GLPI – L’affectation des droits aux utilisateurs

Pour tester le profil que vous venez de créer, vous allez maintenant pouvoir affecter ce profil à un utilisateur, en précisant sur quelle partie du parc (entité) vous souhaitez que le profil s’applique. Cette application de droits (profil par entité) peut se faire manuellement ou dynamiquement à l’aide de règles.

1. Affectation manuelle

La première façon d’appliquer des droits à un utilisateur est d’utiliser une affectation manuelle. Cette affectation manuelle doit rester la plus exceptionnelle possible afin de limiter les opérations de maintenance de la gestion des droits. Cette manière de procéder peut par exemple s’appliquer à l’attribution du profil Super-Admin, pour lequel vous devez absolument conserver la maîtrise de la gestion des utilisateurs autorisés à effectuer toutes les opérations sur votre base de données.

Pour ajouter des droits manuellement :

 Placez-vous dans le menu Administration – Utilisateurs.

 Sélectionnez l’utilisateur auquel vous souhaitez donner des droits en cliquant sur son identifiant.

 Placez-vous dans l’item Habilitations.

 Dans la première liste déroulante sélectionnez l’entité sur laquelle vous souhaitez appliquer le profil, ici Entité Racine > France.

 Dans la seconde liste déroulante, sélectionnez la valeur correspondant au profil que vous venez de créer : Gestionnaire_imprimante.

 Dans la dernière liste de choix (Récursif), indiquez si vous souhaitez que le profil s’applique pour toutes les sous-entités de l’Entité Racine, ici Oui.

 Validez cette nouvelle habilitation en cliquant sur le bouton Ajouter.

Vous venez d’affecter à cet utilisateur le profil Gestionnaire_imprimante sur l’ensemble de l’arborescence du parc.

images/05RIp135.PNG

Cette information se retrouve maintenant dans les habilitations de l’utilisateur.

Vous pouvez également retrouver cette information à deux autres endroits de l’application :

Dans les propriétés de l’Entité Racine > France

 Placez-vous dans le menu Administration – Entités.

La liste des entités s’affiche.

 Cliquez sur le bouton Entité Racine > France.

 Cliquez sur l’item Utilisateurs.

La liste des utilisateurs ayant déjà des droits positionnés sur cette entité s’affiche. Ils sont regroupés par profils.

Dans la sous-partie du profil Gestionnaire_imprimante, vous retrouvez le compte de l’utilisateur suivi de la lettre R pour récursif.

images/05RIp136.PNG

Dans les propriétés du profil

Vous allez retrouver ici les utilisateurs ayant ce profil. Ces utilisateurs sont regroupés par entités.

 Placez-vous dans le menu Administration – Profils.

 Sélectionnez le profil Gestionnaire_imprimante.

 Cliquez sur l’item Utilisateurs.

 Cliquez sur le bouton Entité Racine > France.

La liste des utilisateurs ayant le profil Gestionnaire_imprimante sur l’Entité Racine > Frances’affiche. Vous retrouvez ici le compte de l’utilisateur suivi de la lettre R pour récursif.

images/05RIp137.PNG

2. Affectation automatique

La méthode d’affectation manuelle de gestion des droits que vous venez de découvrir ne permet d’exploiter une base ne comprenant que peu d’utilisateurs. Cette situation ne peut se concevoir que dans une structure pour laquelle le nombre d’acteurs dans le périmètre fonctionnel est faible. Cela peut être le cas d’une structure n’utilisant que les fonctionnalités de gestion de parc, sans le helpdesk, ou utilisant le helpdesk sans permettre aux clients de s’authentifier pour déposer leurs demandes ou consulter leurs suivis.

GLPI vous offre donc la possibilité d’affecter dynamiquement des droits en fonction de critères propres à chaque utilisateur. Cette affectation se paramètre au travers d’un ensemble de règles.

Une règle se définit par un ou plusieurs critères et une ou plusieurs actions.

 Placez-vous dans le menu Administration – Règles.

 Sélectionnez le menu Règles d’affectation d’habilitations à un utilisateur.

Vous constatez qu’il existe dans la liste des règles présentes une règle Root prédéfinie.

 Cliquez sur le nom de la règle Root pour en afficher le contenu.

a. Description de la règle Root

Les données principales

Comme dans tous les objets de GLPI, la première partie présente les données principales de l’objet :

Nom : ce champ permet de définir le nom qui s’affichera dans la liste des règles. Le nom doit être explicite pour faciliter la maintenance. Ce nom peut par exemple être celui du profil affecté et/ou de l’entité concernée.

Description : ce champ permet de décrire succinctement l’objet de la règle afin de l’identifier facilement dans la liste des règles.

Opérateur logique (et/ou) : ce choix permet de définir l’opérateur pour combiner les critères entre eux.

Actif (Non/Oui) : ce champ permet de rendre active ou inactive une règle. Il est possible de modifier cette valeur pour l’ensemble des règles en utilisant la modification massive. Ceci permet par exemple de fermer tous les accès à l’application lors d’opérations de maintenance.

Commentaires : ce champ vous permet de décrire précisément le contexte d’attribution de l’habilitation.

images/05RI31V3.PNG

En dessous des données principales se trouvent les deux éléments constitutifs d’une règle : les Critères et les Actions. Vous noterez à droite de ces deux éléments les chiffres respectifs 3 et 1 qui indiquent que cette règle se compose de 3 critères et 1 action.

Section Critères de la règle Root

La zone Critères de cette règle possède trois critères avec comme opérateur logique la valeur ou, ce qui signifie que la règle est vérifiée si l’une au moins des trois conditions est respectée. Ces conditions sont :

(LDAP)User IDest*
(AD)User IDest*
Courrielest*

La traduction de ces critères signifie que quel que soit le type d’authentification externe et quelle que soit la valeur de l’identifiant, cette règle s’appliquera.

images/05RI32V3.PNG

La zone Critère de cette règle permet d’ajouter d’autres critères à la règle. Ceux-ci sont répartis en deux groupes :

Critères globaux :

  • Annuaire LDAPCourrielGroupe importé depuis un annuaire LDAPidentifiantserveur de messagerie.

Critères LDAP :

  • Des données de l’Active Directory si vous utilisez ce mode d’authentification externe : User ID.
  • Des données de l’annuaire LDAP : MemberOfTitleCommon NameDepartment NumberDistinguishedNameEmailEmployee NumberManagerOrganizationTelephone NumberUser IDObject Class.

Pour chacun de ces champs, les opérateurs suivants sont disponibles : estn’est pascontientne contient pascommence parfinit parexpression rationnelle vérifieexpression rationnelle ne vérifie pasexiste et n’existe pas.

images/05RI33V3.PNG

Section Actions de la règle Root

La partie Actions de la règle Root ne présente qu’une seule action définie :

EntitéAssignerEntité Racine

Cette action attribue donc aux utilisateurs répondant aux critères (pour rappel : à tous les utilisateurs) une habilitation sur l’Entité Racine.

Cette habilitation ne suffit pas à donner des droits sur l’application à l’utilisateur, car seule la portée dans l’arborescence est définie. GLPI attribue donc automatiquement le profil par défaut aux utilisateurs. Chaque utilisateur reçoit donc l’habilitation Profil Self-Service sur l’Entité Racine. Il vous suffit de ne désigner aucun profil par défaut pour que les utilisateurs n’aient plus la possibilité de déposer leurs demandes d’assistance.

La ligne en dessous permet d’ajouter d’autres actions. Si vous consultez la première liste déroulante, vous découvrez l’ensemble des actions disponibles pour les règles d’affectation d’habilitations à un utilisateur, à savoir des actions portant sur les profils, la récursivité, l’activation de la règle et le fait d’ignorer l’import.

images/05RI34V3.PNG

Vous pourriez donc ajouter ici une action supplémentaire et définir le profil Self-Service en plus de l’entité affectée. Il serait ainsi possible de ne définir aucun profil par défaut et de gérer dynamiquement l’attribution des droits par défaut dans la règle Root.

b. Création de nouvelles règles

L’intérêt de l’utilisation des règles d’affectation d’habilitations à un utilisateur va être de gérer le plus finement possible les droits de chaque utilisateur maintenant.

Ainsi, on pourra par exemple affecter à un utilisateur quelconque le profil Self-Service non plus sur l’Entité Racine mais sur l’entité à laquelle il appartient, ce qui limitera la portée des droits qui lui sont attribués.

Vous allez trouver dans les exemples suivants deux illustrations de l’utilisation des règles.

Premier exemple

Le premier exemple consistera à donner des droits d’administrateur de la base de données à toutes les personnes du service informatique. Vous utiliserez pour cela un critère basé sur le service d’appartenance de l’utilisateur. Cette information sera récupérée depuis l’annuaire LDAP de la société. Vous allez ici effleurer les possibilités offertes par l’utilisation d’un annuaire LDAP en association avec GLPI.

 Placez-vous dans le menu Administration – Règles.

 Cliquez sur le menu Règles d’affectation d’habilitations à un utilisateur.

La liste des règles présentes s’affiche.

images/02RIbouton017.PNG

 Cliquez sur le bouton Ajouter .

 Donnez un nom à la règle (ici Administrateurs), vous pouvez également renseigner les champs Description et Commentaires.

 Laissez l’opérateur logique à et.

 Pour que la règle s’exécute, vous devez placer la liste déroulante Actif sur Oui.

images/05RI35V3.PNG

 Validez la création de la règle en cliquant sur le bouton Ajouter.

La règle est créée.

Vous allez maintenant devoir en définir les Critères et Actions.

Dans l’item Critères :

 Choisissez le critère (LDAP)Department Number : ce champ désigne l’arborescence de l’annuaire correspondant au service de l’utilisateur.

 Sélectionnez la valeur est dans la liste des opérateurs de comparaison.

 Saisissez l’arborescence de l’annuaire correspondant au service informatique, dans le champ de saisie du paramètre : \service_support\Informatique.

Pour éviter une erreur de saisie, vous pouvez faire un copier-coller à partir du champ Department Number de la fiche d’un membre du service informatique.

 Cliquez sur le bouton Ajouter pour valider la création du critère.

Ce critère vient s’ajouter dans le bloc des critères définis.

Attention, il n’est pas possible de modifier un critère. Il faut le supprimer et le recréer. Pour supprimer un ou plusieurs critères, sélectionnez-les en cochant les cases en début de ligne, puis cliquez sur le bouton Actions pour sélectionner le seul choix autorisé : Supprimer définitivement.

images/05RI36V3.PNG

Vous allez maintenant pouvoir créer les actions correspondant à l’attribution des droits :

 Dans l’item Actions, créez une première action pour définir le profil attribué en utilisant le bouton Ajouter une nouvelle action.

 Dans la première liste déroulante, sélectionnez le champ Profils.

 Dans la seconde liste déroulante, sélectionnez la valeur Assigner.

 Dans la troisième liste déroulante, sélectionnez la valeur Admin.

 Validez cette action en cliquant sur le bouton Ajouter.

Cette première action vient s’afficher dans la liste des actions.

 Réutilisez ce même bouton Ajouter une nouvelle action afin de pouvoir définir la partie de l’arborescence du parc informatique sur laquelle s’applique le profil.

 Dans la première liste déroulante, sélectionnez le champ Entité.

 Dans la seconde liste déroulante, sélectionnez la valeur Assigner.

 Dans la troisième liste déroulante, sélectionnez Entité Racine pour que les droits s’appliquent à partir de la racine de votre parc informatique.

 Validez cette action en cliquant sur le bouton Ajouter.

Vous pouvez maintenant étendre l’application de ce profil à l’ensemble des entités en ajoutant la récursivité sur l’entité précédemment sélectionnée.

 Dans la première liste déroulante, sélectionnez le champ Récursif.

 Dans la seconde liste déroulante, sélectionnez la valeur Assigner.

 Dans la troisième liste déroulante, sélectionnez Oui pour que les droits s’appliquent sur l’ensemble de l’arborescence de votre parc informatique.

 Validez cette action en cliquant sur le bouton Ajouter.

Et pour rendre l’habilitation active :

 Dans la première liste déroulante, sélectionnez le champ Actif.

 Dans la seconde liste déroulante, sélectionnez la valeur Assigner.

 Dans la troisième liste déroulante, sélectionnez Oui.

 Validez cette action en cliquant sur le bouton Ajouter.

images/05RI37V3.PNG

Attention, comme pour la définition des critères, en cas d’erreur il n’est pas possible de modifier une action. Celle-ci doit être supprimée puis recréée.

La règle Administrateurs est maintenant définie. Toute personne faisant partie du service informatique se verra donc attribuer le profil Admin sur l’ensemble du parc informatique.

Ces droits sont recalculés à chaque nouvelle connexion. Ainsi, tout nouvel arrivant dans le service se verra automatiquement attribuer ces droits dès lors qu’il sera présent dans le bon service dans l’annuaire LDAP. De même, en cas de changement de service dans l’annuaire LDAP, les droits disparaîtront.

Second exemple

Le second exemple consistera à autoriser un utilisateur à déposer les demandes d’assistance sur son service d’appartenance.

Pour cela, vous allez récupérer le service d’appartenance de l’utilisateur et créer un critère basé sur cette information. Vous pourriez créer une règle par service et ainsi couvrir l’ensemble des cas d’utilisation. GLPI vous offre la possibilité de ne créer qu’une seule règle basée sur une expression rationnelle (aussi appelée expression régulière ou Regex). Le principe est de définir le critère de sélection en récupérant tout ou partie du champ traité pour le réutiliser dans l’action de la règle.

Ainsi, vous testerez le champ DepartmentNumber de l’utilisateur et réutiliserez cette information pour attribuer les droits sur ce service. Il faudra pour cela utiliser le champ TAG de l’entité vu dans le chapitre Les entités.

Pour le profil, vous affecterez le profil prédéfini Self-Service.

L’intérêt de créer et d’utiliser ce type de règle repose sur le fait que vous allez pouvoir baser vos critères sur des éléments propres à chaque utilisateur en vous servant par exemple des champs d’un annuaire LDAP. Ainsi vous n’aurez plus à vous soucier d’affecter ou de retirer des droits aux utilisateurs lors de changements de postes, puisque les données mises à jour dans l’annuaire modifieront les droits accordés à l’utilisateur. On parle dans ce cas de règles dynamiques. Les droits accordés par des règles sont suivis de la lettre (D) pour Dynamique.

Pour créer cette nouvelle règle :

 Placez-vous dans le menu Administration – Règles.

 Cliquez sur le menu Règles d’affectation d’habilitations à un utilisateur.

La liste des règles présentes s’affiche.

images/02RIbouton017.PNG

 Cliquez sur le bouton Ajouter .

 Donnez un nom à la règle (ici Affectation_self_service) ; vous pouvez également renseigner les champs Description et Commentaires.

 Pour que la règle s’exécute, vous devez placer la liste déroulante Actif sur Oui.

images/05RI38V3.PNG

 Validez la création de la règle en cliquant sur le bouton Ajouter.

La règle est créée.

Vous allez maintenant devoir définir ses Critères et Actions.

Dans l’item Critères :

Le critère porte sur le service de l’utilisateur :

 Saisissez le critère (LDAP)Department Number.

 Choisissez l’opérateur expression rationnelle vérifie.

 Saisissez le critère #*/(*$)#.

images/05RIp146.PNG

 Validez la création du critère en cliquant sur le bouton Ajouter.

Ce critère récupère en paramètre la fin de l’arborescence du service d’appartenance de l’utilisateur après le dernier caractère « / ».

Dans l’item Actions :

Vous allez maintenant pouvoir définir les habilitations :

 Dans la première liste déroulante, sélectionnez le champ Profils.

 Dans la seconde liste déroulante, sélectionnez la valeur Assigner.

 Dans la troisième liste déroulante, sélectionnez la valeur Self-Service.

 Validez cette action en cliquant sur le bouton Ajouter.

Le profil étant défini, vous allez maintenant définir l’entité sur laquelle l’utilisateur aura des droits :

 Dans la première liste déroulante, sélectionnez le champ Entité depuis TAG.

 Dans la seconde liste déroulante, sélectionnez la valeur Assigner valeur depuis expression rationnelle.

 Dans la troisième liste déroulante, sélectionnez la valeur #0.

 Validez cette action en cliquant sur le bouton Ajouter.

Cette action récupère la partie entre parenthèses du critère Expression rationnelle, et se sert de ce paramètre pour rechercher l’entité dont le TAG correspond à cette valeur. GLPI affecte alors l’entité correspondante.

Et à rendre l’habilitation active :

 Dans la première liste déroulante, sélectionnez le champ Actif.

 Dans la seconde liste déroulante, sélectionnez la valeur Assigner.

 Dans la troisième liste déroulante, sélectionnez la valeur Oui.

 Validez cette action en cliquant sur le bouton Ajouter.

images/05RI40V3.PNG

La règle que vous venez de créer est extrêmement puissante dans la mesure où elle permet d’affecter le profil choisi aux utilisateurs en fonction de leur entité d’appartenance, sans avoir à générer autant de règles qu’il existe d’entités.

c. Comportement des règles entre elles

Les règles d’affectation d’habilitations à un utilisateur sont toutes exécutées lors de la connexion d’un utilisateur afin de lui attribuer l’ensemble des habilitations auxquelles il peut prétendre. L’ordre de classement des règles n’a donc aucune importance pour ce type de règle.

Attention, ceci ne vaut pas pour d’autres types de règles dont l’exécution s’arrête à la première règle vérifiée rencontrée.

Si un utilisateur cumule plusieurs profils, une liste déroulante s’affiche dans le bandeau principal pour que l’utilisateur puisse basculer d’un profil à l’autre.

Si une habilitation est totalement englobée dans une autre (deux habilitations portent sur un même profil mais sur des entités dont la seconde est totalement comprise dans la première), alors seule la plus large est affichée.