Guide D'utilisateur Sécurité

GUIDE UTILISATEUR
MASSINISSA SECURITE
MANUEL D’UTILISATION CARTHAGO
Résumé : Architecture de la Sécurité dans le Framework Massinissa et présentation du

composant ‘Massinissa-Sécurité’.
Ref. MSSEC/GU/01
Date de création 03/03/2014

Projet
Version 1.0
Date de mise à jour 27/03/2014
Rue lac Ghar El Melh - Les berges du lac - 1053 Tunis – Tunisie
Phone : (216) 71 962.030 - Fax : (216) 71 961.299
www.bfigroupe.com
TABLE DES MATIERES
I. Introduction _____________________________________________________________ 3
II. Présentation de l’outil ______________________________________________________ 3
2.1 Le processus d’authentification dans Massinissa-Sécurité _____________________ 3
2.2 Le processus d’autorisation dans Massinissa-Sécurité ________________________ 4
III. Guide d’utilisation de Massinissa-Sécurité _______________________________________ 7
3.1 Paramétrage des données de sécurité _____________________________________ 8
3.1.1 Création / édition d’un groupe ______________________________________________________ 8
3.1.2 Création / édition d’un utilisateur ___________________________________________________ 10
3.1.3 Délégation utilisateurs ____________________________________________________________ 12
3.1.4 Privilège sur entités ______________________________________________________________ 14
3.2 Gestion des Autorisations et Profils ______________________________________ 15
3.2.1 Les options régionales ____________________________________________________________ 15
3.2.2 Les profiles organisationnels ________________________________________________________ 16
3.2.3 La personnalisation des menus utilisateurs _____________________________________________ 18
3.2.4 Les profils utilisateurs _____________________________________________________________ 20
3.2.5 Les profils groupes d’utilisateurs _____________________________________________________ 21
3.2.6 Points à retenir et Conseils pratiques _________________________________________________ 22
3.3 Gestion des autorisations ______________________________________________ 22
3.3.1 Les privilèges ___________________________________________________________________ 22
3.3.2 Définition d’une Service-Policy ______________________________________________________ 24
3.3.3 Définition d’une Entity-Policy _______________________________________________________ 25
3.3.4 Privilèges par Utilisateur __________________________________________________________ 26
3.3.5 Privilèges groupes _______________________________________________________________ 28
3.4 Gestion des Mots de Passe _____________________________________________ 28
3.4.1 Changement d’un mot de passe par un utilisateur _______________________________________ 28
3.4.2 Gestion des mots de passe _________________________________________________________ 29
3.5 Gestion des Utilisateurs connectés, Cache et Procédures d’activation / désactivation
des utilisateurs. __________________________________________________________ 30
3.5.1 Utilisateurs connectés _____________________________________________________________ 30
3.5.2 Rechargement de la Sécurité _______________________________________________________ 31
3.5.3 Vider le Cache de persistance ______________________________________________________ 31
3.5.4 Activation/Désactivation __________________________________________________________ 32
Guide Utilisateur Massinissa Sécurité 2/33

I. INTRODUCTION
L’architecture de la sécurité dans le framework de BFI a été conçue de façon à se conformer
aux trois exigences suivantes :
1. Authentifier l’utilisateur demandant l’accès aux applications Carthago.
2. Prémunir l’exécution d’opérations illégales, via un processus d’Autorisation, régissant les
accès aux services.
3. Prémunir les accès illégaux aux données, via un processus d’Autorisation, régissant les
accès aux donnés.
De ce fait, Carthago est orienté sur la notion de service : Il s’agit d’un ensemble cohérent de
services exposés, qui ne peuvent être accessibles qu’à travers des messages. Chaque message
(demandant une prestation particulière d’un service particulier) doit contenir nécessairement les
éléments suivants :
1. le nom du service,
2. le nom de l’action matérialisant la prestation demandée,
3. et finalement l’ensemble des paramètres nécessaires à l’exécution de la prestation
demandée.
L’exécution de n’importe quel message doit nécessairement passer par les processus
d’authentification et d’autorisation.
II. PRESENTATION DE L’OUTIL
Carthago possède un outil d’administration de la sécurité, permettant à la fois de gérer les

processus d’authentification et d’autorisation.
2.1 LE PROCESSUS D’AUTHENTIFICATION DANS MASSINISSA-SECURITE

L’authentification est le mécanisme par lequel les parties s’identifient mutuellement et prouvent
qu’ils ont les droits d’accès au système. L’authentification répond à la question « Qui êtes-vous
? » en utilisant des critères d’identifications (CREDENTIALS) tel que la combinaison d’un nom
d’utilisateur et d’un mot de passe. Elle n’indique pas quels services l’utilisateur est habilité à
appeler lorsqu’il accède au système. Cette dernière fonction est du ressort du processus
d’autorisation.
Lors d’une exécution d’une demande de service, le système cherche à authentifier l’utilisateur.
Dans le cas où ce dernier n’a pas été authentifié, systématiquement, il est orienté vers un écran
de « Login », où il devra rentrer son nom et son mot de passe qui seront validés, de suite, par
le système. Si l’utilisateur a réussi à être authentifié, il lui serait permis d’accéder au service
qu’il a demandé.

Processus de Login
Page de Login
User Name:
Aucune session
Créée Auparavant
Password:
Login
Firewall de Securité
Login Authentifié
d’Authentication)
(Processus
Demande de Page
(via GUI)
L’Utilisateur a été Authentifié

Auparavant. Page Demandée
Il est à noter que l’utilisateur sera obligé de fournir son nom et mot de passe, la première fois
quand il commence à utiliser le système, ou lorsque la session qui lui est ouverte expire (suite à
un « time out » ou à un « log out » de la part de l’utilisateur).
2.2 LE PROCESSUS D’AUTORISATION DANS MASSINISSA-SECURITE

Le processus d’autorisation est le mécanisme garantissant que les ressources et les données ne
sont mises à disposition que des utilisateurs ayant droit de les utiliser. L’interaction entre un
utilisateur et un service donné est donc contrôlée en se basant sur l’identité de l’utilisateur et
des informations correspondant à ces « droits d’utilisation ». Le processus d’autorisation répond
à la question « Est-ce que l’utilisateur a le droit d’utiliser telle ressource ? »
Dans MASSINISSA-SECURITE, une ressource est soit une entité, un service ou une méthode
(action) dans un service. Les utilisateurs sont organisés en groupes. La responsabilité du
processus d’autorisation est :
 Premièrement, déterminer pour un ensemble de groupes et/ou d’utilisateurs un
ensemble de privilèges éligibles.
 Deuxièmement, déterminer pour chaque privilège éligible quelles sont les ressources
accessibles par l’utilisateur.

Ressource 1
User 1
Group 1
Privilege 1
Ressource 2
User 2
Privilege 1
Group 2
Ressource 3
Privilege 1
User 3
Group n
Ressource 4
User n
Lien Statique
Lien Dynamique
Dans la figure précédente, deux types de liens sont exposés : des liens statiques et des liens
dynamiques. Les liens statiques sont configurés une seule fois et ne changent pas durant
l’environnement d’exécution (« runtimeenvironment »). Les liens dynamiques sont aussi
configurés une seule fois, mais ils sont associés à des conditions qui seront évaluées lors de
l’exécution afin d’octroyer le lien ou de le révoquer. Ceci confère au Framework de BFI un
certain niveau de flexibilité permettant de couvrir plus de besoins fonctionnels de sécurité.
Les liens dynamiques entre groupes et privilèges sont appelés «Eligibilité des Privilèges » («
PrivilegeStatements »). Ceux entre les privilèges et les ressources sont appelés « Eligibilité des
ressources » (« Policy Statements »).
Les éligibilités des ressources sont persistées dans des structures arborescentes, où les
privilèges constituent les racines ; les services en font le deuxième niveau ; et finalement, les
actions en font le dernier niveau :
Privilege 1
Service 1 Service 2 Service n
Action 1 Action 2 Action m

Les conditions d’éligibilité des ressources peuvent donc être stockées au niveau de n’importe
quel nœud de l’arborescence. Les conditions par défaut sont stockées au niveau des nœuds
supérieurs ; Alors que les conditions plus spécifiques (les exceptions) sont stockées au niveau
des nœuds inférieurs.
Lors de la vérification des permissions d’accès aux ressources, le Framework de BFI parcourt
l’arborescence cherchant la condition la plus spécifique. Ceci se fait tout en connaissant le
triplet (nom de privilège, nom de service, nom d’action) qui est extrait du message. Dans le cas
où un nœud existe, la condition rattachée est évaluée, et la permission d’accès est soit
octroyée, soit révoquée.
Finalement, un utilisateur est autorisé à accéder à une ressource si au moins un des privilèges
qui lui sont éligibles, possède les conditions d’accès à cette ressource :

III. GUIDE D’UTILISATION DE MASSINISSA-SECURITE
La fonction d’administration de la sécurité est assimilée à un service et est donc soumise aux
mêmes conditions d’accès que n’importe quel autre service. Ainsi, l’administrateur de la sécurité
devrait être configuré en tant qu’utilisateur ayant accès au service d’administration de la
sécurité.
L’administration de la sécurité dans les modules de Carthago contient un ensemble de

fonctions :
- Paramétrage des données de sécurité.

- Gestion des autorisations et profils
- Gestion des autorisations
- Gestion des mots de passes
- Utilisateurs connectés, gestion du Cache et Procédures d’activation / désactivation des
utilisateurs.

Paramétrage des données
Gestion des autorisations
Gestion des Profils
Gestion des Mots de Passe
Utilisateurs connectés,
Gestion du Cache et
Activation/Désactivation
3.1 PARAMETRAGE DES DONNEES DE SECURITE

Les fonctionnalités offertes dans ce groupe de menus sont les suivantes :
3.1.1 Création / édition d’un groupe :

L’écran de création d’un groupe est accessible via le menu ‘Groupes ou rôles d’utilisateurs’ :

Le use case affiché est un use-case de consultation des groupes existants, et à partir duquel on
peut créer de nouveaux groupes, en appuyant sur le bouton ‘Nouveau’, comme le montre la
capture d’écran suivante :
Les groupes dans Massinissa sont définis par un nom identifiant et optionnellement un groupe
parent pour matérialiser une hiérarchisation au niveau des groupes.
NB : Il est à noter que le groupe nouvellement créé héritera

systématiquement de tous les privilèges et ressources affectées au
groupe parent.
L’écran de création d’un nouveau groupe d’utilisateurs se présente comme le montre la capture
d’écran suivante :
Nom Groupe ou rôle : Il s’agit de l’identifiant du rôle organisationnel.
Groupe ou rôle parent : Les groupes / rôles organisationnels sont organisés en

arborescence. Ce champ indique donc le rôle parent.
Pour affecter un groupe parent, il faut appuyer sur le bouton ‘…’, pour aller vers le use case
de sélection du groupe parent, permettant de faire une recherche sur le groupe parent en
question et le sélectionner pour l’affecter. Le fonctionnement d’un écran de sélection d’un
groupe sera décrit plus loin dans la section suivante.

3.1.2 Création / édition d’un utilisateur :
L’écran de création d’un utilisateur est accessible via le menu ‘Utilisateurs’ :
Le use case affiché est un use-case de consultation des utilisateurs existants, et à partir duquel
on peut créer de nouveaux utilisateurs, en appuyant sur le bouton ‘Nouveau’, comme le montre
la capture d’écran suivante :
Les utilisateurs dans Massinissa sont définis par un nom identifiant et un mot de passe. La
définition d’un utilisateur peut inclure optionnellement l’affectation d’un ou de plusieurs
groupes parents (ou rôles organisationnels).L’écran de création d’un nouvel utilisateur se
présente comme suit :
Login : nom de l’utilisateur qui sera utilisé pour le login.
Mot de passe : mot de passe de l’utilisateur.
Groupe ou rôle : C’est la liste des rôles organisationnels que l’utilisateur a.
L’affectation d’un utilisateur à un groupe se fait via l’onglet ‘Groupe ou rôle’. Cet onglet
présente la liste des groupes auxquels l’utilisateur est affilié. L’affiliation à un nouveau groupe

ou rôle, se fait en appuyant sur le bouton ‘Ajouter’, comme le montre la capture d’écran
suivante :
L’écran permettant d’affecter un nouveau groupe à un utilisateur se présente comme le montre

la capture d’écran suivante :
Il faut donc appuyer sur le bouton ‘…’ pour sélectionner le groupe à affecter. Dans l’écran de
sélection de groupe affiché, il faut appuyer sur le bouton ‘Chercher’, sélectionner le groupe en
question dans la liste contenant le résultat de recherche est appuyer ensuite sur le bouton
sélectionner.

Une fois le groupe sélectionné, dans l’écran d’affectation d’un groupe à un utilisateur appuyer
sur le bouton ‘Ok’. De retour à l’écran de création d’un utilisateur, appuyer sur l’onglet
‘Général’, et appuyer ensuite sur le bouton ‘Enregistrer’. Constater que l’utilisateur
nouvellement créé a bel et bien été enregistré. Il possible désormais de le consulter dans
l’écran de consultation des utilisateurs accessible à partir du menu ‘Utilisateurs’.
NB : Un utilisateur affilié à des groupes hérite systématiquement de

tous les privilèges et ressources affectées aux groupes auxquels il est
affilié.
3.1.3 Délégation utilisateurs

La fonctionnalité de ‘Délégation utilisateurs’, permet de gérer le cas des absences ainsi que
les relations de subordination et de supervision. Un utilisateur absent pour des raisons de
congé ou de maladie, peut être remplacé momentanément par un autre utilisateur, le temps
qu’il reprenne ses fonctions. Cette fonctionnalité est accessible via le menu ‘Délégation
utilisateurs’ :

Le use case affiché est un use case de consultation des décisions de remplacements existantes
faite sur des utilisateurs absents, et à partir duquel on peut créer de nouvelles décisions de
remplacements d’utilisateurs, en appuyant sur le bouton ‘Nouveau’, comme le montre la
L’écran de création d’un nouveau remplacement se présente comme le montre la capture

Utilisateur : nom de l’utilisateur.
Remplacements : C’est la liste des utilisateurs à remplacer, avec la nature, durée et

raison de remplacement.
Pour ajouter une décision de remplacement, il appuyer sur l’onglet ‘Remplacements’, puis
cliquer sur le bouton ‘Ajouter’ :
Les champs à renseigner lors de la création/édition d’une décision de remplacement sont les
suivant :

Utilisateur : Il s’agit de l’utilisateur de remplacement.
Date début : Date d’entrée en vigueur du remplacement.
Date fin : Date de fin de validité du remplacement.
Type : Nature de remplacement. Les valeurs possibles sont :
Remplacement : ce type de remplacement est à utiliser en cas

d’absence quel que soit le motif d’absence (maladie, congé annuel,…).
Subordination : ce type de remplacement est à utiliser pour donner des

droits de supervision à d’autres utilisateurs quant aux tâches de
l’utilisateur remplacé.
Surcharge : ce type de remplacement est à utiliser en cas de partage

des mêmes tâches entre plusieurs utilisateurs.
Raison : Raison du remplacement.
NB : Toutes les tâches de tableau de bord qui sont affectées à

l’utilisateur remplacé, vont systématiquement apparaître dans les
tableaux de bords des utilisateurs qui le remplacent tant que les dates
délimitant la validité de la décision sont en vigueur.
Ceci concerne toutes les tâches paramétrées au niveau du tableau de

bord, mais aussi toutes les tâches induites par les différents processus
BPM de gestion de workflow métiers.
3.1.4 Privilège sur entités :

La fonctionnalité de ‘Privilège sur entités’, permet de gérer des privilèges sur les entités.
Cette fonctionnalité est accessible via le menu ‘Délégation utilisateurs’ :
Le use case affiché est un use case de consultation des privilèges sur les entités, comme on peut
créer des nouveaux privilèges et ce en appuyant sur le bouton ‘Nouveau’, comme le montre la
Classe d’entité : Il s’agit de l’entité.
3.2 GESTION DES AUTORISATIONS ET PROFILS
La Gestion des Autorisations et Profils inclue :
- La définition des options régionales.

- La définition de profils organisationnels.
- La personnalisation des menus utilisateurs.
- La définition des profils utilisateurs.
- La définition des profils de groupes ou rôles d’utilisateurs.
3.2.1 Les options régionales

Les options régionales définissent un certain nombre de paramètres agissant sur
l’internationalisation de littéraux affichés selon une langue choisie, le format d’affichage des
montants, et finalement le format d’affichage des dates et des horaires. Cette fonctionnalité
est accessible via le menu ‘Options Régionales’ :

L’écran de création / édition d’une option régionale se présente comme suit :
Nom option régionale : Il s’agit de l’identifiant de l’option régionale.
Langue : définit la langue de l’option régionale. Les différentes valeurs possibles sont:
fr : Français,en : Anglais,es : Espagnol, ar : Arabe, etc…
Fomat Nombre : le format des nombres utilisé par l’option régionale.
Format Date : le format de date utilisé par l’option régionale.
Symbole Décimale : le symbole du séparateur des décimaux.
Symbole regroupement : le symbole du séparateur des milliers.
Format Horaire : le format horaire utilisé par l’option régionale.
3.2.2 Les profiles organisationnels

Les profils organisationnels définissent un certain nombre de paramètres caractérisant
l’appartenance organisationnelle d’un utilisateur. Ces paramètres sont utilisés par la suite par
l’application afin de procéder à des opérations de filtrage. Cette fonctionnalité est accessible
via le menu ‘Profil Organisation’ :

L’écran de création / édition d’un profil organisationnel se présente comme suit :
Nom Profil : Il s’agit de l’identifiant du profil organisationnel.
Propriétés : Liste des propriétés organisationnelles du profil.
Deux propriétés organisationnelles sont généralement à ajouter. Leur ajout se fait via l’onglet
‘Propriétés’, en appuyant sur le bouton ‘Ajouter’, comme le montre la capture d’écran
suivante :
Les deux propriétés à définir sont :
MainEntity : Il s’agit de l’entité principale de l’utilisateur ayant le profile

courant. En effet, Carthago est un système multi-entité.

OrganizationUnit : Il s’agit de (ou des) unités organisationnelles sur lesquelles
l’utilisateur ayant le profile courant peut travailler.
3.2.3 La personnalisation des menus utilisateurs

Le menu de chaque application Carthago peut être personnalisé par utilisateur, ou le cas
échéant, par groupe d’utilisateurs. Cette personnalisation gère en effet ce qu’on appelle les
‘use-case policies’, puisqu’elle permet de définir par utilisateur ou par groupe d’utilisateurs
quelles sont les use-cases ou groupes de use-cases accordés. Cette fonctionnalité est accessible
via le menu ‘Menu utilisateurs’:
L’écran de création / édition d’un menu utilisateurs se présente comme le montre la capture
d’écrans suivante :

Identifiant : contient l’identifiant de la configuration de personnalisation de
menus.
Le use case de gestion de menus permet de définir des groupes de menus

délimitant l’accès aux différents use cases (écrans) de l’application.
Il suffit de cocher les use cases (ou groupes de use cases) à autoriser.
Décocher les use cases (ou groupes de use cases) à ne pas autoriser.
Noter que chaque configuration d’accès de menus paramétrée est

cachée en mémoire, pour optimiser l’exécution.

Pour forcer la mise à jour du cache des menus en mémoire après une modification d’une
configuration, il suffit d’appuyer sur le bouton « Vider le cache des menus », du use case de
consultation des menus utilisateurs :
3.2.4 Les profils utilisateurs

La définition des profils utilisateurs se fait pour tout utilisateur non affilié à un groupe, ou pour
tout utilisateur affilié à un groupe mais pour qui on veut ajouter une exception à une ou
plusieurs ressources affectées aux profils des groupes auxquels il est affilié. Cette
fonctionnalité est accessible via le menu ‘Profil Utilisateur’ :
L’écran de définition des profils utilisateurs se présente comme le montre la capture d’écran
suivante :
Login: Il s’agit de l’identifiant de l’utilisateur.
Condition de connexion : Il s’agit d’une expression booléenne spécifiant si l’utilisateur

a le droit de se connecter ou pas.

Actif: Flag booléen indiquant si l’utilisateur est actif or pas.
Profil organisation: Il s’agit du profil organisationnel à affecter à l’utilisateur.
Option régionale : Il s’agit de l’option régionale à affecter à l’utilisateur.
Menu : Il s’agit de la configuration de personnalisation du menu à affecter à

l’utilisateur.
3.2.5 Les profils groupes d’utilisateurs

Au même titre que les profils utilisateurs, il y a lieu de définir des profils pour des groupes
d’utilisateurs. Ces derniers présentent pratiquement les mêmes données définis au niveau des
profils utilisateurs. Cette fonctionnalité est accessible via le menu ‘Profil Groupe’ :
L’écran de définition des profils de groupes d’utilisateurs se présente comme le montre la

Groupe: Il s’agit de l’identifiant du groupe pour lequel on définit le profil courant.
Condition de connexion : Il s’agit d’une expression booléenne spécifiant si un

utilisateur, appartenant à ce groupe, a le droit de se connecter ou pas.
Actif: Flag booléen indiquant si les utilisateurs rattachés à ce groupe sont actifs or pas.
Profil organisation: Il s’agit du profil organisationnel à affecter au groupe.
Option Régionale : Il s’agit de l’option régionale à affecter au groupe.
Menu : Il s’agit de la configuration de personnalisation du menu à affecter au groupe.

3.2.6 Points à retenir et Conseils pratiques
Les conditions minimales pour qu’un utilisateur soit autorisé à se connecter sont les suivantes:
- L’utilisateur doit avoir un profil utilisateur activé, avec une condition de connexion
valide, ou bien il doit être rattaché à un groupe avec un profil groupe défini activé et
ayant une condition de connexion valide.
- L’utilisateur, ou au moins un des groupes auxquels il appartient doit avoir au minimum
un privilège assigné.
Il faut éviter tant que possible l’affectation de plus qu’un groupe à un utilisateur, pour réduire
la confusion au niveau de la détermination des menus, profils organisationnels et options
régionales à appliquer. Il est à noter qu’en cas ou un utilisateur est affilié à plus qu’un groupe,
il lui sera appliqué le menu, profil organisationnel et l’option régionale du premier groupe
affecté. Les profils des autres groupes seront ignorés.
La gestion des privilèges et affectation des ressources devrait se faire au niveau des profils
groupes. Les profils utilisateurs ne doivent être utilisés que pour gérer des exceptions. Il suffit
qu’un utilisateur, directement ou indirectement (via une affiliation à un groupe), a été accordé
une ressource par un privilège donnée, pour que cette ressource lui soit accordée, même en cas
d’existence d’un autre privilège qui la révoque.
3.3 GESTION DES AUTORISATIONS

La gestion des autorisations porte essentiellement sur la définition des privilèges, et traite
ensuite la possibilité d’affectation de ces privilèges directement à des utilisateurs ou à des
groupes d’utilisateurs.
3.3.1 Les privilèges

Un privilège définit une classification fonctionnelle d’une ressource de l’application (service ou
entité). Il est identifié par un nom et est défini par l’administrateur de la sécurité. Le calcul des
privilèges se fait par l’évaluation des conditions assignées aux liens d’éligibilité des rôles
(« Privileges Statements »).Par défaut, aucune condition n’est appliquée au lien d’éligibilité, ce
qui revient en réalité à retourner toujours la valeur booléenne « VRAI ». Cette fonctionnalité
est accessible via le menu ‘Privilège’ :

L’écran de création édition d’un privilège se présente comme le montre la capture d’écran
suivante :
Nom privilège : Il s’agit de l’identifiant du privilège qu’on veut définir.
Services: L’ensemble des ressources de services métiers et techniques accordées au

privilège courant.
o Ex : Calculer échéancier, Calculer solde disponible, etc…

Entités : L’ensemble des entités accordées en accès selon une matrice CRUD au
privilège courant
o Création C
o Recherche / Consultation R
o Mise à Jour U
o Effacement / Destruction D
NB : Les ressources dans Massinissa sont donc de deux types:

- Des services : qui peuvent être soit des services métiers, des services
de persistance ou autres.
- Des Entités : représentants des données destinées à être persistées
dans une base de données.
La gestion des accès aux services passe par la définition d’un ensemble
de critères d’éligibilités définis:
- à partir d’un privilège,
- par un nom de service,
- par un nom d’action du dit service (non obligatoire).
- par la définition de condition d’éligibilité. Quand vide, une condition
est évaluée à vrai.

La gestion des accès aux entités passe par la définition d’un ensemble
de critères d’éligibilités définis:
- à partir d’un privilège,
- par un nom d’une entité,
- par la définition des conditions d’éligibilités. Quand vide, une
condition est évaluée à vrai.
3.3.2 Définition d’une Service-Policy

La définition d’une ‘Service-Policy’ se fait via l’onglet ‘Services’ de l’écran de création/édition
d’un privilège, comme le montre la capture d’écran suivante :
Condition : expression booléenne indiquant si le service métier est donné ou pas.
Contrôleur: Il s’agit du nom du contrôleur contenant le/les service(s) à assigner.
Méthode: Nom du service à assigner. Quand vide, cela veut que tous les services du
présent contrôleur sont assignés.

3.3.3 Définition d’une Entity-Policy
La définition d’une ‘Entity-Policy’ se fait via l’onglet ‘Entités’ de l’écran de création/édition

d’un privilège, comme le montre la capture d’écran suivante :
Classe d’entité : Nom de l’entité sur laquelle porte l’entity-policy.
Création: Il s’agit d’une expression booléenne donnant ou révoquant le droit de

création.
Edition: Il s’agit d’une expression booléenne donnant ou révoquant le droit d’édition.
Recherche : Il s’agit d’une expression booléenne donnant ou révoquant le droit de

recherche.
Suppression : Il s’agit d’une expression booléenne donnant ou révoquant le droit de

suppression.

3.3.4 Privilèges par Utilisateur
L’affectation d’un ensemble de privilèges pour un utilisateur est accessible via le
menu ‘Privilèges par utilisateur’ :
L’écran de définition de privilèges par utilisateur se présente comme le montre la capture

Nom utilisateur : Nom utilisateur auquel on veut affecter des privilèges.
Privilèges: Il s’agit d’une liste conditionnée de lignes regroupant chacune des privilèges
affectés :

L’édition d’un groupe de privilèges conditionné se présente comme le montre la capture
Condition : Expression booléenne, lorsqu’évaluée, indique si les liste des privilèges

définis est octroyée ou pas.
Privilèges: Il s’agit de la liste de privilège dont l’affectation obéit à la même condition

spécifiée plus haut.
L’écran de sélection du privilège à affecter se présente comme suit :
NB : Une sélection multiple de privilèges est possible à ce niveau.

3.3.5 Privilèges groupes
L’affectation d’un ensemble de privilèges pour un groupe d’utilisateurs est accessible via le
menu ‘Privilèges Groupes’ :
Toutes les étapes à suivre pour l’affectation d’un ensemble de privilèges à un groupe
d’utilisateurs peut se faire par analogie aux étapes décrites pour l’affectation d’un ensemble
de privilèges à un utilisateur.
3.4 GESTION DES MOTS DE PASSE

3.4.1 Changement d’un mot de passe par un utilisateur
Chaque utilisateur peut changer son mot de passe à tout moment. Cette fonctionnalité est
accessible via le menu ‘Changer Mot De Passe’ :
L’écran de changement de mots de passe se présente comme suit :
Ancien mot de passe : Ancien mot de passe.

Nouveau mot de passe: Il s’agit du nouveau mot de passe.
Confirmer nouveau mot de passe: Il s’agit de la confirmation du nouveau mot de
passe.
3.4.2 Gestion des mots de passe
La fonctionnalité d’affectation / réinitialisation des mots de passe utilisateurs est offerte
uniquement à un utilisateur administrateur pour qu’il puisse changer les mots de passe d’autres
utilisateur. Cette fonctionnalité est accessible via le menu ‘Gestion des mots de passe’ :
L’écran de réinitialisation de mots de passe d’autres utilisateurs par un administrateur se

présente comme suit :
Nom utilisateur : Il s’agit du nom de l’utilisateur.
Nouveau mot de passe: Il s’agit du nouveau mot de passe.
Confirmer nouveau mot de passe: Il s’agit de la confirmation du nouveau mot de

passe.

3.5 GESTION DES UTILISATEURS CONNECTES, CACHE ET
PROCEDURES D’ACTIVATION / DESACTIVATION DES UTILISATEURS.
3.5.1 Utilisateurs connectés
Cette fonctionnalité permet de lister les utilisateurs connectés à l’application avec leur Adresse
IP, l’heure de la connexion et l’identifiant de la connexion. Cette fonctionnalité est accessible
via le menu ‘Utilisateurs connectés’ :
Le use case affiché est un use case de consultation des utilisateurs connectés :
Utilisateur : nom de l’utilisateur.
Adresse IP d’accès : l’adresse IP à partir de la machine à partir de laquelle

l’utilisateur est connecté à l’application.
Heure de connexion : l’heure de la connexion de l’utilisateur à l’application.
Identifiant de la session : l’identifiant de la session de l’utilisateur connecté.

3.5.2 Rechargement de la Sécurité
A chaque de modification des données de la sécurité, l’impact de la dite modification est
uniquement enregistré au niveau de la base de donnée, et ne devient donc pas fonctionnel
avant de forcer le rechargement des données de la sécurité dans le cache du serveur, ou le
prochain redémarrage du serveur. La fonctionnalité courante force le rechargement du cache
de la sécurité. Elle est accessible via le menu ‘Charger Sécurité’ :
L’écran de recharge de la sécurité se présente comme suit :
Il faut appuyer sur le Bouton ‘Recharger’.
3.5.3 Vider le Cache de persistance

Certaines des données métiers, qui ne sont pas volumineuses sont Cachées au niveau du serveur
pour des raisons de performance (ex : Catalogue des devises, les paramètres généraux,
etc…). La fonctionnalité courante permet de forcer la synchronisation de ces données du cache
du serveur avec leur dernière version de la base de données. Cette fonctionnalité est
accessible via le menu ‘Vider le cache de persistence’ :

L’écran permettant de vider le cache de persistance (des données métiers) se présente comme
suit :
Il faut appuyer sur le Bouton ‘Vider cache’.
3.5.4 Activation / Désactivation

Durant certains moments de la journée, notamment avant l’exécution des travaux de clôture de
journées, on a souvent besoins d’empêcher momentanément les différents utilisateurs de
travailler sur l’application, le temps d’exécution des travaux de clôture de journée. C’est l’objet
de cette fonctionnalité, qui est accessible via le menu ‘Activation/Désactivation’ :
Il est à noter que cette fonctionnalité est offerte uniquement à un utilisateur administrateur
pour qu’il puisse activer ou désactiver d’autres utilisateurs non administrateurs. La
description du use-case présentant cette fonctionnalité est la suivante :

Utilisateurs Activés: Quand cette est cochée, cela veut dire qu’au préalable tous les
utilisateurs non administrateurs ont été désactivés. .
Activer: Appuyer sur ce bouton pour activer tous les utilisateurs non administrateurs. A
utiliser quand la case ‘Utilisateurs Activés’ est cochée.
Désactiver: Appuyer sur ce bouton pour désactiver tous les utilisateurs non
administrateurs. A utiliser quand la case ‘Utilisateurs Activés’ n’est pas cochée.

Guide D'utilisateur Sécurité

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide D'utilisateur Sécurité

Transféré par

Droits d'auteur :

Formats disponibles

GUIDE UTILISATEUR

Résumé : Architecture de la Sécurité dans le Framework Massinissa et présentation du

Date de création 03/03/2014

Guide Utilisateur Massinissa Sécurité 2/33

II. PRESENTATION DE L’OUTIL

Carthago possède un outil d’administration de la sécurité, permettant à la fois de gérer les

2.1 LE PROCESSUS D’AUTHENTIFICATION DANS MASSINISSA-SECURITE

Guide Utilisateur Massinissa Sécurité 3/33

L’Utilisateur a été Authentifié

2.2 LE PROCESSUS D’AUTORISATION DANS MASSINISSA-SECURITE

Guide Utilisateur Massinissa Sécurité 4/33

Service 1 Service 2 Service n

Action 1 Action 2 Action m

Guide Utilisateur Massinissa Sécurité 5/33

Guide Utilisateur Massinissa Sécurité 6/33

L’administration de la sécurité dans les modules de Carthago contient un ensemble de

- Paramétrage des données de sécurité.

Guide Utilisateur Massinissa Sécurité 7/33

Gestion des autorisations

Gestion des Profils

Gestion des Mots de Passe

3.1 PARAMETRAGE DES DONNEES DE SECURITE

3.1.1 Création / édition d’un groupe :

Guide Utilisateur Massinissa Sécurité 8/33

NB : Il est à noter que le groupe nouvellement créé héritera

Nom Groupe ou rôle : Il s’agit de l’identifiant du rôle organisationnel.

Groupe ou rôle parent : Les groupes / rôles organisationnels sont organisés en

Guide Utilisateur Massinissa Sécurité 9/33

Login : nom de l’utilisateur qui sera utilisé pour le login.

Mot de passe : mot de passe de l’utilisateur.

Groupe ou rôle : C’est la liste des rôles organisationnels que l’utilisateur a.

Guide Utilisateur Massinissa Sécurité 10/33

L’écran permettant d’affecter un nouveau groupe à un utilisateur se présente comme le montre

Guide Utilisateur Massinissa Sécurité 11/33

NB : Un utilisateur affilié à des groupes hérite systématiquement de

3.1.3 Délégation utilisateurs

Guide Utilisateur Massinissa Sécurité 12/33

L’écran de création d’un nouveau remplacement se présente comme le montre la capture

Utilisateur : nom de l’utilisateur.

Remplacements : C’est la liste des utilisateurs à remplacer, avec la nature, durée et

Guide Utilisateur Massinissa Sécurité 13/33

Date début : Date d’entrée en vigueur du remplacement.

Date fin : Date de fin de validité du remplacement.

Type : Nature de remplacement. Les valeurs possibles sont :

Remplacement : ce type de remplacement est à utiliser en cas

Subordination : ce type de remplacement est à utiliser pour donner des

Surcharge : ce type de remplacement est à utiliser en cas de partage

Raison : Raison du remplacement.

NB : Toutes les tâches de tableau de bord qui sont affectées à

Ceci concerne toutes les tâches paramétrées au niveau du tableau de

3.1.4 Privilège sur entités :

Classe d’entité : Il s’agit de l’entité.

3.2 GESTION DES AUTORISATIONS ET PROFILS

La Gestion des Autorisations et Profils inclue :

- La définition des options régionales.

3.2.1 Les options régionales

Guide Utilisateur Massinissa Sécurité 15/33

Nom option régionale : Il s’agit de l’identifiant de l’option régionale.

fr : Français,en : Anglais,es : Espagnol, ar : Arabe, etc…

Fomat Nombre : le format des nombres utilisé par l’option régionale.

Format Date : le format de date utilisé par l’option régionale.

Symbole Décimale : le symbole du séparateur des décimaux.

Symbole regroupement : le symbole du séparateur des milliers.