Mode Utilisateurs

GTF offre à l'administrateur la possibilité de gérer les droits à plusieurs niveaux.

Les privilèges changent l'affichage de l'interface en donnant accès ou non à différents modes et objets.

Les groupes quant à eux permettent d'accéder a certains traitements FME.

Gestion des utilisateurs

Un utilisateur GTF est un compte connu par l’application GTF et qui peut se connecter pour utiliser ses services.

Deux profils d’utilisateurs sont à distinguer :

  • Utilisateurs locaux : utilisateurs authentifiés par la base de données interne à GTF, PostgreSQL, créés directement dans GTF

  • Utilisateurs externes (importés depuis l'AD ou LDAP) : utilisateurs d’un domaine et authentifiés par un annuaire Active Directory, importés dans GTF

Les utilisateurs peuvent être gérés et listés via l'objet Utilisateurs dans l'interface.

Utilisateurs locaux

Le formulaire de création/modification d'utilisateur permet de définir :

  • Nom d'utilisateur (ce champ n'est plus modifiable une fois l'utilisateur créé)

  • Informations générales

    • Nom complet

    • E-mails

    • Société

    • Service

    • Fuseau horaire

    • Format d'affichage des dates

  • Droits et restrictions

    • Groupes auxquels appartient l'utilisateur

    • Privilèges de l'utilisateur

    • IP du poste (adresse IP V4 autorisée à se connecter, ou expression régulière. Exemple : ^193.248.208. Si vide, toutes les adresses sont acceptées)

    • Restrictions (utilisable pour restreindre l'accès à certaines données. Le mécanisme de filtre doit être implémenté dans un traitement GTF. La syntaxe à utiliser déped de la nature du filtre)

  • Mot de passe

Gestion des Utilisateur

Utilisateurs externes, importés depuis un Active Directory ou un LDAP

Le formulaire de création/modification d'un utilisateur est le même que pour les utilisateurs locaux, à la différence qu'il n'est pas possible de modifier le mot de passe de ces utilisateurs.

Emploi des utilisateurs sur différents domaines

Il est possible d'utiliser des utilisateurs sur plusieurs domaines.

Les domaines peuvent être ajouté via l'objet Domaines puis en cliquant sur le bouton Ajouter.

Ajout domaine

La première partie du formulaire permet de définir les informations pour communiquer avec l'annuaire.

La partie Paramètres avancés permet de définir un filtre pour trouver les utilisateurs, il permet aussi de définir les champs qui seront utilisés pour récupérer se qui sera utilisé comme login et comme Nom complet lors de l'import. La syntaxe des filtres est complexe, une documentation est disponible ici

La dernière partie permet de saisir les informations de connexions d'un compte administrateur pour l'import des utilisateurs.

Ajout domaine

Note

Dans le cas d'un annuaire LDAP il faut saisir le DN complet pour se connecter.

Le bouton Aide permet d'ouvrir un fenêtre modale qui vous donne des explications par rapport à la configuration du domaine.

Aide domaine

Une fois le domaine créé et configuré, il est possible de lister les utilisateurs sur l'annuaire et d'importer certains utilisateurs.

Pour importer des utilisateurs, il faut les sélectionner dans la liste et cliquer sur le bouton Importer.

Import utilsiateurs domaine

Les utilisateurs seront ensuite visibles dans la liste avec les utilisateurs locaux.

Import utilsiateurs domaine

Pour que les utilisateurs puissent se connecter, il faut modifier le fichier pg_hba.conf. Une suggestion de configuration est faite dans le formulaire de mise à jour.

Il faut ajouter la ligne avant la configuration pour les utilisateurs locaux :

host    all      +rolegroup_nomdomaine    127.0.0.1/32    ldap ldapserver=nomduserveur ldapprefix=""
host    all      all                      127.0.0.1/32    md5
# IPv6 local connections:
host    all      +rolegroup_nomdomaine    ::1/128         ldap ldapserver=nomduserveur ldapprefix=""
host    all      all                      ::1/128         md5

Pour se connecter, l'utilisateur importé devra choisir le domaine dans la liste déroulante et saisir son identifiant sans le suffixe (la concaténation sera faite automatiquement). Le mot de passe devra être celui qui est défini dans l'annuaire.

connection sur le domaine

Note

Les groupes de l'annuaire ne sont plus utilisés depuis la version 2020 de GTF. Il est redevenu possible de les importer depuis la version 2021.02, en revanche le fonctionnement diffère un peu de ce qui était présent pour les anciennes versions.

Création des groupes

L'administrateur est en charge la création et la gestion des groupes pour l'application.

Les groupes permettent une gestion fine de l'accès aux traitements FME par les utilisateurs.

Groupes externes, importés depuis un Active Directory ou un LDAP

Il est possible d'importer des groupes depuis un annuaire. Dans ce cas des groupes locaux seront créés et liés aux groupes sur le domaine.

Import de groupe

Il est possible de synchroniser les groupes avec l'annuaire, dans ce cas un script viendra mettre à jour le lien entre les utilisateurs de ce domaine et ce groupe à interval régulier.

La synchronisation est à activer dans la configuration.

Note

Le fonctionnement est légérement différent de ce que l'application faisait en version 2019 et antérieur. Les groupes ne sont plus vérifiés par rapport à l'annuaire systématiquement à chaque fois, les groupes locaux sont toujours utilisés, en revanche il est possible de rafraichir le lien local régulièrement pour suivre les modification faites sur l'annuaire.

Création des privilèges

Privilèges Vitis

Les privilèges préfixés par vitis_ correspondent aux droits propres du socle de développement Vitis, sur lequel repose GTF :

  • vitis_user : permet de se connecter à l'application et de configurer son utilisateur.

  • vitis_admin : permet l'accès aux modes pour gérer les utilisateurs, domaines, groupes, jetons de connexions, logs, modèles d'email, interface et configuration de l'application. Il a en charge la gestion des paramètres système et de la configuration de GTF. Il accède également dans le mode API à la documentation relative à l'API de GTF.

  • vitis_shared : permet de gérer l'arborescence du dossier shared, qui est un dossier partagé entre plusieurs utilisateurs pour partager des ressources. Ce dossier est accéssible via un paramétre publié spécifique à GTF GTF_SHARED_DIR dans vos projets FME.

Privilèges GTF

Des profils d'utilisateurs propres à GTF sont disponibles. L'accès aux modes dépend des privilèges attribués à l'utilisateur.

  • gtf_admin : dans GTF, en plus des privilèges vitis_admin, l'administrateur accède à la configuration des moteurs GTF et FME, la supervision des demandes, abonnements, surveillance, aux statistiques, à la publication, et la configuration de GTF.

  • gtf_author : l'auteur publie des projets FME sur GTF et les met à la disposition des utilisateurs en ayant droit. Il accède aussi à la supervision dans une version allégée.

  • gtf_user : utilisateur de GTF qui éxécute des projets FME auxquels il a accès.

Note

A partir de la GTF 2020, il est possible d'ajouter des privilèges à travers l'interface. En revanche les privilèges liés à l'application ne sont ni supprimables, ni modifiables.

Gestion des jetons de connexion

Il est possible pour l'administrateur de créer des jetons de connexion (aussi appelés jetons).

Il peut définir des restrictions :

  • Par IP de provenance

  • Date d'expiration

L'administrateur doit connaitre le mot de passe de l'utilisateur pour générer un jeton.

jeton

Le jeton pourra ensuite être exploité dans l'application par les widgets de GTF.

Note

Cette fonctionnalité remplace l'ancien fonctionnement du jeton public.