Améliore doc config CAS

docs/ConfigCAS.md

@@ -68,7 +68,7 @@ annuaire, il va falloir saisir ces identifiants pour chaque compte. On peut le
 faire via le formulaire habituel de paramétrage du compte utilisateur, ou bien
 par import Excel.
 
-Le formulaire n'est accessible qu'au super-admin (actuellement).
+Cette configuration n'est accessible qu'au super-admin.
 
 ![form. config. utilisateur](fig/config-cas-user.png)
 
@@ -88,15 +88,69 @@ forçage est activé, il leur faut passer par une adresse spéciale:
  https://votre.serveur.scodoc.fr/auth/login_scodoc
 ```
 
+(remplacer `https://votre.serveur.scodoc.fr` par le début de l'adresse de votre serveur).
+
 🚸 **Attention**: en général, les **clients d'API** (et notamment la
 "passerelle") n'utilisent pas le CAS: si vous forcez les utilisateurs à utiliser
 le CAS, pensez à autoriser les comptes de l'API à se connecter sur ScoDoc sans
 CAS.
 
+## Sécurité: permissions et informations
+
+L'utilisateur connecté via CAS a exactement les mêmes permissions que s'il
+s'était connecté via ScoDoc.
+
+### Permission
+
+Le paramétrage CAS au niveau général nécessite la permission `Super Administrateur`.
+
+Il est naturel de déléguer la création des comptes utilisateurs ScoDoc aux
+responsables de département ou à leur représentant. Toutefois, le réglage CAS
+pourrait créer des problèmes de sécurité (par exemple affecter à un département
+un utilisateur CAS qui n'en fait pas réellement partie). 
+
+Le CAS ajoute une permission ScoDoc `ScoUsersChangeCASId` qui contrôle la
+possibilité de changer l'identifiant CAS d'un compte. Cette permission peut ou
+non être associée au rôle `Admin` d'un département, selon la politique de
+l'établissement.
+
+Les réglages par compte **Autorise connexion via CAS**
+et **Autorise connexion via ScoDoc** sont réservés au `Super Administrateur`.
+
+### Informations sur un utilisateur
+
+Le super-administrateur (et elle seule) peut visualiser les dates de:
+
+- dernière utilisation (date du dernier chargement de page);
+- dernière connexion (login) via CAS.
+
+dans les tables d'utilisateurs et sur la page de chaque compte:
+
+![Informations sur un utilisateur](fig/config-user-view.png)
+
+### Logs
+
+Les connexions et tentatives de connexions via CAS sont logguées au niveau
+`INFO`, qui arrive par défaut dans `/opt/scodoc-data/scodoc.log`.
+Exemples:
+
+- Connexion réussie:
+
+```text
+  INFO: CAS: login user_name
+```
+
+- Tentative de connexion CAS réussie mais utilisateur non reconnu par ScoDoc:
+
+```text
+INFO: CAS login denied for  cas_id=prenom.nom (unknown or inactive)
+```
 
 !!! note "Voir aussi"
 
     - [Gestion des utilisateurs](AdminUsers.md)
+    - [Rôles et permissions](ConfigPermissionsDept.md)
+    - [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role)
     - [Guide administrateur ScoDoc](GuideAdminSys.md)
     - [API pour ScoDoc 9](ScoDoc9API.md)
     - [FAQ](FAQ.md)

docs/ConfigPermissionsDept.md

@@ -67,6 +67,7 @@ Peuvent saisir des notes dans une évaluation située dans un module:
 
     - [ConfigPermissions](ConfigPermissions.md) pour plus de détails sur les permissions (pour les développeurs)
     - [Gestion des utilisateurs](AdminUsers.md)
+    - [Config. des rôles et permissions en ligne de commande](GuideConfig.md#creation-dun-nouveau-role)
     - [Guide administrateur ScoDoc](GuideAdminSys.md)
     - [FAQ](FAQ.md)
     - [Contacts](Contact.md).