Mode Utilisateurs
GTF offre à l'administrateur la possibilité de gérer les droits à plusieurs niveaux.
Les privilèges changent l'affichage de l'interface en donnant accès ou non à différents modes et objets.
Les groupes quant à eux permettent d'accéder a certains traitements FME.
Gestion des utilisateurs
Un utilisateur GTF est un compte connu par l’application GTF et qui peut se connecter pour utiliser ses services.
Deux profils d’utilisateurs sont à distinguer :
Utilisateurs locaux : utilisateurs authentifiés par la base de données interne à GTF, PostgreSQL, créés directement dans GTF
Utilisateurs externes (importés depuis l'AD ou LDAP) : utilisateurs d’un domaine et authentifiés par un annuaire Active Directory, importés dans GTF
Les utilisateurs peuvent être gérés et listés via l'objet Utilisateurs dans l'interface.
Utilisateurs locaux
Le formulaire de création/modification d'utilisateur permet de définir :
Nom d'utilisateur (ce champ n'est plus modifiable une fois l'utilisateur créé)
Informations générales
Nom complet
E-mails
Société
Service
Fuseau horaire
Format d'affichage des dates
Droits et restrictions
Groupes auxquels appartient l'utilisateur
Privilèges de l'utilisateur
IP du poste (adresse IP V4 autorisée à se connecter, ou expression régulière. Exemple :
^193.248.208
. Si vide, toutes les adresses sont acceptées)Restrictions (utilisable pour restreindre l'accès à certaines données. Le mécanisme de filtre doit être implémenté dans un traitement GTF. La syntaxe à utiliser déped de la nature du filtre)
Mot de passe
Utilisateurs externes, importés depuis un Active Directory ou un LDAP
Le formulaire de création/modification d'un utilisateur est le même que pour les utilisateurs locaux, à la différence qu'il n'est pas possible de modifier le mot de passe de ces utilisateurs.
Emploi des utilisateurs sur différents domaines
Il est possible d'utiliser des utilisateurs sur plusieurs domaines.
Les domaines peuvent être ajouté via l'objet Domaines puis en cliquant sur le bouton Ajouter.
La première partie du formulaire permet de définir les informations pour communiquer avec l'annuaire.
La partie Paramètres avancés permet de définir un filtre pour trouver les utilisateurs, il permet aussi de définir les champs qui seront utilisés pour récupérer se qui sera utilisé comme login et comme Nom complet lors de l'import. La syntaxe des filtres est complexe, une documentation est disponible ici
La dernière partie permet de saisir les informations de connexions d'un compte administrateur pour l'import des utilisateurs.
Note
Dans le cas d'un annuaire LDAP il faut saisir le DN complet pour se connecter.
Le bouton Aide permet d'ouvrir un fenêtre modale qui vous donne des explications par rapport à la configuration du domaine.
Une fois le domaine créé et configuré, il est possible de lister les utilisateurs sur l'annuaire et d'importer certains utilisateurs.
Pour importer des utilisateurs, il faut les sélectionner dans la liste et cliquer sur le bouton Importer.
Les utilisateurs seront ensuite visibles dans la liste avec les utilisateurs locaux.
Pour que les utilisateurs puissent se connecter, il faut modifier le fichier pg_hba.conf. Une suggestion de configuration est faite dans le formulaire de mise à jour.
Il faut ajouter la ligne avant la configuration pour les utilisateurs locaux :
host all +rolegroup_nomdomaine 127.0.0.1/32 ldap ldapserver=nomduserveur ldapprefix=""
host all all 127.0.0.1/32 md5
# IPv6 local connections:
host all +rolegroup_nomdomaine ::1/128 ldap ldapserver=nomduserveur ldapprefix=""
host all all ::1/128 md5
Pour se connecter, l'utilisateur importé devra choisir le domaine dans la liste déroulante et saisir son identifiant sans le suffixe (la concaténation sera faite automatiquement). Le mot de passe devra être celui qui est défini dans l'annuaire.
Note
Les groupes de l'annuaire ne sont plus utilisés depuis la version 2020 de GTF. Il est redevenu possible de les importer depuis la version 2021.02, en revanche le fonctionnement diffère un peu de ce qui était présent pour les anciennes versions.
Création des groupes
L'administrateur est en charge la création et la gestion des groupes pour l'application.
Les groupes permettent une gestion fine de l'accès aux traitements FME par les utilisateurs.
Groupes externes, importés depuis un Active Directory ou un LDAP
Il est possible d'importer des groupes depuis un annuaire. Dans ce cas des groupes locaux seront créés et liés aux groupes sur le domaine.
Il est possible de synchroniser les groupes avec l'annuaire, dans ce cas un script viendra mettre à jour le lien entre les utilisateurs de ce domaine et ce groupe à interval régulier.
La synchronisation est à activer dans la configuration.
Note
Le fonctionnement est légérement différent de ce que l'application faisait en version 2019 et antérieur. Les groupes ne sont plus vérifiés par rapport à l'annuaire systématiquement à chaque fois, les groupes locaux sont toujours utilisés, en revanche il est possible de rafraichir le lien local régulièrement pour suivre les modification faites sur l'annuaire.
Création des privilèges
Privilèges Vitis
Les privilèges préfixés par vitis_ correspondent aux droits propres du socle de développement Vitis, sur lequel repose GTF :
vitis_user : permet de se connecter à l'application et de configurer son utilisateur.
vitis_admin : permet l'accès aux modes pour gérer les utilisateurs, domaines, groupes, jetons de connexions, logs, modèles d'email, interface et configuration de l'application. Il a en charge la gestion des paramètres système et de la configuration de GTF. Il accède également dans le mode API à la documentation relative à l'API de GTF.
vitis_shared : permet de gérer l'arborescence du dossier shared, qui est un dossier partagé entre plusieurs utilisateurs pour partager des ressources. Ce dossier est accéssible via un paramétre publié spécifique à GTF GTF_SHARED_DIR dans vos projets FME.
Privilèges GTF
Des profils d'utilisateurs propres à GTF sont disponibles. L'accès aux modes dépend des privilèges attribués à l'utilisateur.
gtf_admin : dans GTF, en plus des privilèges vitis_admin, l'administrateur accède à la configuration des moteurs GTF et FME, la supervision des demandes, abonnements, surveillance, aux statistiques, à la publication, et la configuration de GTF.
gtf_author : l'auteur publie des projets FME sur GTF et les met à la disposition des utilisateurs en ayant droit. Il accède aussi à la supervision dans une version allégée.
gtf_user : utilisateur de GTF qui éxécute des projets FME auxquels il a accès.
Note
A partir de la GTF 2020, il est possible d'ajouter des privilèges à travers l'interface. En revanche les privilèges liés à l'application ne sont ni supprimables, ni modifiables.
Gestion des jetons de connexion
Il est possible pour l'administrateur de créer des jetons de connexion (aussi appelés jetons).
Il peut définir des restrictions :
Par IP de provenance
Date d'expiration
L'administrateur doit connaitre le mot de passe de l'utilisateur pour générer un jeton.
Le jeton pourra ensuite être exploité dans l'application par les widgets de GTF.
Note
Cette fonctionnalité remplace l'ancien fonctionnement du jeton public.