Les autorisations et les droits
Si on voulait résumer Accred en une phrase :
Une personne responsable autorise une personne bénéficiaire à faire une ou plusieurs actions sur une ressource protégée. La personne bénéficiaire obtient par conséquent un ou plusieurs droits d’action.
Par exemple, si Daenerys Targaryen veut pouvoir installer un logiciel sur son poste de travail, et créditer l’unité “ERP-MD” de cette commande, elle devra posséder le droit d’accéder à Distrilog sur l’unité ERP-MD pour pouvoir se connecter à l’outil d’installation des logiciels Distrilog. C’est dans Accred que Arthur Legrand comme responsable de l’unité ERP-MD pourra lui donner cette autorisation.
Il faut prendre conscience de la différence entre une autorisation et un droit, il s’agit de points de vue différents d’une même réalité :
- L’autorisation est donnée par la personne responsable
- Le droit est acquis par la personne bénéficiaire
- Une autorisation peut regrouper de manière implicite plusieurs droits donnés (à voir dans la suite du chapitre)
Par conséquent pour donner une autorisation à une personne, on a besoin dans Accred de connaître plusieurs choses:
- L’identité de la personne qui bénéficie du droit [Daenerys Targaryen];
- L’unité où travaille la personne quand elle exerce le droit; ce point et le point précédent désignent donc l’accréditation de travail.
- L’action à faire [accéder à Distrilog] qui détermine le droit à donner;
- Le nom de la ressource protégée [ERP-MD].
- Le nom du responsable qui donne l’autorisation [Arthur Legrand];
- La durée du droit [sans limite];
- Les raisons de l’autorisation [chargé de configurer son poste de travail].
à noter : Il n’est pas nécessaire d’être accrédité dans une unité pour y être bénéficiaire d’un droit.
Autorisation hiérarchique et droits hérités
Il existe 3 types de ressources protégées dans Accred :
- Les unités, organisées de manière hiérarchique, Ecole, Facultés, Instituts, Labos, etc;
- Les centres financiers qui correspondent à la dimension financière des unités et qui possèdent l’organisation hiérarchique correspondante;
- Les fonds financiers qui sont toujours rattachés aux centres financiers de niveau 4
Une autorisation donnée sur une unité qui se trouve à un certain niveau hiérarchique implique que le bénéficiaire reçoit le droit non seulement sur ce niveau mais également sur toutes les unités de niveau inférieur, on parlera alors d’autorisation hiérarchique et de droits hérités.
Par exemple, si le doyen de la STI décide de nommer un super-accréditeur, il l’autorisera à accréditer dans sa faculté. Ce super-accréditeur détiendra alors les droits d’accréditation dans chaque unité de la faculté STI.
Droits acquis par le statut de l’accréditation
Dans le cadre du processus d’accréditation, l’accréditeur doit indiquer le statut et la classe de la personne accréditée, ce qui permet à la personne de bénéficier de certains droits liés à ce statut et reconnus par l’EPFL. En fonction des besoins et du statut, l’accréditeur a une certaine marge de manœuvre pour ajouter ou retirer des droits au travers des propriétés de l’accréditation.
Par exemple, Daenerys Targaryen travaille pour une entreprise de maintenance et elle est accréditée avec le statut Hors-EPFL, l’accréditeur lui a ajouté le droit d’avoir un compte Active Directory pour qu’elle puisse accéder à une certaine infrastructure du laboratoire.
Droits acquis par un rôle
Pour qu’une personne puisse bénéficier des droits inclus dans un rôle, une personne responsable doit lui donner une autorisation de détenir ce rôle.
Par exemple si Daenerys Targaryen doit accéder pleinement à l’Infocentre RH de son unité, elle doit demander à sa hiérarchie de lui donner une autorisation pour détenir le rôle de gestionnaire d’unité qui inclut entre autres tous les droits d’accès à l’Infocentre RH.
Gestion des autorisations et comment obtenir un droit
- Les différents droits liés à l’accréditation sont gérés par l’accréditeur de l’unité, c’est à lui qu’il faut s’adresser pour obtenir une autorisation.
- Pour une autorisation d’un autre droit sur une ressource protégée, il faut s’adresser à un détenteur de rôle qui possède ce droit sur cette ressource protégée.
Par exemple, si Daenerys Targaryen doit pouvoir consulter le fonds des assistants-étudiants pour le centre financier de son unité, elle devra le demander à son responsable d’unité qui détient le rôle de responsable de centre financier, car ce rôle inclut ce droit.
Certaines autorisations, par exemple pour les droits d’accès à l’infocentre RH, les droits d’accès à l’infocentre Finance, les droits du Registre des signatures, sont soumises à une approbation à 4 yeux, par exemple incluant le responsable d’unité et le responsable RH ou le responsable finance faculté.
En principe les droits obtenus par le statut sont suffisants pour effectuer les tâches courantes.
Les droits des personnes bénéficiaires sont accessibles via l’annuaire web de l’Ecole.
Exemples
- le droit confirmdistrilog permet à un administrateur d’une unité qui lui a donné ce droit de valider dans Distrilog les achats logiciel coûteux des membres de l’unité. Ainsi si le droit est donné au niveau d’un institut, l’administrateur pourra valider tous les achats de tous les membres des labos qui composent l’institut. L’administrateur n’a pas besoin d’être membre de l’institut, il pourrait par exemple être rattaché à l’unité de gestion de la faculté.
- les employés de l’EPFL sont automatiquement accrédités dans leur unité de rattachement avec le statut Personnel. C’est grâce à ce statut qui leur attribue le droit Intranet qu’ils peuvent notamment se connecter au réseau WIFI de l’EPFL.
- la responsable communication d’une unité peut déléguer le droit gestion profils à une collègue pour qu’elle puisse également administrer les pages personnelles des membres de l’unité
Les droits, rôles et toutes les autres informations gérées par l’application Accred peuvent être consultées via l’annuaire web de l’Ecole.
Les droits sont séparés en deux grandes catégories :