Objectifs
Accred est un système de contrôle d’accès qui permet de répondre aux deux questions “Qui est rattaché Où et Quand” et “Qui a droit à Quoi et Quand?” dans une logique du principe du moindre privilège où chacun possède assez de droits pour réaliser son travail mais pas plus que nécessaire.
Que l’on fasse des études, de la recherche ou que l’on travaille à l’EPFL, chacun a besoin de droits d’accès. Par exemple, se connecter au réseau informatique de l’école, ouvrir les portes des bâtiments, consulter une fiche de salaire, installer sur son ordinateur un logiciel de l’école, etc. Tout cela n’est possible que si quelqu’un a décidé un jour de donner les autorisations nécessaires dans Accred.
En résumé, Accred régulent le cycle de vie de toutes les autorisations, de l’arrivée d’une personne à son départ de l’EPFL en maintenant deux registres :
- Le registre des accréditations qui permet aux accréditeurs de rattacher des personnes à des unités ou des laboratoires
- Le registre des autorisations qui permet aux personnes responsables de donner des autorisations d’accès là où c’est nécessaire
Ces deux registres permettent de déterminer à chaque instant qui a droit à quoi et où.
Où puis-je me former?
Des formations Accred sont régulièrement organisées à l’EPFL et disponibles sur le portail de la formation du personnel.
L’accréditation
L’accréditation d’une personne dans une unité permet de déterminer administrativement si la personne fait partie de cette unité. Les accréditations des personnes se font uniquement dans les unités de niveau 4 que sont les laboratoires et les unités administratives.
Les membres du personnel ainsi que le corps estudiantin reçoivent automatiquement une accréditation venant des Ressources humaines ou du Service académique. Le corps doctorant en reçoit par conséquent deux, une dans le laboratoire et une autre à l’École doctorale. Les autres membres de la communauté reçoive manuellement leur accréditation dans l’unité où ils collaborent.
Pour qu’une personne puisse obtenir des droits d’accès, il est impératif qu’elle possède au moins une accréditation valide. Par contre, une personne n’a pas besoin d’être accréditée dans une unité pour y obtenir des droits d’accès.
Les autorisations
La notion d’autorisation est une des plus fondamentale d’Accred. Pour détenir un droit, une personne a dû recevoir une autorisation d’une autre personne qui en assume la responsabilité.
Les droits
Un droit permet à une personne d’obtenir un accès à un service fourni par l’EPFL, pour y réaliser des opérations autorisées par ce droit. La personne détentrice d’un droit ne peut pas le donner à une autre personne. Une politique d’attribution par défaut est définie pour chaque droit.
Les rôles
Le rôle est un outil très pratique dans Accred pour la gestion des droits car il permet de regrouper plusieurs droits ensemble. Lorsqu’une personne détient un rôle, elle peut :
- exercer tous les droits détenus par le rôle,
- en tant que gestionnaire de droits, autoriser une autre personne à exercer un des droits détenus par son rôle,
- quand elle est absente, désigner une suppléance pour son rôle.
Les propriétés
Certains droits sont automatiquement associés à une accréditation, par exemple lorsqu’une personne est accréditée dans une unité, elle y dispose d’un espace de stockage. La propriété permet de modifier l’autorisation accordée. Ainsi, l’accréditeur peut modifier sa valeur à :
- oui : l’autorisation est accordée, alors que le comportement par défaut était de ne pas l’accorder
- non : l’autorisation n’est pas accordée, alors que le comportement par défaut était de l’accorder
- défaut : l’autorisation est donnée selon le statut ou la classe de la personne
Les statuts
Le statut d’une personne à l’EPFL est une classification en 4 catégories:
- Etudiant: personne inscrite auprès du Service académique pour étudier à l’EPFL
- Personnel: personne au bénéfice d’un contrat RH de l’EPFL
- Hôte: personne en poste à l’EPFL qui participe à des activités administratives, de recherche et/ou d’enseignement au sein d’une unité de l’EPFL, mais sans être membre du personnel
- Hors-EPFL: personne, accréditée à l’EPFL ne correspondant pas à une des trois catégories précédentes
Les classes
Les classes permettent une sous-classification des statuts étudiant et personnel. Elles permettent également la création des listes de distributions (mailing-lists) générées automatiquement tous les soirs.
Les classes permettent également de définir une liste de propriétés par défaut qui surcharge celle donnée par les statuts, elle est utilisée pour calculer les autorisations données lors de l’accréditation.
Les processus
Certains processus de déroulent dans Accred afin de garantir la qualité des données.