Aller au contenu principal

Configurer les permissions

La sécurité d'AI-Public fonctionne sur la base de rôles avec des permissions.

Comptes et rôles

Les comptes sont automatiquement créés après une première tentative de connexion réussie. Lors de la création des comptes, des jetons sont ajoutés sur le serveur qui déterminent le rôle de base. Ces rôles peuvent être modifiés ultérieurement par des administrateurs autorisés. Les jetons initiaux sont généralement :

  • Employé (oui/non) : est défini sur "oui" si l'adresse e-mail correspond à une adresse e-mail de la liste des employés.
  • Admin de site (oui/non) : initialement généralement défini sur "non" et attribué ultérieurement.
  • Admin d'environnement (oui/non) : initialement généralement défini sur "non" et attribué ultérieurement.
  • Super Admin (oui/non) : initialement généralement défini sur "non" (sauf pour le premier Super Admin) et attribué ultérieurement.

Modification de rôle

Un Super Admin, un Admin d'environnement ou un Admin de site peut attribuer des rôles, en fonction de son propre rôle et des permissions accordées pour gérer les rôles. La hiérarchie est généralement :

  • Un Super Admin peut attribuer tous les autres rôles (Admin d'environnement, Admin de site, Employé).
  • Un Admin d'environnement peut attribuer des rôles tels que Admin de site et Employé au sein de son propre environnement.
  • Un Admin de site peut attribuer le rôle Employé au sein de son propre site/périmètre.
  • Un Employé ne peut pas attribuer de rôles.

Une modification de rôle s'accompagne de l'ajustement des jetons pertinents sur le serveur.

Rôles de permission

Dans la section admin, un Super Admin ou un Admin d'environnement peut ajuster les permissions par rôle. Les rôles disponibles pour lesquels des permissions peuvent être définies sont : Super Admin, Admin d'environnement, Admin de site, Employé et Invité.

Le rôle Invité concerne les permissions accordées aux utilisateurs non connectés. Les utilisateurs non connectés doivent au minimum pouvoir lire les données de base des environnements, sans quoi aucun choix ne peut être fait sur l'écran de connexion. Soyez très prudent lors de l'attribution de permissions supplémentaires au rôle Invité !

Collections

Les permissions sont données par collection. Une collection est un ensemble de données similaires. Il existe par exemple une collection "Organisations" et une collection "Chats".

Configuration des permissions sur la base de données par défaut

Seuls les Super Admins peuvent configurer des permissions sur la base de données par défaut.

Configuration des permissions sur la base de données du tenant

Après la sélection d'un rôle (Super Admin, Admin d'environnement, Admin de site, Employé, Invité), l'administrateur peut ajuster les permissions par collection sur la base de données du tenant.

Permissions de lecture

Les permissions de lecture concernent la possibilité de lire des données de la base de données.

Les droits peuvent être définis de manière croissante :

  • Enregistrement unique : l'utilisateur doit connaître l'UUID unique de l'enregistrement

  • Ses propres enregistrements : uniquement les enregistrements créés par l'utilisateur lui-même

  • Enregistrements partagés : enregistrements partagés avec l'utilisateur

  • Enregistrements contrôlés : enregistrements sous le contrôle d'un gestionnaire ou d'un administrateur (par exemple, Admin de site ou Admin d'environnement), comme les chats liés à un département ou un projet spécifique

  • Enregistrements de tenant : tous les enregistrements d'un tenant sur AI-Public

  • Tous les enregistrements : tous les enregistrements d'AI-Public

Étant donné que la structure de la base de données est telle que chaque tenant (client) d'AI-Public possède sa propre base de données, le paramètre "Enregistrements de tenant" est désactivé lors de la configuration des permissions sur les bases de données de tenant.

Permissions de vue

Ici, l'administrateur peut définir si le rôle concerné (Super Admin, Admin d'environnement, Admin de site, Employé) peut voir la tuile dans la section admin.

Permissions de création, mise à jour, suppression

Ces permissions sont pour la création, la mise à jour ou la suppression d'enregistrements et peuvent être configurées par collection. Les droits peuvent être définis de manière croissante :

  • Ses propres enregistrements : uniquement les enregistrements créés par l'utilisateur ou qu'il a créés

  • Enregistrements de tenant : tous les enregistrements d'un tenant sur AI-Public

  • Tous les enregistrements : tous les enregistrements d'AI-Public

Étant donné que la structure de la base de données est telle que chaque tenant (client) d'AI-Public possède sa propre base de données, le paramètre "Enregistrements de tenant" est désactivé lors de la configuration des permissions sur les bases de données de tenant.