# Exemple: gestion des utilisateurs et configuration CAS à l'IUT de Villetaneuse

Cette page vise à donner un exemple de fonctionnement et à éclairer les
personnes en charge de la gestion des comptes utilisateurs ScoDoc.

## Contexte : l'IUT de Villetaneuse

ScoDoc offre de nombreuses options de configuration pour s'adapter au
fonctionnement des établissements. Nous décrivons ici les choix effectués pour
l'IUT de Villetaneuse, site ayant les caractéristiques suivantes:

- 6 départements d'IUT, environ 1600 étudiants/an, plus de 1400 comptes
  utilisateurs (enseignats, BIATSS, vacataires) dont environ 400 actifs.
  Le serveur est accessible depuis l'internet public.

- Service d'authentification centralisé (CAS) géré par la DSI de l'université
  pour toutes ses composantes.

- En raison de la longueur de certaines procédures technico-administratives,
  l'IUT souhaite que les vacataires et autres personnels temporaires puissent
  avoir accès à ScoDoc avant qu'ils ne soient duement répertoriés dans
  l'annuaire nourrissant le CAS. Cela impose la gestion de comptes locaux
  ScoDoc.

- L'usage du CAS est recommandé pour tous ceux qui le peuvent.


## Configuration globale de ScoDoc

Paramétrage effectué une fois pour toute, au niveau global, par le super-administarteur.

### Paramétrage du CAS

- Activer le CAS
- Forcer l'utilisation de CAS
- Par défaut, autoriser le CAS aux nouveaux utilisateurs
- Ne pas cocher *Si le CAS est forcé, redirige immédiatement la page de login
  vers le CAS*: en effet, nous souhaitons que les vacataires puissent
  facilement accéder à la page d'authentification de ScoDoc, sans être redirigés
  vers celle du CAS.

Par ailleurs, l'identifiant utilisateur CAS (`cas_id`) est calculé à partir de
l'adresse mail institutionnelle, de la forme (avec des exceptions)
`prenom.nom@univ....fr`. L'expression pour extraire l'identifiant utilisateur*
est donc positionnée à `(.*)@`.

On souhaite aussi récupérer un identifiant présent dans la réponse CAS et qui
permet de repérer les enseignants sur les emplois du temps (ics générés par
HyperPlanning): le champ *expression pour extraire l'identifiant edt* est

```xml
<cas:supannEmpId>(.*?)</cas:supannEmpId>
```

### Affection des permissions au rôle Admin

Les comptes sont gérés par les responsables de chaque département, ou la
personne qu'ils auront chargé de cela. Ce sont donc des utilisateurs ayant le
rôle `Admin` dans leur(s) département(s).

Par défaut, le rôle `Admin` ne permet pas de modifier les attributs CAS d'un
compte utilisateur. Nous lui ajoutons cette possibilité:

<img src="/screens/config-utilisateurs-roles.png" width="50%">

Ajout de la permission `UsersChangeCASId` au rôle `Admin`:

<img src="/screens/config-roles-casid.png" width="15%">


## Création d'un compte utilisateur

Connecté avec un compte `Admin` du département, on passe par la page
*Utilisateurs*:

<img src="/screens/utilisateurs-lien.png" width="15%">

Puis *Ajouter un utilisateur*

<img src="/screens/utilisateur-ajout-lien.png" width="15%">

### Pour un permanent (accès via CAS)

On va renseigner les nom, prénom, adresse mail et surtout l'adresse mail
**institutionnelle** car c'est celle-ci qui va donner l'identifiant pour le CAS.

- *Autorise connexion via CAS* doit être coché
- *Autorise connexion via ScoDoc* n'est pas nécessaire, et par sécurité ne
  devrait pas être coché pour les collègues ayant accès à CAS.
- *Envoie un mail d'accueil à l'utilisateur* permet d'avertir le collègue que
  son compte est créé.

Il n'est pas nécessaire de saisir un mot de passe: de toutes façon le mot de
passe ScoDoc ne sera pas utilisé pour ce compte.

Enfin, on coche le ou les rôle(s) attribués à ce nouveau compte (`Ens` ou `Secr` le
plus souvent).

Voici un exemple complet:

<img src="/screens/utilisateur-ajout-permanent-iutv.png" width="75%">

### Pour une personne sans accès à CAS

Lorsqu'on créé un compte pour une personne n'ayant pas, ou pas encore, accès au
CAS, il faut cocher *Autorise connexion via ScoDoc* et indiquer *Envoie un mail
d'accueil à l'utilisateur*.

<img src="/screens/utilisateur-ajout-vacataire-iutv.png" width="75%">

Lors de sa première connexion, le collègue devra saisir son mot de passe

<img src="/screens/utilisateur-oubli-password.png" width="50%">

et devra indiquer son adresse mail (celle que vous avez saisie). 

Si le compte reçoit par la suite des identifiants CAS, il est conseillé de
revenir sur cette page pour désactiver l'accès ScoDoc, comme dans la section
précédente.

#### Problème fréquent: non réception du mail par l'utilisateur 

Le plus souvent en raison de contrôles anti-spams, parfois d'une mauvaise
configuration du relais de messagerie utilisé par ScoDoc.

Dans ce cas, saisir vous même le mot de passe du compte et le communiquer à
l'utilisateur oralement ou par téléphone. **Ne jamais communiquer un mot de
passe par e-mail ou par écrit** !

<img src="/screens/utilisateur-modif-password-lien.png" width="50%">

(le même formulaire permet de modifier l'adresse mail de l'utilisateur).


!!! note "Voir aussi"

    - [Gestion des utilisateurs](AdminUsers.md)
    - [Configuration de l'authentification CAS](ConfigCAS.md)
    - [Rôles et permissions](ConfigPermissionsDept.md)
    - [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role)
    - [Guide administrateur ScoDoc](GuideAdminSys.md)
    - [API pour ScoDoc 9](ScoDoc9API.md)
    - [FAQ](FAQ.md)
    - [Contacts](Contact.md)