Gestion des utilisateurs
Un utilisateur GTF est un compte connu par l’application GTF qui peut se connecter à GTF et utiliser ses services.
Deux profils d’utilisateurs GTF sont à distinguer :
- « Utilisateurs PostgreSQL » : utilisateurs authentifiés par la base de données interne à GTF, PostgreSQL, créés directement dans GTF.
- « Utilisateurs Active Directory (AD) » : utilisateurs d’un domaine et authentifiés par un annuaire Active Directory, importés dans GTF.
La procédure de création des utilisateurs GTF diffère selon le profil :
Création d’utilisateurs et des groupes PostgreSQL
Le mode ‘Utilisateurs > Onglet Utilisateurs’ liste l’ensemble des utilisateurs. Il permet l’ajout de nouveaux utilisateurs, leur édition et suppression. Après avoir cliqué sur ‘Ajouter un utilisateur’, le formulaire suivant s’affiche :
Formulaire d'ajout d'utilisateur.
Attribuer un compte de connexion, un nom, un e-mail, un organisme et un service à l’utilisateur en cours de création et lui associer son ou ses groupes d’appartenance.
Adresse IP du poste
Une expression régulière permet de définir la ou les adresses IP à partir desquelles l'utilisateur peut se connecter. Si ce champ est laissé vide, alors toutes les adresses IP seront acceptées.
De la même façon, et dans le cadre de modules spécifiques , un administrateur peut restreindre l'accès à des données à un utilisateur en insérant une restriction sur une table. Le mécanisme de filtre doit être implémenté au préalable via un traitement GTF ou dans un module vMap tel que le module Cadastre. Par exemple, dans le cadre du module cadastre, l'administrateur peut restreindre l'accès aux données, à un utilisateur spécifique, via une expression régulière : il peut par exemple, limiter l'accès à deux communes en saisissant l'expression régulière :' 75001|75002'
Valider la création du compte en cliquant sur ‘Créer’. Saisir ensuite le mot de passe propre à l’utilisateur. En cliquant sur ‘Mettre à jour’, le processus de création d’un utilisateur est terminé.
Création de groupes d’utilisateurs PostgreSQL
Chaque utilisateur doit être associé à un ou plusieurs groupes. Chaque groupe correspond à un profil d'utilisateurs ayant accès à des traitements qui leurs sont spécifiquement dédiés. Chaque groupe doit comporter au moins un traitement.
Le mode ‘Utilisateurs > Onglet Groupes’ liste les groupes d’utilisateurs. Il permet d’en ajouter ou d’en supprimer et de leur associer un ou plusieurs traitements, un ou plusieurs utilisateurs ainsi que un ou plusieurs Dépôts (Répertoires de surveillance).
Après avoir cliqué sur “Ajouter groupe”, le formulaire suivant s’affiche :
Formulaire de création de groupe.
Attribuer un nom au nouveau groupe et lui associer un ou plusieurs utilisateurs. La section GTF permet ensuite d'associer un ou plusieurs traitements et/ou dépôts au groupe. Cliquer ensuite sur « Mettre à jour». Le nom du groupe nouvellement créé apparaît désormais dans la liste des groupes.
Utilisateurs et groupes d’un annuaire Active Directory
Il est possible de gérer plusieurs domaines et d’exploiter des groupes de sécurité définis directement dans un annuaire Active Directory.
L’administrateur a la possibilité d’importer des utilisateurs et des groupes depuis Active Directory. Cette méthode permet d’hériter des droits issus de la gestion centralisée AD des utilisateurs au sein d’un organisme.
L’administrateur crée dans GTF le nouveau domaine, puis importe les utilisateurs et les groupes. L’attribution des groupes ainsi que les mots de passe des utilisateurs ne pourront pas être changés.
Ajout de domaines Active Directory
Le mode ‘Utilisateurs > Onglet Domaines’ liste les domaines Active Directory. Il permet de créer, modifier et supprimer des domaines. Le bouton ‘Ajouter un Domaine’ affiche le formulaire suivant :
Ajout de domaine AD.
L’administrateur saisit les informations suivantes :
- Type, Nom et Alias du domaine : le nom de domaine utilisé pour la connexion. Par exemple, ‘siege.entreprise.com’.
- IP ou nom de serveur : adresse IP ou nom du serveur assurant le rôle de serveur Active Directory.
- Dn de base de recherche (utilisateur) : point d’entrée pour la recherche des utilisateurs.
- Dn de base de recherche (groupe) : point d’entrée pour la recherche des groupes.
- Filtre (utilisateur) : permet de définir des filtres pour la recherche des utilisateurs.
- Filtre (groupe) : permet de définir des filtres pour la recherche des groupes.
- Vérifier les droits lors du lancement du robot : permet au robot de vérifier si un utilisateur du domaine possède toujours les droits lors de l’exécution du traitement. Pour cela le robot a besoin de connaître le login et le mot de passe d’un utilisateur du domaine.
- Login : login d’un utilisateur du domaine.
- Mot de passe : mot de passe de l’utilisateur du domaine.
Le login et le mot de passe saisis ici permettent de vérifier les droits de l’utilisateur Active Directory lors de l’exécution du robot.
En cliquant sur « Créer » la procédure de création de domaine Active Directory dans GTF est finalisée.
L’administrateur doit ensuite modifier manuellement le fichier de configuration de la base de données PostgreSQL pour autoriser la connexion des utilisateurs du domaine. Dans le répertoire d’installation de PostgreSQL, modifier à l’aide d’un éditeur de texte le fichier pg_hba.conf situé dans le dossier data:
Avant modification vous devriez avoir la configuration suivante :
host all u_scheduler 127.0.0.1/32 trust
host all +superusers 127.0.0.1/32 md5
host all all 127.0.0.1/32 md5
# IPv6 local connections:
host all u_scheduler ::1/128 trust
host all +superusers ::1/128 md5
host all all ::1/128 md5
Vous devez rajouter les deux lignes suivantes :
host all +gtf_nomdomaine 127.0.0.1/32 ldap ldapserver=nomduserveur ldapprefix=""
host all +gtf_nomdomaine ::1/128 ldap ldapserver=nomduserveur ldapprefix=""
Pour obtenir la configuration suivante :
host all u_scheduler 127.0.0.1/32 trust
host all +superusers 127.0.0.1/32 md5
host all +gtf_nomdomaine 127.0.0.1/32 ldap ldapserver=nomduserveur ldapprefix=""
host all all 127.0.0.1/32 md5
# IPv6 local connections:
host all u_scheduler ::1/128 trust
host all +superusers ::1/128 md5
host all +gtf_nomdomaine ::1/128 ldap ldapserver=nomduserveur ldapprefix=""
host all all ::1/128 md5
Attention ! L’ordre des lignes doit impérativement être respecté.
Import d’utilisateurs d’Active Directory
Dans l'onglet Utilisateurs, le bouton « Importer de l’AD » permet d’importer des utilisateurs à partir d’un serveur Active Directory.
Une interface de connexion apparaît à l’écran. L’administrateur saisit son login et mot de passe Active Directory afin de se connecter au domaine précédemment créé.
Une fois la connexion effectuée, l’administrateur GTF peut soit naviguer dans l’arborescence de l’annuaire du domaine, soit effectuer une recherche à partir de critères.
Navigation dans l'arbre
L’arborescence du serveur Active Directory s’affiche dans la fenetre de gauche de l’écran. Lorsque l’administrateur sélectionne un nœud, la liste des utilisateurs apparaît dans la fenetre de droite.
Connexion à un serveur AD
Sélectionner ensuite les utilisateurs désirés puis cliquer sur le bouton « Importer ». Le processus d’import est terminé.
Pour se connecter, les utilisateurs devront utiliser un login de type login@nomdomaine
Recherche d’utilisateur AD
Le formulaire de recherche de l'Active Directory s'affiche dans la partie gauche de l'écran, dans l'onglet Recherche.
La recherche d’utilisateurs peut se faire selon 3 critères :
- Le compte utilisateur
- Le ou les groupes AD
- Le service
Une fois l’utilisateur désiré trouvé, il suffit de le cocher puis de cliquer sur le bouton Importer.
L’interface de connexion d’un utilisateur importé de la sorte, comporte désormais un champ Domaine, permettant la sélection du domaine AD d’appartenance. L’utilisateur s’authentifie avec son login et mot de passe de l’annuaire AD.
Import de groupes Active Directory
Le bouton « Importer de l’AD » permet d’importer des groupes à partir d’un serveur Active Directory.
L’association des utilisateurs et des groupes Active Directory s’effectue directement dans l’Active Directory. L’application récupère les groupes d’un utilisateur Active Directory au moment de la connexion.
Une interface de connexion apparaît à l’écran. Saisir le login et mot de passe afin de se connecter au domaine.
Une fois la connexion effectuée, l’administrateur GTF peut soit naviguer dans l’arborescence de l’annuaire du domaine, soit effectuer une recherche à partir du nom du groupe.
Navigation dans l’arbre
Lorsque l’administrateur sélectionne un nœud, la liste des groupes apparaît dans la partie droite de l’écran.
Il suffit alors de sélectionner le ou les groupes désirés puis de cliquer sur le bouton « Importer ». Les groupes sont importés. Le groupe nouvellement créé apparaît dans la liste des groupes.
Recherche de groupe AD
La recherche d’un groupe AD peut se faire à partir du nom de groupe recherché.
Gestion mixte des utilisateurs de domaines
GTF permet d’attribuer aux utilisateurs d’un domaine Active Directory, un groupe local défini dans la base interne PostgreSQL. De la sorte, un administrateur GTF ne disposant pas de droits d’administration d’un annuaire Active Directory, peut tout de même créer ses propres groupes d’utilisateurs de GTF issus d’un annuaire.
La sous-section « Sécurité » du mode Configuration permet d’activer la gestion mixte des utilisateurs en autorisant des utilisateurs du domaine à appartenir à des groupes locaux.
Gestion des privilèges utilisateurs
Les privilèges préfixés par "vitis_" correspondent aux droits propres au socle de développement Vitis :
- Le privilège vitis_user permet l'accès au mode Utilisateur, offrant la possibilité d'éditer le compte et le mot de passe de l'utilisateur courant.
- Le privilège vitis_admin permet l'accès aux modes Utilisateurs, Configuration, Logs. Il a en charge la gestion des paramètres système et de la configuration de GTF. Il accède également dans le mode Aide à la documentation relative à l'API Vitis.
3 profils d'utilisateurs propres à GTF sont disponibles, chacun ayant des privilèges spécifiques. L'accès aux modes dépend des privilèges attribués à l'utilisateur.
- gtf_user = utilisateur de GTF ayant accès aux modes Mon travail, Utilisateurs et Aide. Un utilisateur ayant ce privilège exécute un projet FME mais n'en publie pas.
- gtf_author = un utilisateur avec ce privilège est responsable de la publication de projets FME et à ce titre a accès aux modes Publication, Statistiques et Supervision. Il supervise l'intégralité des projets (ceux qu'il a publiés mais également les autres).
- gtf_admin = l'administrateur de l'application a tous les droits. En plus des privilèges vitis_admin, il accède au mode Moteurs dans lequel il configure les moteurs FME et GTF. Il a en charge la gestion des utilisateurs de GTF et de la base de données.
Dans le mode Utilisateurs, l'administrateur associe à l'utilisateur en cours de création le ou les privilèges désirés :