[{"data":1,"prerenderedAt":800},["ShallowReactive",2],{"guide:fr:authorization":3},{"id":4,"title":5,"body":6,"description":792,"extension":793,"meta":794,"navigation":795,"path":796,"seo":797,"stem":798,"__hash__":799},"guide_fr/fr/user/authorization/index.md","Autorisation — Droits d'administrateur et restrictions liées aux rôles",{"type":7,"value":8,"toc":775},"minimark",[9,14,27,32,35,57,60,63,67,70,75,146,151,171,176,187,191,202,205,210,233,238,247,250,282,286,292,297,325,330,344,348,354,364,367,373,379,382,388,394,397,401,407,412,418,424,428,439,443,448,462,467,481,485,490,510,515,531,536,547,551,559,573,578,583,589,594,600,605,611,614,618,623,637,642,656,660,665,676,681,692,697,708,713,724,729,740,745,756,761],[10,11,13],"h1",{"id":12},"autorisation","Autorisation",[15,16,17,18,22,23,26],"p",{},"L'autorisation définit ce que les utilisateurs peuvent et ne peuvent pas faire après leur authentification. Aptli combine deux niveaux indépendants : des ",[19,20,21],"strong",{},"droits d'administrateur"," permissifs (ce que vous pouvez faire) et des ",[19,24,25],{},"restrictions de rôle"," restrictives (ce que vous ne pouvez pas voir). Ensemble, ils offrent aux administrateurs un contrôle précis tant sur les capacités que sur la visibilité des données.",[28,29,31],"h2",{"id":30},"présentation-du-modèle-dautorisation","Présentation du modèle d'autorisation",[15,33,34],{},"Le modèle de sécurité complet d'Aptli comporte trois couches :",[36,37,38,45,51],"ol",{},[39,40,41,44],"li",{},[19,42,43],{},"Authentification"," — Qui vous êtes (abordé dans la section Authentification)",[39,46,47,50],{},[19,48,49],{},"Droits d'administrateur"," — Ce que vous POUVEZ modifier (autorisations permissives)",[39,52,53,56],{},[19,54,55],{},"Restrictions de rôle"," — Ce que vous NE POUVEZ PAS voir (filtres restrictifs)",[15,58,59],{},"Toutes les restrictions sont appliquées au niveau du serveur — aucune donnée non autorisée n'est jamais envoyée à votre navigateur, quelles que soient vos tentatives via l'interface utilisateur, l'API ou les exportations.",[15,61,62],{},"Ce modèle offre une grande flexibilité tout en garantissant la sécurité.",[28,64,66],{"id":65},"droits-dadministrateur-permissifs","Droits d'administrateur (permissifs)",[15,68,69],{},"Les droits d'administrateur accordent l'autorisation de modifier des informations ou de changer un statut. Sans ces droits, les utilisateurs peuvent uniquement consulter les données et modifier leur propre profil.",[15,71,72],{},[19,73,74],{},"Droits d'administrateur courants :",[76,77,78,85,91,97,103,116,128,134,140],"ul",{},[39,79,80,84],{},[81,82,83],"code",{},"usersUpdate"," - Modifier les profils des autres utilisateurs (nom, titre, division — PAS l'adresse e-mail/le mot de passe)",[39,86,87,90],{},[81,88,89],{},"usersLogout"," - Forcer la déconnexion ou verrouiller définitivement les utilisateurs",[39,92,93,96],{},[81,94,95],{},"usersDelete"," - Supprimer des comptes utilisateurs",[39,98,99,102],{},[81,100,101],{},"usersCreate"," - Créer de nouveaux utilisateurs ou restaurer des comptes",[39,104,105,108,109,108,112,115],{},[81,106,107],{},"pointsCreate",", ",[81,110,111],{},"pointsUpdate",[81,113,114],{},"pointsDelete"," - Modifier les entités ponctuelles",[39,117,118,108,121,108,124,127],{},[81,119,120],{},"workOrdersCreate",[81,122,123],{},"workOrdersUpdate",[81,125,126],{},"workOrdersDelete"," - Gérer les ordres de travail",[39,129,130,133],{},[81,131,132],{},"assignmentsCreate"," - Créer des affectations de travail",[39,135,136,139],{},[81,137,138],{},"reportsCreate"," - Soumettre des rapports de travail",[39,141,142,145],{},[81,143,144],{},"transactionsCreate"," - Créer des transactions d'inventaire",[15,147,148],{},[19,149,150],{},"Droits supérieurs (priment sur tous les autres) :",[76,152,153,159,165],{},[39,154,155,158],{},[81,156,157],{},"appSettingSchemasModify"," - Modifier les paramètres au niveau de l'application (domaines, délais d'expiration, sécurité)",[39,160,161,164],{},[81,162,163],{},"adminRightsModify"," - Attribuer des droits d'administrateur à d'autres utilisateurs",[39,166,167,170],{},[81,168,169],{},"viewDeleted"," - Afficher les enregistrements supprimés (presque universel, partiellement remplacé par les restrictions de rôle)",[15,172,173],{},[19,174,175],{},"Vérification des droits d'administrateur d'un utilisateur :",[36,177,178,181,184],{},[39,179,180],{},"Accédez à Admin → Utilisateurs",[39,182,183],{},"Ouvrez le profil de l'utilisateur",[39,185,186],{},"La section « Droits d'administrateur » répertorie toutes les autorisations accordées",[28,188,190],{"id":189},"restrictions-de-rôle-restrictives","Restrictions de rôle (restrictives)",[15,192,193,198],{},[194,195],"img",{"alt":196,"src":197},"Liste des rôles","/guide/authorization/roles-list.png",[199,200,201],"em",{},"Page d'administration des rôles affichant les restrictions de rôle configurées",[15,203,204],{},"Les rôles sont des ensembles de restrictions qui empêchent la consultation et la modification d'enregistrements présentant certaines caractéristiques. L'appartenance à un rôle applique toutes les restrictions à cet utilisateur.",[15,206,207],{},[19,208,209],{},"Composants des rôles :",[76,211,212,218,228],{},[39,213,214,217],{},[19,215,216],{},"Membres"," - Utilisateurs auxquels ces restrictions s'appliquent",[39,219,220,223,224,227],{},[19,221,222],{},"Propriétaire"," - Utilisateur qui contrôle l'appartenance (ou utilisateurs disposant du droit d'administration ",[81,225,226],{},"rolesUpdate",")",[39,229,230,232],{},[19,231,55],{}," - Filtres au niveau des champs masquant des données spécifiques",[234,235,237],"h3",{"id":236},"structure-des-restrictions-de-rôle","Structure des restrictions de rôle",[15,239,240,244],{},[194,241],{"alt":242,"src":243},"Détails du rôle","/guide/authorization/role-detail.png",[199,245,246],{},"Page de détails du rôle affichant la configuration des restrictions au niveau des champs",[15,248,249],{},"Chaque restriction définit :",[76,251,252,258,264,270,276],{},[39,253,254,257],{},[19,255,256],{},"Modèle"," - Quel type de données (points, polygones, affectations, etc.)",[39,259,260,263],{},[19,261,262],{},"Champ"," - Quelle propriété filtrer (propriétaire, statut, catégorie, champs personnalisés)",[39,265,266,269],{},[19,267,268],{},"Comparaison"," - Comment effectuer la correspondance (=, !=, >, \u003C, contient, etc.)",[39,271,272,275],{},[19,273,274],{},"Valeur de filtre"," - Quelle valeur faire correspondre",[39,277,278,281],{},[19,279,280],{},"Autorisations"," - Ce qui est bloqué (lecture, modification, création, suppression)",[234,283,285],{"id":284},"exemple-dutilisation-séparation-des-sous-traitants","Exemple d'utilisation : Séparation des sous-traitants",[15,287,288,291],{},[19,289,290],{},"Scénario :"," Empêcher le sous-traitant A de voir le travail du sous-traitant B",[15,293,294],{},[19,295,296],{},"Configuration :",[36,298,299,302,322],{},[39,300,301],{},"Créer un rôle : « Sous-traitant A »",[39,303,304,305],{},"Ajouter une restriction de rôle :\n",[76,306,307,310,313,316,319],{},[39,308,309],{},"Modèle : Point (entités)",[39,311,312],{},"Champ : propriétaire",[39,314,315],{},"Comparaison : =",[39,317,318],{},"Valeur de filtrage : Sous-traitant B",[39,320,321],{},"Autorisations : Lecture ✓, Modification ✓, Création ✓, Suppression ✓ (toutes vraies = aucune de ces actions n'est possible)",[39,323,324],{},"Ajouter les utilisateurs du sous-traitant A en tant que membres",[15,326,327],{},[19,328,329],{},"Résultat :",[76,331,332,335,338,341],{},[39,333,334],{},"Les membres du sous-traitant A ne peuvent voir aucun point dont le propriétaire = « Sous-traitant B »",[39,336,337],{},"Pas seulement masqué dans l'interface utilisateur : l'API renvoie les données comme si les enregistrements n'existaient pas",[39,339,340],{},"Impossible de les voir accidentellement via une capture d'écran, un appel API ou une exportation",[39,342,343],{},"Entièrement appliqué côté serveur",[234,345,347],{"id":346},"cas-dutilisation-supplémentaires","Cas d'utilisation supplémentaires",[15,349,350,353],{},[19,351,352],{},"Par étape de travail :","\nEmpêcher les travailleurs sur le terrain de voir les rapports de validation QC :",[355,356,361],"pre",{"className":357,"code":359,"language":360},[358],"language-text","Role: \"Field Workers\"\nRestriction:\n  Model: Validation\n  Field: status\n  Comparison: !=\n  Filter Value: \"\" (any value)\n  Permissions: Read ✓\n","text",[81,362,359],{"__ignoreMap":363},"",[15,365,366],{},"Les travailleurs sur le terrain ne peuvent voir aucune validation.",[15,368,369,372],{},[19,370,371],{},"Par type d'actif :","\nSéparer les équipes d'infrastructure (poteaux/conduits vs. équipements actifs) :",[355,374,377],{"className":375,"code":376,"language":360},[358],"Role: \"Civil Team\"\nRestriction:\n  Model: Point\n  Field: category\n  Comparison: =\n  Filter Value: \"Active Equipment\"\n  Permissions: Read ✓, Edit ✓, Create ✓, Delete ✓\n",[81,378,376],{"__ignoreMap":363},[15,380,381],{},"L'équipe des travaux publics ne peut ni voir ni modifier les points d'équipements actifs.",[15,383,384,387],{},[19,385,386],{},"Par aspect physique/logique :","\nSéparer l'accès aux données des bureaux (relations de capacité vs. emplacements des bureaux) :",[355,389,392],{"className":390,"code":391,"language":360},[358],"Role: \"Capacity Analysts\"\nRestriction:\n  Model: Point\n  Field: layer\n  Comparison: =\n  Filter Value: \"Office Locations\"\n  Permissions: Edit ✓, Create ✓, Delete ✓\n",[81,393,391],{"__ignoreMap":363},[15,395,396],{},"Les analystes peuvent consulter les bureaux mais ne peuvent pas modifier les emplacements (lecture seule).",[28,398,400],{"id":399},"combinaison-des-droits-dadministrateur-et-des-restrictions-de-rôle","Combinaison des droits d'administrateur et des restrictions de rôle",[15,402,403,406],{},[19,404,405],{},"Comportement par défaut :","\nTous les utilisateurs peuvent tout voir mais ne peuvent rien modifier (sans droits d'administrateur).",[15,408,409],{},[19,410,411],{},"Ajout d'un accès en écriture avec restrictions :",[15,413,414,417],{},[19,415,416],{},"Exemple :"," Les travailleurs sur le terrain peuvent modifier leur propre travail mais pas celui des autres",[355,419,422],{"className":420,"code":421,"language":360},[358],"Admin Rights:\n  - reportsCreate: true\n  - reportsUpdate: true\n\nRole Restrictions:\n  Model: Report\n  Field: reportedBy\n  Comparison: !=\n  Filter Value: [current user ID]\n  Permissions: Edit ✓\n",[81,423,421],{"__ignoreMap":363},[15,425,426],{},[19,427,329],{},[76,429,430,433,436],{},[39,431,432],{},"Les travailleurs peuvent créer des rapports (droit d'administrateur accordé)",[39,434,435],{},"Les employés peuvent modifier UNIQUEMENT leurs propres rapports (les restrictions de rôle filtrent les autres)",[39,437,438],{},"Impossible de voir ou de modifier les rapports des autres employés",[28,440,442],{"id":441},"application-côté-serveur","Application côté serveur",[15,444,445],{},[19,446,447],{},"Fonctionnement :",[76,449,450,453,456,459],{},[39,451,452],{},"Toutes les requêtes sont filtrées avant que les données ne soient renvoyées",[39,454,455],{},"Les restrictions de rôle sont appliquées sur le serveur (pas seulement masquées dans l'interface utilisateur)",[39,457,458],{},"Les utilisateurs ne peuvent pas contourner ces restrictions via des appels API directs, des outils de navigateur ou des exportations",[39,460,461],{},"Les données n'existent tout simplement pas pour les utilisateurs non autorisés",[15,463,464],{},[19,465,466],{},"Implications en matière de sécurité :",[76,468,469,472,475,478],{},[39,470,471],{},"Une capture d'écran de l'écran d'une autre personne ne servira à rien (les données ne s'afficheront pas pour vous)",[39,473,474],{},"Impossible d'exporter des données restreintes (le serveur applique les filtres)",[39,476,477],{},"Impossible de « deviner » les identifiants d'enregistrement (filtrés avant la recherche d'identifiant)",[39,479,480],{},"Les enregistrements hors de votre champ d'autorisation sont renvoyés comme introuvables, même si vous connaissez l'identifiant",[28,482,484],{"id":483},"gestion-des-rôles","Gestion des rôles",[15,486,487],{},[19,488,489],{},"Création de rôles :",[36,491,492,495,498,501,504,507],{},[39,493,494],{},"Accédez à Admin → Rôles",[39,496,497],{},"Cliquez sur « Créer un rôle »",[39,499,500],{},"Saisissez le nom et la description du rôle",[39,502,503],{},"Ajoutez des membres (faites glisser les utilisateurs dans le champ des membres)",[39,505,506],{},"Ajoutez des restrictions de rôle (vous pouvez en avoir plusieurs)",[39,508,509],{},"Enregistrez",[15,511,512],{},[19,513,514],{},"Modification des rôles :",[76,516,517,522,525,528],{},[39,518,519,520],{},"Uniquement le propriétaire du rôle OU les utilisateurs disposant du droit d'administration ",[81,521,226],{},[39,523,524],{},"Possibilité d'ajouter/supprimer des membres",[39,526,527],{},"Possibilité de modifier les restrictions",[39,529,530],{},"Possibilité de supprimer le rôle (libère les membres des restrictions)",[15,532,533],{},[19,534,535],{},"Appartenance à un rôle :",[76,537,538,541,544],{},[39,539,540],{},"Les utilisateurs peuvent occuper plusieurs rôles (restrictions combinées)",[39,542,543],{},"Départ de l'organisation : retirer de tous les rôles avant de supprimer le compte",[39,545,546],{},"Appartenance groupée : faire glisser plusieurs utilisateurs à la fois",[28,548,550],{"id":549},"personnalisation-de-lautorisation-pour-les-nouveaux-utilisateurs","Personnalisation de l'autorisation pour les nouveaux utilisateurs",[15,552,553],{},[19,554,555,556,558],{},"Configuration des paramètres de l'application (nécessite ",[81,557,157],{},") :",[36,560,561,564,567,570],{},[39,562,563],{},"Accédez à Paramètres de l'application → Authentification",[39,565,566],{},"« Rôles pour les nouveaux utilisateurs » - Attribuer automatiquement des rôles aux nouveaux comptes",[39,568,569],{},"« Droits d'administrateur pour les nouveaux utilisateurs » - Autorisations par défaut accordées",[39,571,572],{},"Enregistrer",[15,574,575],{},[19,576,577],{},"Configurations types :",[15,579,580],{},[19,581,582],{},"Paramètres par défaut pour les travailleurs de terrain :",[355,584,587],{"className":585,"code":586,"language":360},[358],"Roles: [\"Field Workers\"]\nAdmin Rights: {\n  reportsCreate: true,\n  assignmentsRead: true\n}\n",[81,588,586],{"__ignoreMap":363},[15,590,591],{},[19,592,593],{},"Paramètres par défaut pour les coordinateurs administratifs :",[355,595,598],{"className":596,"code":597,"language":360},[358],"Roles: []\nAdmin Rights: {\n  assignmentsCreate: true,\n  ordersCreate: true,\n  stockItemsView: true\n}\n",[81,599,597],{"__ignoreMap":363},[15,601,602],{},[19,603,604],{},"Pas d'attribution automatique (vérification manuelle) :",[355,606,609],{"className":607,"code":608,"language":360},[358],"Roles: []\nAdmin Rights: {} (none)\n",[81,610,608],{"__ignoreMap":363},[15,612,613],{},"Les administrateurs attribuent manuellement les droits après vérification du compte.",[28,615,617],{"id":616},"affichage-des-autorisations-effectives","Affichage des autorisations effectives",[15,619,620],{},[19,621,622],{},"Pour un utilisateur spécifique :",[36,624,625,628,631,634],{},[39,626,627],{},"Accédez au profil de l'utilisateur",[39,629,630],{},"Section « Droits d'administrateur » - Ce qu'il PEUT faire",[39,632,633],{},"Section « Rôles » - Ce qu'il NE PEUT PAS voir (via les restrictions)",[39,635,636],{},"La vue combinée affiche les autorisations effectives",[15,638,639],{},[19,640,641],{},"Test des autorisations :",[36,643,644,647,650,653],{},[39,645,646],{},"Connectez-vous en tant qu'utilisateur (ou usurpez son identité avec des droits d'administrateur)",[39,648,649],{},"Naviguez normalement",[39,651,652],{},"Les données restreintes n'apparaissent tout simplement pas",[39,654,655],{},"Les actions nécessitant des droits d'administrateur sont désactivées/masquées",[28,657,659],{"id":658},"bonnes-pratiques","Bonnes pratiques",[15,661,662],{},[19,663,664],{},"Commencez par des restrictions, accordez les droits au fur et à mesure :",[76,666,667,670,673],{},[39,668,669],{},"Les nouveaux utilisateurs reçoivent des autorisations minimales",[39,671,672],{},"Ajoutez des droits d'administrateur en fonction des rôles",[39,674,675],{},"Il est plus facile d'accorder des droits que de les révoquer (évite la « dérive des autorisations »)",[15,677,678],{},[19,679,680],{},"Utilisez les rôles pour la visibilité des données :",[76,682,683,686,689],{},[39,684,685],{},"Séparez les sous-traitants (pour empêcher l'espionnage concurrentiel)",[39,687,688],{},"Séparez les étapes de travail (contrôle qualité et personnel de terrain)",[39,690,691],{},"Séparez les types d'actifs (infrastructure et équipement en service)",[15,693,694],{},[19,695,696],{},"Utilisez les droits d'administrateur pour les capacités :",[76,698,699,702,705],{},[39,700,701],{},"Qui peut créer des affectations",[39,703,704],{},"Qui peut modifier l'inventaire",[39,706,707],{},"Qui peut accorder des autorisations",[15,709,710],{},[19,711,712],{},"Documentez l'objectif du rôle :",[76,714,715,718,721],{},[39,716,717],{},"Nom de rôle clair (« Sous-traitant A » vaut mieux que « Rôle 1 »)",[39,719,720],{},"La description explique les restrictions",[39,722,723],{},"Aide les futurs administrateurs à comprendre l'intention",[15,725,726],{},[19,727,728],{},"Audits réguliers des autorisations :",[76,730,731,734,737],{},[39,732,733],{},"Révision trimestrielle des droits d'administration des utilisateurs",[39,735,736],{},"Supprimer les droits inutilisés (changement de rôle de l'utilisateur)",[39,738,739],{},"Vérifier l'appartenance aux rôles (utilisateurs ayant quitté l'organisation)",[15,741,742],{},[19,743,744],{},"Surveiller les tentatives d'accès :",[76,746,747,750,753],{},[39,748,749],{},"Enregistrer les tentatives d'autorisation échouées",[39,751,752],{},"Une série de refus indique qu'un utilisateur tente un accès non autorisé",[39,754,755],{},"Enquêter et ajuster les autorisations ou former l'utilisateur",[15,757,758],{},[19,759,760],{},"Principe du moindre privilège :",[76,762,763,766,769],{},[39,764,765],{},"Accorder les autorisations minimales requises pour la fonction",[39,767,768],{},"Accès temporairement élevé pour les projets (à supprimer après)",[39,770,771,772,774],{},"Super-droits (",[81,773,163],{},") réservés aux administrateurs de confiance",{"title":363,"searchDepth":776,"depth":776,"links":777},2,[778,779,780,786,787,788,789,790,791],{"id":30,"depth":776,"text":31},{"id":65,"depth":776,"text":66},{"id":189,"depth":776,"text":190,"children":781},[782,784,785],{"id":236,"depth":783,"text":237},3,{"id":284,"depth":783,"text":285},{"id":346,"depth":783,"text":347},{"id":399,"depth":776,"text":400},{"id":441,"depth":776,"text":442},{"id":483,"depth":776,"text":484},{"id":549,"depth":776,"text":550},{"id":616,"depth":776,"text":617},{"id":658,"depth":776,"text":659},"Contrôlez ce que les utilisateurs peuvent faire et ce qu'ils peuvent voir. Aptli associe des droits d'administration étendus (qui peut créer, mettre à jour, supprimer) à des restrictions de rôle strictes (filtres côté serveur au niveau des champs qui masquent entièrement les données).","md",{},true,"/fr/user/authorization",{"title":5,"description":792},"fr/user/authorization/index","AuDGm1xVdXpc44bdSuCmiLndctkRgM57OZNT8MAb04E",1780539279048]