Gestion de sécurité

Gestion de la sécurité dans Constellio

Plusieurs éléments sont disponibles pour gérer la sécurité dans Constellio. Voici un exemple de bonne pratique pour gérer la sécurité de votre Constellio et la rendre optimale pour le futur. 

1. LDAP

Très utile pour optimiser votre gestion du changement. Avec le LDAP, vous assurez que vos utilisateurs puissent se connecter avec le même nom d'utilisateur et mot de passe que le matin en entrant au bureau. Cela est gérer par votre système TI, permet de limiter le nombre de mot de passe à se rappeler et rassure les utilisateurs face à l'utilisation de Constellio.

Aussi, en utilisant LDAP, vous n'aurez pas à créer les utilisateurs. Cela évitera les risques d'erreur lors de la création et la perte des mots de passe. 

2. Gérer les rôles

Pour bien débuter sa gestion de sécurité, il faut bien définir les rôles dans l'organisation. N'hésitez pas à vous faire un Excel. Par exemple, chaque ligne est une permission et chaque colonne un rôle au sein de l'organisation. Vous trouverez des similitudes entre certains rôles et pourrez les regrouper sous un même rôle. Constellio offre quatre rôles de base : Administrateur, Responsable de gestion documentaire, Gestionnaire et Utilisateur. Vous pouvez utiliser ces rôles de la manière qui vous convient le mieux. Généralement, ces quatre rôles sont assez pour gérer les utilisateurs d'une organisation, mais il est possible d'en créer d'autres. 

Voici généralement comment sont utilisés les rôles : 

• Administrateurs : Ce sont les personnes qui gèrent la plateforme, les TI et quelques fois des directeurs dans des plus petites organisations;
• Responsable de gestion documentaire : Ce sont les personnes qui gèrent la plateforme, donc souvent les archivistes et techniciens en documentation;
• Gestionnaire : les chefs d'équipe, directeurs, super-utilisateurs, etc. Ce sont des personnes qui participent au déclassement et à la confirmation du processus, ou dans le cas des super-utilisateurs, ils ont quelques permissions que les utilisateurs n'ont pas et qui permettent de les aider;
• Utilisateurs : L'utilisateur de base de l'organisation. Ce sont monsieur et madame tout le monde qui utilise Constellio au quotidien pour les tâches basiques.

Certaines permissions peuvent être complémentaires. Par la suite, vous attribuerez aussi la sécurité à votre utilisateur, donc le rôle est aussi complémentaire aux accès de sécurité.

3. Gérer la sécurité

Plusieurs niveaux de sécurité sont disponibles, pour chaque niveau, il est possible de déterminer si les accès sont en lecture, écriture ou suppression. Voici la meilleure façon de gérer votre sécurité pour un effet maximal, simple et claire. 

3.1 Attribution d'autorisations

3.1.1 Attribution par groupe

La gestion de sécurité par groupe est celle-là plus recommandée. Dans Constellio, un groupe est composé d'utilisateurs ayant les mêmes fonctions dans l'organisme et qui par conséquent ont besoin des mêmes accès au niveau de la sécurité et des rôles. Les groupes facilitent l'attribution de la sécurité puisqu'en associant un utilisateur à un groupe défini, celui-ci héritera automatiquement des rôles et des accès attribués à ce groupe.

3.1.2 Attribution par utilisateur

Il est aussi possible de faire l'attribution d'autorisation pour les utilisateurs en particulier. Il est moins recommandé de faire la gestion de sécurité entière par utilisateur. Effectivement, cela va entrainer une gestion de la sécurité beaucoup plus complexe. Toutefois, il est possible d'accorder des autorisations sur les enregistrements ou par partage aux utilisateurs afin de répondre à des besoins ponctuels. 

3.2 Types d'autorisations

3.2.1 Collection

Les accès sur la collection font référence aux autorisations appliquées sur la totalité de la collection. Cette autorisation est à attribuer avec grande attention, puisqu'elle prévaut sur toutes autres mesures de sécurité mise en place. Il est possible d'attribuer les autorisations sur la collection seulement sur les utilisateurs et non sur les groupes.

3.2.2 Unités administratives

Les autorisations par unités administratives sont la meilleure méthode afin de commencer l'attribution des accès. À la sélection d'une unité, l'utilisateur pourra avoir accès à tous les dossiers et les documents classés sous cette unité.  

3.2.3 Autorisations sur les enregistrements

L’attribution d’autorisations positives (autorisées) accordées directement aux enregistrements se fait à partir des actions sur les éléments voulus. Ils permettent de donner des accès sur des éléments précis dans Constellio.

Afin de créer des autorisations plus granulaires, il est possible d'appliquer des autorisations directement sur des dossiers ou des documents. Il est aussi possible d'appliquer des autorisations dites "négatives". L'attribution d'une autorisation négative consiste à accorder, ou refuser, l'accès d'un dossier ou d'un document à un utilisateur ou un groupe d'utilisateurs défini.  La fonctionnalité permet donc d'ordonner les accès de façon spécifique, selon les besoins documentaires divers. La grande distinction avec l'attribution positive est que la gestion d'autorisations négatives s'effectue aux niveaux plus bas de l'arborescence, plutôt que sur un ensemble étendu de dossiers ou de documents.

Couper l'héritage

Lorsqu'une autorisation est ajoutée pour un utilisateur ou un groupe au niveau d'un dossier parent, les mêmes autorisations (autorisations héritées) seront ajoutées pour ses documents et ses sous-dossiers. Lorsque l'on coupe l'héritage à l'intérieur d'un dossier ou d'un document, les autorisations héritées deviennent alors des autorisations spécifiques. Il est alors possible de supprimer certaines autorisations ou d'ajouter des autorisations sur un élément. Dans le cas où cette optique n'était pas voulue, il est possible de cliquer sur l'action « rétablir l'héritage » et les autorisations héritées seront rétablies.

Les classifications de sécurité

Finalement, l'onglet « Classification de sécurité » permet d'ajouter une deuxième couche de sécurité aux enregistrements par le biais de métadonnées. On peut attribuer des accès avec des grades, que vous créez, selon vos besoins, à appliquer sur vos enregistrements.  Ces grades déterminent si des utilisateurs ou groupes ont accès à un enregistrement selon le grade qui leur est attribué.

Métadonnées sécurisées

La gestion des métadonnées sécurisées permet d'effectuer un contrôle d'affichage des métadonnées selon les types d'usagers. De la sorte, la fonctionnalité permet l'ajout d'une sécurisation par rôle pour chaque métadonnée. Par défaut, aucune sécurité n'est appliquée sur la gestion des métadonnées. La fonctionnalité consiste donc à masquer les métadonnées et à empêcher qu'elles puissent être utilisées en recherche simple ou avancée pour les utilisateurs concernés. Il s'agit essentiellement d'un contrôle d'accès sur la lecture de la métadonnée.

Comportements selon les rôles sélectionnés

Je ne vois pas...