Options de cloisonnement

Constellio permet de restreindre l'accès en compartimentant les outils, les utilisateurs/groupes, accès et contenus. Cela peut être utilisé pour gérer plusieurs organisations/sous-organisations. Voici différentes approches et leurs avantages et limitations.

Ces points sont à titre indicatif, il est important de confirmer avec l'équipe de Constellio votre besoin.

Environnement

Il est possible d'utiliser des environnements avec des serveurs séparés, c'est-à-dire une duplication complète des ressources.

Avantages :

• Isolation complète des outils, accès, configurations et contenus.
  • Incluant la séparation physique des données et des accès au niveau du système d'exploitation.
• Permet de gérer des versions différentes de Constellio entre les environnements avec des plugins différents.

Limitations :

• Nécessite des ressources supplémentaires (serveurs, stockage, etc.)
• Nécessite une maintenance supplémentaire (mise à jour, surveillance, etc.)

Tenant

Constellio supporte l'hébergement de plusieurs tenants dans le même environnement.

Avantages :

• Support une isolation complète des outils (incluant les outils système), utilisateur/groupes accès et contenus.
  • Incluant les configurations système (ex. déclassement)
• Les tenants peuvent avoir des plugins différents
• Mutualise les ressources (serveurs, processus/cpu)
• Les configurations, points de montage de stockage sont dédiés par tenant
  • On peut utiliser des diques différents par tenant, mais le serveur applicatif utilise un seul compte de service (système d'exploitation) pour y accéder
• Chaque tenant peut avoir une configuration LDAP dédiée

Limitations : 

• Nécessite la même version de Constellio pour tous les tenants dans l'environnement
• Les maintenances (mise à jour, redémarrage, etc) impactent tous les tenants
• Nécessite des scripts pour la création de nouveaux tenants (pas d'interface)
  • Les outils évolueront toutefois dans la prochaine année

Collection

Voir l'article «Collections».

Avantages : 

• Permet de gérer les principaux outils (plan, calendrier, unités) isolés des autres collections
• Permet de gérer les accès et rôles pour les utilisateurs/groupes dans la collection
• La création des collections est entièrement gérée par l'interface

Limitations : 

• Les configurations au niveau système sont appliquées à toutes les collections (ex. déclassement sont partagées entre tous les tenants)
• Une seule configuration LDAP pour toutes les collections où les utilisateurs et groupes sont synchronisés (ou non) dans une collection. *On peut ajouter manuellement un utilisateur ou groupe dans une collection.
• La gestion des rôles dans une collection permet de donner des permissions système
• Nécessite un administrateur pour tout le système (admin) qui peut avoir accès à toutes les collections.

Unité administrative

Voir l'article «Unités administratives».

Avantages : 

• Permet de gérer les autorisations pour les utilisateurs/groupes dans l'unité
• Permet d'attribuer un rôle pour unité (limitant les permissions et leur portée)

Limitations : 

• Les fonctions de pilotage par l'unité sont plus limités
• L'administrateur de la collection peut avoir accès à toutes les unités