Mode Utilisateurs
vMap2 offre à l'administrateur la possibilité de gérer les droits à plusieurs niveaux.
Les privilèges changent l'affichage de l'interface en donnant accès ou non à différents modes et objets.
Les groupes quant à eux permettent d'accéder a certains traitements FME.
Gestion des utilisateurs
Un utilisateur vMap2 est un compte connu par l’application vMap2 et qui peut se connecter pour utiliser ses services.
Deux profils d’utilisateurs sont à distinguer :
Utilisateurs locaux : utilisateurs authentifiés par la base de données interne à vMap2, PostgreSQL, créés directement dans vMap2
Utilisateurs externes (importés depuis l'AD ou LDAP) : utilisateurs d’un domaine et authentifiés par un annuaire Active Directory, importés dans vMap2
Les utilisateurs peuvent être gérés et listés via l'objet Utilisateurs dans l'interface.
Utilisateurs locaux
Le formulaire de création/modification d'utilisateur permet de définir :
Nom d'utilisateur (ce champ n'est plus modifiable une fois l'utilisateur créé)
Informations générales
Nom complet
E-mails
Société
Service
Fuseau horaire
Format d'affichage des dates
Droits et restrictions
Groupes auxquels appartient l'utilisateur
Privilèges de l'utilisateur
IP du poste (adresse IP V4 autorisée à se connecter, ou expression régulière. Exemple :
^193.248.208. Si vide, toutes les adresses sont acceptées)Restrictions communales pour le module Casdastre
Mot de passe
Utilisateurs externes, importés depuis un Active Directory ou un LDAP
Le formulaire de création/modification d'un utilisateur est le même que pour les utilisateurs locaux, à la différence qu'il n'est pas possible de modifier le mot de passe de ces utilisateurs.
Emploi des utilisateurs sur différents domaines
Il est possible d'utiliser des utilisateurs sur plusieurs domaines.
Les domaines peuvent être ajouté via l'objet Domaines puis en cliquant sur le bouton Ajouter.
La première partie du formulaire permet de définir les informations pour communiquer avec l'annuaire.
La partie Paramètres avancés permet de définir un filtre pour trouver les utilisateurs, il permet aussi de définir les champs qui seront utilisés pour récupérer se qui sera utilisé comme login et comme Nom complet lors de l'import.
La dernière partie permet de saisir les informations de connexions d'un compte administrateur pour l'import des utilisateurs.
Note
Dans le cas d'un annuaire LDAP il faut saisir le DN complet pour se connecter.
Le bouton Aide permet d'ouvrir un fenêtre modale qui vous donne des explications par rapport à la configuration du domaine.
Une fois le domaine créé et configuré, il est possible de lister les utilisateurs sur l'annuaire et d'importer certains utilisateurs.
Pour importer des utilisateurs, il faut les sélectionner dans la liste et cliquer sur le bouton Importer.
Les utilisateurs seront ensuite visibles dans la liste avec les utilisateurs locaux.
Pour que les utilisateurs puissent se connecter, il faut modifier le fichier pg_hba.conf. Une suggestion de configuration est faite dans le formulaire de mise à jour.
Il faut ajouter la ligne avant la configuration pour les utilisateurs locaux :
host all +rolegroup_nomdomaine 127.0.0.1/32 ldap ldapserver=nomduserveur ldapprefix=""
host all all 127.0.0.1/32 md5
# IPv6 local connections:
host all +rolegroup_nomdomaine ::1/128 ldap ldapserver=nomduserveur ldapprefix=""
host all all ::1/128 md5
Pour se connecter, l'utilisateur importé devra choisir le domaine dans la liste déroulante et saisir son identifiant sans le suffixe (la concaténation sera faite automatiquement). Le mot de passe devra être celui qui est défini dans l'annuaire.
Création des groupes
L'administrateur est en charge la création et la gestion des groupes pour l'application.
Les groupes permettent une gestion fine de l'accès aux traitements FME par les utilisateurs.
Groupes externes, importés depuis un Active Directory ou un LDAP
Il est possible d'importer des groupes depuis un annuaire. Dans ce cas des groupes locaux seront créés et liés aux groupes sur le domaine.
Il est possible de synchroniser les groupes avec l'annuaire, dans ce cas un script viendra mettre à jour le lien entre les utilisateurs de ce domaine et ce groupe à interval régulier.
La synchronisation est à activer dans la configuration.
Note
Le fonctionnement est légérement différent de ce que l'application faisait en version 2019 et antérieur. Les groupes ne sont plus vérifiés par rapport à l'annuaire systématiquement à chaque fois, les groupes locaux sont toujours utilisés, en revanche il est possible de rafraichir le lien local régulièrement pour suivre les modification faites sur l'annuaire.
Création des privilèges
Privilèges Vitis
Les privilèges préfixés par vitis_ correspondent aux droits propres du socle de développement Vitis, sur lequel repose vMap2 :
vitis_user : permet de se connecter à l'application et de configurer son utilisateur.
vitis_admin : permet l'accès aux modes pour gérer les utilisateurs, domaines, groupes, jetons de connexions, logs, modèles d'email, interface et configuration de l'application. Il a en charge la gestion des paramètres système et de la configuration de vMap2. Il accède également dans le mode API à la documentation relative à l'API de vMap2.
vitis_shared : permet de gérer l'arborescence du dossier shared, qui est un dossier partagé entre plusieurs utilisateurs pour partager des ressources.
Privilèges vMap2
[Publication prochaine]
Gestion des jetons de connexion
Il est possible pour l'administrateur de créer des jetons de connexion (aussi appelés jetons).
Il peut définir des restrictions :
Par IP de provenance
Date d'expiration
L'administrateur doit connaitre le mot de passe de l'utilisateur pour générer un jeton.
Le jeton pourra ensuite être exploité dans l'application par les widgets de vMap2.
Note
Cette fonctionnalité remplace l'ancien fonctionnement du jeton public.