Héritage des droits d'accès

Cette rubrique décrit des concepts essentiels à la compréhension du mécanisme d'héritage des droits d'accès.

Comprendre l'héritage des droits d'accès Rational ClearQuest est primordial pour développer une règle robuste de contrôle d'accès aux dossiers de l'espace de travail.

Droits de base : le groupe Everyone

En plus des groupes d'utilisateurs, la fonction de droits d'accès aux dossiers de l'espace de travail utilise un groupe prédéfini appelé Everyone, qui contient tous les utilisateurs Rational ClearQuest. L'appartenance d'un utilisateur à ce groupe est automatique et implicite. Il n'est pas possible de modifier cette appartenance.

Le groupe Everyone est utilisé pour définir un droit d'accès de base à partir duquel les modifications peuvent ensuite être appliquées. Par exemple, le droit d'accès par défaut pour le dossier des requêtes publiques est Lecture seule pour tous les utilisateurs. Utilisez le groupe Everyone pour modifier le droit par défaut sans créer ni gérer de groupe explicite.

Héritage par groupe et sous-groupe

Tout comme les droits d'accès sont définis pour des groupes plutôt que pour des individus, le modèle d'héritage des droits d'accès dépend de l'appartenance de l'utilisateur à un groupe ou à un sous-groupe.

Un administrateur de dossier peut affecter des droits d'accès différents à un groupe et à ses sous-groupes. Si un utilisateur est indirectement membre d'un groupe de par son appartenance directe à un sous-groupe, et que le groupe et le sous-groupe disposent de droits d'accès différents (Lecture-écriture et Lecture seule par exemple), le droit d'accès de l'utilisateur est toujours déterminé par le droit d'accès au sous-groupe.

En revanche, si un utilisateur est un membre direct de plusieurs groupes, qu'ils soient ou non des sous-groupes les uns des autres, et que ces groupes ont des niveaux d'accès différents, le droit d'accès de l'utilisateur est déterminé par le groupe disposant du droit d'accès le plus élevé. Lors d'un conflit entre les droits hérités, l'appartenance directe à un groupe prime sur l'appartenance indirecte.

Héritage par dossier et sous-dossier

Les utilisateurs qui peuvent modifier les droits d'un dossier sont ceux qui disposent d'un droit Administrateur des dossiers publics (Public Folder Administrator) ou Administrateur de la sécurité (Security Administrator), ou ceux qui appartiennent à un groupe ayant reçu le droit Changement des droits sur un dossier.

Par défaut, un sous-dossier hérite des droits d'accès de son dossier parent. L'utilisateur qui a reçu l'autorisation de modifier les droits peut remplacer les droits de ses groupes en attribuant des droits différents à un sous-dossier. Si les droits d'accès à un sous-dossier sont remplacés et que le sous-dossier contient lui-même des sous-dossiers, ceux-ci héritent des droits d'accès définis en remplacement. L'administrateur de la sécurité et l'administrateur des dossiers publics peuvent accéder à tous les dossiers et sous-dossiers, quel que soit le droit d'accès affecté au dossier.

Droits d'accès effectifs

Le terme Droit d'accès effectif désigne à la fois l'accès d'un groupe à un dossier particulier et l'accès d'un utilisateur spécifique.

Le droit d'accès effectif d'un groupe à un dossier est :
  1. Le droit d'accès appliqué explicite du groupe à ce dossier, le cas échéant.
  2. S'il n'existe aucun droit d'accès appliqué explicite, recherchez un droit d'accès appliqué du niveau parent. Le niveau parent le plus proche ayant un droit d'accès appliqué détermine le droit d'accès effectif. S'il existe plusieurs droits appliqués à ce niveau parent du groupe, le droit d'accès effectif est le droit d'accès appliqué ayant la plus haute priorité. Pour déterminer le niveau parent, le groupe Everyone est considéré comme le niveau parent le plus éloigné.
  3. Sinon, le droit d'accès effectif est celui du groupe sur le dossier parent. S'il n'existe pas de dossier parent (dans le cas du dossier des requêtes publiques par exemple), le droit d'accès effectif est le droit d'accès par défaut (généralement Lecture seule pour ce dernier dossier).
Le droit d'accès effectif d'un utilisateur à un dossier est :
  1. Le droit d'accès appliqué ayant la plus haute priorité sur ce dossier parmi les groupes dont l'utilisateur est membre, le cas échéant.
  2. S'il n'existe aucun droit d'accès appliqué explicite, recherchez un droit d'accès appliqué dans tous les niveaux parents des groupes de l'utilisateur. Le niveau parent le plus proche ayant un droit d'accès appliqué détermine le droit d'accès effectif. S'il existe plusieurs droits appliqués à ce niveau parent du groupe, le droit d'accès effectif est le droit d'accès appliqué ayant la plus haute priorité. Pour déterminer le niveau parent, le groupe Everyone est considéré comme le niveau parent le plus éloigné.
  3. Sinon, le droit d'accès effectif est celui de l'utilisateur sur le dossier parent. S'il n'existe pas de dossier parent (dans le cas du dossier des requêtes publiques par exemple), le droit d'accès effectif est le droit d'accès par défaut (généralement Lecture seule pour ce dernier dossier).

Remarques sur les délais d'application

Les mises à jour effectuées sur les droits d'accès aux dossiers d'un groupe ou sous-groupe d'utilisateurs prennent effet lors de la session Rational ClearQuest en cours, dès que l'administrateur du dossier effectue la mise à jour. Sur la réplique de la session en cours, les mises à jour prennent effet sur toutes les sessions démarrées après validation de la modification dans la base de données. Sur les autres répliques, les mises à jour prennent effet sur les sessions démarrées après la fin de la synchronisation de ces répliques avec celle qui contient la session en cours.

En raison du délai de prise d'effet des modifications des droits sur les autres sessions, des utilisateurs peuvent, pendant un certain temps après la modification dans la session en cours, accéder à la base de données avec des droits d'accès moins restreints que ceux définis pour eux par l'administrateur.


Commentaires en retour