diff --git a/docs/ConfigCAS.md b/docs/ConfigCAS.md index 2d19e4151..728bc4c14 100644 --- a/docs/ConfigCAS.md +++ b/docs/ConfigCAS.md @@ -22,11 +22,11 @@ son service CAS avant d'aller plus loin. Rappel: voir [Gestion des utilisateurs](AdminUsers.md) -Pour simplifier, l'utilisateur va partir de ScoDoc, passer par le site CAS (redirection), puis -revenir si l'authentification réussi, avec un jeton et un identifiant CAS. À ce moment, ScoDoc cherche s'il a un -utilisateur ayant l'identifiant donné, dans le champ `cas_id`de sa base -utilisateur. Si oui, il ouvre une session pour cet utilisateur, avec ses rôles -et permissions. +Pour simplifier, l'utilisateur va partir de ScoDoc, passer par le site CAS +(redirection), puis revenir si l'authentification réussi, avec un jeton et un +identifiant CAS. À ce moment, ScoDoc cherche s'il a un utilisateur ayant +l'identifiant donné, dans le champ `cas_id`de sa base utilisateur. Si oui, il +ouvre une session pour cet utilisateur, avec ses rôles et permissions. ## Paramètres spécifiques pour le CAS @@ -44,15 +44,21 @@ De cette page, on accède à la page consacrée au CAS: Page sur laquelle on va pouvoir spécifier: - si on active le CAS (ce qui permet aussi de le désactiver globalement); -- si on force son utilisation; +- si on force son utilisation et si on redirige systématiquement vers la page CAS; - l'URL complète du serveur CAS (exemple: `https://mon.serveur.cas.fr:1234/cas/`); - un attribut pour l'identification (laisser vide normalement); - si on veut vérifier le certificat SSL (normalement oui, par sécurité, et fournir le fichier certificat PEM dans le champ suivant). -Si l'option **Forcer l'utilisation du CAS** est activée, l'utilisateur qui tente -de se connecter sera immédiatement redirigé vers la page du CAS. Sinon, il aura -le choix via le formulaire classique, avec un lien en plus: +Si l'option **Forcer l'utilisation du CAS** est activée, seuls les utilisateurs +ayant été déclarés individuellement comme pouvant se connecter à ScoDoc seront +en mesure d'utiliser un compte local ScoDoc: voir option **Autorise connexion +via ScoDoc** plus loin. + +Si les options **Forcer l'utilisation du CAS** et **redirige immédiatement la +page de login** sont activées, l'utilisateur qui tente de se connecter sera +immédiatement redirigé vers la page du CAS. Sinon, il aura le choix via le +formulaire classique, avec un lien en plus: ![login scodoc avec CAS](fig/config-cas-cnx.png) @@ -82,8 +88,8 @@ Ici trois champs nous intéressent: extérieures à l'établissement et qui ne seraient pas (encore) dans le CAS. En cas de besoin, les comptes "super-admin" peuvent toujours se connecter à -ScoDoc sans CAS: si le forçage est activé, il leur faut passer par une adresse -spéciale: +ScoDoc sans CAS: si le forçage avec redirection est activé, il leur faut passer +par une adresse spéciale: ```text https://votre.serveur.scodoc.fr/auth/login_scodoc @@ -112,17 +118,14 @@ L'utilisateur pourra se connecter **via un identifiant ScoDoc** (rappel: *c'est nécessaire pour les comptes API*), si et seulement si: - CAS non activé +- ou CAS non forcé - ou compte super-admin -- ou `cas_allow_scodoc_login` et pas (`cas_id` renseigné et `cas_allow_login` et CAS forcé) - -(donc si il a `cas_allow_scodoc_login` mais pas de `cas_id`, il pourra se -connecter via ScoDoc même si on a *forcé* le CAS). +- ou `cas_allow_scodoc_login` L'utilisateur pourra se connecter **en CAS** si et seulement si: -- CAS activé et `cas_id` renseigné (ou règle de config. automatique) - - +- CAS activé et `cas_id` renseigné (par saisie ou règle de config. automatique) et + `cas_allow_login` est vrai. ## Sécurité: permissions et informations @@ -139,9 +142,11 @@ pourrait créer des problèmes de sécurité (par exemple affecter à un départ un utilisateur CAS qui n'en fait pas réellement partie). Le CAS ajoute une permission ScoDoc `ScoUsersChangeCASId` qui contrôle la -possibilité de changer l'identifiant CAS d'un compte. Cette permission peut ou -non être associée au rôle `Admin` d'un département, selon la politique de -l'établissement. +possibilité de changer les paramètres CAS d'un compte (identifiant, accès via +CAS, accès via ScoDoc). Cette permission peut ou non être associée au rôle +`Admin` d'un département, selon la politique de l'établissement. Rappelons que +pour accéder aux réglages utilisateurs,il faut en outre la permission +`UsersAdmin`. Les réglages par compte **Autorise connexion via CAS** et **Autorise connexion via ScoDoc** sont réservés au `Super Administrateur`.