ScoDoc/DocScoDoc
7
2
Fork 10
Code Issues 1 Pull Requests 1 Projects Releases Wiki Activity

Modifie documentation CAS

Browse Source
This commit is contained in:
Emmanuel Viennet 2025-01-21 20:34:17 -03:00
parent 26332a3e4f
commit a219ce6927
1 changed files with 26 additions and 21 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

47
docs/ConfigCAS.md
View File

@ -22,11 +22,11 @@ son service CAS avant d'aller plus loin.
Rappel: voir [Gestion des utilisateurs](AdminUsers.md) Rappel: voir [Gestion des utilisateurs](AdminUsers.md)
Pour simplifier, l'utilisateur va partir de ScoDoc, passer par le site CAS (redirection), puis Pour simplifier, l'utilisateur va partir de ScoDoc, passer par le site CAS
revenir si l'authentification réussi, avec un jeton et un identifiant CAS. À ce moment, ScoDoc cherche s'il a un (redirection), puis revenir si l'authentification réussi, avec un jeton et un
utilisateur ayant l'identifiant donné, dans le champ `cas_id`de sa base identifiant CAS. À ce moment, ScoDoc cherche s'il a un utilisateur ayant
utilisateur. Si oui, il ouvre une session pour cet utilisateur, avec ses rôles l'identifiant donné, dans le champ `cas_id`de sa base utilisateur. Si oui, il
et permissions. ouvre une session pour cet utilisateur, avec ses rôles et permissions.
## Paramètres spécifiques pour le CAS ## Paramètres spécifiques pour le CAS
@ -44,15 +44,21 @@ De cette page, on accède à la page consacrée au CAS:
Page sur laquelle on va pouvoir spécifier: Page sur laquelle on va pouvoir spécifier:
- si on active le CAS (ce qui permet aussi de le désactiver globalement); - si on active le CAS (ce qui permet aussi de le désactiver globalement);
- si on force son utilisation; - si on force son utilisation et si on redirige systématiquement vers la page CAS;
- l'URL complète du serveur CAS (exemple: `https://mon.serveur.cas.fr:1234/cas/`); - l'URL complète du serveur CAS (exemple: `https://mon.serveur.cas.fr:1234/cas/`);
- un attribut pour l'identification (laisser vide normalement); - un attribut pour l'identification (laisser vide normalement);
- si on veut vérifier le certificat SSL (normalement oui, par sécurité, et - si on veut vérifier le certificat SSL (normalement oui, par sécurité, et
fournir le fichier certificat PEM dans le champ suivant). fournir le fichier certificat PEM dans le champ suivant).
Si l'option **Forcer l'utilisation du CAS** est activée, l'utilisateur qui tente Si l'option **Forcer l'utilisation du CAS** est activée, seuls les utilisateurs
de se connecter sera immédiatement redirigé vers la page du CAS. Sinon, il aura ayant été déclarés individuellement comme pouvant se connecter à ScoDoc seront
le choix via le formulaire classique, avec un lien en plus: en mesure d'utiliser un compte local ScoDoc: voir option **Autorise connexion
via ScoDoc** plus loin.
Si les options **Forcer l'utilisation du CAS** et **redirige immédiatement la
page de login** sont activées, l'utilisateur qui tente de se connecter sera
immédiatement redirigé vers la page du CAS. Sinon, il aura le choix via le
formulaire classique, avec un lien en plus:
![login scodoc avec CAS](fig/config-cas-cnx.png) ![login scodoc avec CAS](fig/config-cas-cnx.png)
@ -82,8 +88,8 @@ Ici trois champs nous intéressent:
extérieures à l'établissement et qui ne seraient pas (encore) dans le CAS. extérieures à l'établissement et qui ne seraient pas (encore) dans le CAS.
En cas de besoin, les comptes "super-admin" peuvent toujours se connecter à En cas de besoin, les comptes "super-admin" peuvent toujours se connecter à
ScoDoc sans CAS: si le forçage est activé, il leur faut passer par une adresse ScoDoc sans CAS: si le forçage avec redirection est activé, il leur faut passer
spéciale: par une adresse spéciale:
```text ```text
https://votre.serveur.scodoc.fr/auth/login_scodoc https://votre.serveur.scodoc.fr/auth/login_scodoc
@ -112,17 +118,14 @@ L'utilisateur pourra se connecter **via un identifiant ScoDoc** (rappel: *c'est
nécessaire pour les comptes API*), si et seulement si: nécessaire pour les comptes API*), si et seulement si:
- CAS non activé - CAS non activé
- ou CAS non forcé
- ou compte super-admin - ou compte super-admin
- ou `cas_allow_scodoc_login` et pas (`cas_id` renseigné et `cas_allow_login` et CAS forcé) - ou `cas_allow_scodoc_login`
(donc si il a `cas_allow_scodoc_login` mais pas de `cas_id`, il pourra se
connecter via ScoDoc même si on a *forcé* le CAS).
L'utilisateur pourra se connecter **en CAS** si et seulement si: L'utilisateur pourra se connecter **en CAS** si et seulement si:
- CAS activé et `cas_id` renseigné (ou règle de config. automatique) - CAS activé et `cas_id` renseigné (par saisie ou règle de config. automatique) et
`cas_allow_login` est vrai.
## Sécurité: permissions et informations ## Sécurité: permissions et informations
@ -139,9 +142,11 @@ pourrait créer des problèmes de sécurité (par exemple affecter à un départ
un utilisateur CAS qui n'en fait pas réellement partie). un utilisateur CAS qui n'en fait pas réellement partie).
Le CAS ajoute une permission ScoDoc `ScoUsersChangeCASId` qui contrôle la Le CAS ajoute une permission ScoDoc `ScoUsersChangeCASId` qui contrôle la
possibilité de changer l'identifiant CAS d'un compte. Cette permission peut ou possibilité de changer les paramètres CAS d'un compte (identifiant, accès via
non être associée au rôle `Admin` d'un département, selon la politique de CAS, accès via ScoDoc). Cette permission peut ou non être associée au rôle
l'établissement. `Admin` d'un département, selon la politique de l'établissement. Rappelons que
pour accéder aux réglages utilisateurs,il faut en outre la permission
`UsersAdmin`.
Les réglages par compte **Autorise connexion via CAS** Les réglages par compte **Autorise connexion via CAS**
et **Autorise connexion via ScoDoc** sont réservés au `Super Administrateur`. et **Autorise connexion via ScoDoc** sont réservés au `Super Administrateur`.