champ `Restriction` qui doit être paramétré par l'administrateur, aucune vue ne doit être configurée car tout est déjà réalisé par Veremes.
+
+
+Pour le module cadastre, l'utilisation la plus commune est de restreindre, pour un utilisateur donné, l'accessibilité à une ou plusieurs communes du territoire chargé en base de données.
-L'application la plus commune des restrictions est la limitation des données dans le module cadastre.
+Les données du cadastre étant sensibles, il est indispensable qu'un utilisateur puisse consulter et surtout interroger uniquement les données dont il doit avoir l'accès.
-Les données du cadastre étant sensibles, il est d'usage de limiter les données retournées à l'utilisateur au strict nécessaire.
+#### Exemple
-Voici un exemple avec le module cadastre sur les Pyrénées-Orientales.
+Dans l'exemple ci-dessous, nous avons chargé les données cadastrales de l'ensemble des Pyrénées-Orientales.
-Par défaut, sans restrictions, mon utilisateur a accès à la totalité des Pyrénées-Orientales.
+Sans restriction (valeur `%` dans le champ `restriction` de l'utilisateur), un utilisateur a accès à la totalité des données des Pyrénées-Orientales.
-Une fois la restriction en place (pour celle-ci, `661316|66210`), seules les communes filtrées sont accessibles à l'utilisateur.
+Une fois la restriction mise en place (pour celle-ci, `66136|66210`), seules les communes filtrées sont accessibles à l'utilisateur.
diff --git a/doc/source/images/administrator/rights/auth_token/jeton_connexion_public.png b/doc/source/images/administrator/rights/auth_token/jeton_connexion_public.png
new file mode 100644
index 0000000000000000000000000000000000000000..58cfdf247bcd1a49bae0692644f59c7c57a35f11
Binary files /dev/null and b/doc/source/images/administrator/rights/auth_token/jeton_connexion_public.png differ