Exemple config. CAS IUTV

docs/ConfigCAS.md

@@ -194,6 +194,7 @@ utilisateurs](#configuration-des-utilisateurs))
 !!! note "Voir aussi"
 
     - [Gestion des utilisateurs](AdminUsers.md)
+    - [Exemple complet de configuration](ConfigCASIUTV.md)
     - [Rôles et permissions](ConfigPermissionsDept.md)
     - [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role)
     - [Guide administrateur ScoDoc](GuideAdminSys.md)

docs/ConfigCASIUTV.md

@@ -0,0 +1,144 @@
+# Exemple: gestion des utilisateurs et configuration CAS à l'IUT de Villetaneuse
+
+Cette page vise à donner un exemple de fonctionnement et à éclairer les
+personnes en charge de la gestion des comptes utilisateurs ScoDoc.
+
+## Contexte : l'IUT de Villetaneuse
+
+ScoDoc offre de nombreuses options de configuration pour s'adapter au
+fonctionnement des établissements. Nous décrivons ici les choix effectués pour
+l'IUT de Villetaneuse, site ayant les caractéristiques suivantes:
+
+- 6 départements d'IUT, environ 1600 étudiants/an, plus de 1400 comptes
+  utilisateurs (enseignats, BIATSS, vacataires) dont environ 400 actifs.
+  Le serveur est accessible depuis l'internet public.
+
+- Service d'authentification centralisé (CAS) géré par la DSI de l'université
+  pour toutes ses composantes.
+
+- En raison de la longueur de certaines procédures technico-administratioves,
+  l'IUT souhaite que les vacataires et autres personnels temporaires puissent
+  avoir accès à ScoDoc avant qu'ils ne soient duement répertoriés dans
+  l'annuaire nourrissant le CAS. Cela impose la gestion de comptes locaux
+  ScoDoc.
+
+- L'usage du CAS est recommandé pour tous ceux qui le peuvent.
+
+
+## Configuration globale de ScoDoc
+
+Paramétrage effectué une fois pour toute, au niveau global, par le super-administarteur.
+
+### Paramétrage du CAS
+
+- Activer le CAS
+- Forcer l'utilisation de CAS
+- Par défaut, autoriser le CAS aux nouveaux utilisateurs
+- Ne pas coche *Si le CAS est forcé, redirige immédiatement la page de login
+  vers le CAS*: en effet, nous souhaitons que les vacataires puissent
+  facilement accéder à la page d'authentification de ScoDoc, sans être redirigés
+  vers celle du CAS.
+
+Par ailleurs, l'identifiant utilisateur CAS (`cas_id`) est calculé à partir de
+l'adresse mail institutionnelle, de la forme (avec des exceptions)
+`prenom.nom@univ....fr`. L'expression pour extraire l'identifiant utilisateur*
+est donc positionnée à `(.*)@`.
+
+On souhaite aussi récupérer un identifiant présent dans la réponse CAS et qui
+permet de repérer les enseignants sur les emplois du temps (ics générés par
+HyperPlanning): le champ *expression pour extraire l'identifiant edt* est
+
+```xml
+<cas:supannEmpId>(.*?)</cas:supannEmpId>
+```
+
+### Affection des permissions au rôle Admin
+
+Les comptes sont gérés par les responsables de chaque département, ou la
+personne qu'ils auront chargé de cela. Ce sont donc des utilisateurs ayant le
+rôle `Admin` dans leur(s) département(s).
+
+Par défaut, le rôle `Admin` ne permet pas de modifier les attributs CAS d'un
+compte utilisateur. Nous lui ajoutons cette possibilité:
+
+<img src="/screens/config-utilisateurs-roles.png" width="50%">
+
+Ajout de la permission `UsersChangeCASId` au rôle `Admin`:
+
+<img src="/screens/config-roles-casid.png" width="15%">
+
+
+## Création d'un compte utilisateur
+
+Connecté avec un compte `Admin` du département, on passe par la page
+*Utilisateurs*:
+
+<img src="/screens/utilisateurs-lien.png" width="15%">
+
+Puis *Ajouter un utilisateur*
+
+<img src="/screens/utilisateur-ajout-lien.png" width="15%">
+
+### Pour un permanent (accès via CAS)
+
+On va renseigner les nom, prénom, adresse mail et surtout l'adresse mail
+**institutionnelle** car c'est celle-ci qui va donner l'identifiant pour le CAS.
+
+- *Autorise connexion via CAS* doit être coché
+- *Autorise connexion via ScoDoc* n'est pas nécessaire, et par sécurité ne
+  devrait pas être coché pour les collègues ayant accès à CAS.
+- *Envoie un mail d'accueil à l'utilisateur* permet d'avertir le collègue que
+  son compte est créé.
+
+Il n'est pas nécessaire de saisir un mot de passe: de toutes façon le mot de
+passe ScoDoc ne sera pas utilisé pour ce compte.
+
+Enfin, on coche le ou les rôle(s) attribués à ce nouveau compte (`Ens` ou `Secr` le
+plus souvent).
+
+Voici un exemple complet:
+
+<img src="/screens/utilisateur-ajout-permanent-iutv.png" width="75%">
+
+### Pour une personne sans accès à CAS
+
+Lorsqu'on créé un compte pour une personne n'ayant pas, ou pas encore, accès au
+CAS, il faut cocher *Autorise connexion via ScoDoc* et indiquer *Envoie un mail
+d'accueil à l'utilisateur*.
+
+<img src="/screens/utilisateur-ajout-vacataire-iutv.png" width="75%">
+
+Lors de sa première connexion, le collègue devra saisir son mot de passe
+
+<img src="/screens/utilisateur-oubli-password.png" width="50%">
+
+et devra indiquer son adresse mail (celle que vous avez saisie). 
+
+#### Problème fréquent: non réception du mail par l'utilisateur 
+
+Le plus souvent en raison de contrôles anti-spams, parfois d'une mauvaise
+configuration du relais de messagerie utilisé par ScoDoc.
+
+Dans ce cas, saisir vous même le mot de passe du compte et le communiquer à
+l'utilisateur oralement ou par téléphone. **Ne jamais communiquer un mot de
+passe par e-mail ou par écrit** !
+
+<img src="/screens/utilisateur-modif-password-lien.png" width="50%">
+
+(le même formulaire permet de modifier l'adresse mail de l'utilisateur).
+
+
+!!! note "Voir aussi"
+
+    - [Gestion des utilisateurs](AdminUsers.md)
+    - [Configuration de l'authentification CAS](ConfigCAS.md)
+    - [Rôles et permissions](ConfigPermissionsDept.md)
+    - [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role)
+    - [Guide administrateur ScoDoc](GuideAdminSys.md)
+    - [API pour ScoDoc 9](ScoDoc9API.md)
+    - [FAQ](FAQ.md)
+    - [Contacts](Contact.md)
+
+
+
+