ScoDoc/DocScoDoc
7
2
Fork 10
Code Issues 1 Pull Requests 1 Projects Releases Wiki Activity

Modifie documentation CAS

Browse Source
This commit is contained in:
Emmanuel Viennet 2025-01-21 20:34:17 -03:00
parent 26332a3e4f
commit a219ce6927
1 changed files with 26 additions and 21 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

47
docs/ConfigCAS.md
View File

@ -22,11 +22,11 @@ son service CAS avant d'aller plus loin.
Rappel: voir [Gestion des utilisateurs](AdminUsers.md)
Pour simplifier, l'utilisateur va partir de ScoDoc, passer par le site CAS (redirection), puis
revenir si l'authentification réussi, avec un jeton et un identifiant CAS. À ce moment, ScoDoc cherche s'il a un
utilisateur ayant l'identifiant donné, dans le champ `cas_id`de sa base
utilisateur. Si oui, il ouvre une session pour cet utilisateur, avec ses rôles
et permissions.
Pour simplifier, l'utilisateur va partir de ScoDoc, passer par le site CAS
(redirection), puis revenir si l'authentification réussi, avec un jeton et un
identifiant CAS. À ce moment, ScoDoc cherche s'il a un utilisateur ayant
l'identifiant donné, dans le champ `cas_id`de sa base utilisateur. Si oui, il
ouvre une session pour cet utilisateur, avec ses rôles et permissions.
## Paramètres spécifiques pour le CAS
@ -44,15 +44,21 @@ De cette page, on accède à la page consacrée au CAS:
Page sur laquelle on va pouvoir spécifier:
- si on active le CAS (ce qui permet aussi de le désactiver globalement);
- si on force son utilisation;
- si on force son utilisation et si on redirige systématiquement vers la page CAS;
- l'URL complète du serveur CAS (exemple: `https://mon.serveur.cas.fr:1234/cas/`);
- un attribut pour l'identification (laisser vide normalement);
- si on veut vérifier le certificat SSL (normalement oui, par sécurité, et
fournir le fichier certificat PEM dans le champ suivant).
Si l'option **Forcer l'utilisation du CAS** est activée, l'utilisateur qui tente
de se connecter sera immédiatement redirigé vers la page du CAS. Sinon, il aura
le choix via le formulaire classique, avec un lien en plus:
Si l'option **Forcer l'utilisation du CAS** est activée, seuls les utilisateurs
ayant été déclarés individuellement comme pouvant se connecter à ScoDoc seront
en mesure d'utiliser un compte local ScoDoc: voir option **Autorise connexion
via ScoDoc** plus loin.
Si les options **Forcer l'utilisation du CAS** et **redirige immédiatement la
page de login** sont activées, l'utilisateur qui tente de se connecter sera
immédiatement redirigé vers la page du CAS. Sinon, il aura le choix via le
formulaire classique, avec un lien en plus:
![login scodoc avec CAS](fig/config-cas-cnx.png)
@ -82,8 +88,8 @@ Ici trois champs nous intéressent:
extérieures à l'établissement et qui ne seraient pas (encore) dans le CAS.
En cas de besoin, les comptes "super-admin" peuvent toujours se connecter à
ScoDoc sans CAS: si le forçage est activé, il leur faut passer par une adresse
spéciale:
ScoDoc sans CAS: si le forçage avec redirection est activé, il leur faut passer
par une adresse spéciale:
```text
https://votre.serveur.scodoc.fr/auth/login_scodoc
@ -112,17 +118,14 @@ L'utilisateur pourra se connecter **via un identifiant ScoDoc** (rappel: *c'est
nécessaire pour les comptes API*), si et seulement si:
- CAS non activé
- ou CAS non forcé
- ou compte super-admin
- ou `cas_allow_scodoc_login` et pas (`cas_id` renseigné et `cas_allow_login` et CAS forcé)
(donc si il a `cas_allow_scodoc_login` mais pas de `cas_id`, il pourra se
connecter via ScoDoc même si on a *forcé* le CAS).
- ou `cas_allow_scodoc_login`
L'utilisateur pourra se connecter **en CAS** si et seulement si:
- CAS activé et `cas_id` renseigné (ou règle de config. automatique)
- CAS activé et `cas_id` renseigné (par saisie ou règle de config. automatique) et
`cas_allow_login` est vrai.
## Sécurité: permissions et informations
@ -139,9 +142,11 @@ pourrait créer des problèmes de sécurité (par exemple affecter à un départ
un utilisateur CAS qui n'en fait pas réellement partie).
Le CAS ajoute une permission ScoDoc `ScoUsersChangeCASId` qui contrôle la
possibilité de changer l'identifiant CAS d'un compte. Cette permission peut ou
non être associée au rôle `Admin` d'un département, selon la politique de
l'établissement.
possibilité de changer les paramètres CAS d'un compte (identifiant, accès via
CAS, accès via ScoDoc). Cette permission peut ou non être associée au rôle
`Admin` d'un département, selon la politique de l'établissement. Rappelons que
pour accéder aux réglages utilisateurs,il faut en outre la permission
`UsersAdmin`.
Les réglages par compte **Autorise connexion via CAS**
et **Autorise connexion via ScoDoc** sont réservés au `Super Administrateur`.