Bienvenue dans ce second de trois articles consacrés à l'authentification. Nous verrons ici ensemble certains paramétrages permettant d'affiner certains aspects de l'expérience de vos utilisateurs sur la plateforme et d'automatiser certaines fonctions.
Nous vous conseillons d'avoir lu l'article dédié aux utilisateurs et groupes avant de vous lancer dans la lecture de celui-ci.
Tout d'abord, assurez-vous que votre compte utilisateur possède bien la permission globale intitulée "Peut éditer les paramètres du site".
Pour accéder aux paramètres d’authentification, ouvrez le menu d’administration et cliquez sur "Authentification > Paramètres et services d'authentification”.
Sommaire
2/ PARAMÈTRES
Résumé de la situation
Dans ce premier onglet vous trouverez un résumé des services d'authentification activés, ainsi qu'une indication de la priorité des services. Dans le cadre de droite vous verrez les services d'informations (services permettant de récupérer des informations sur l'utilisateur tels que LDAP ou SAML).
Vous y trouverez également le lien vers la page d'authentification locale (https://votre_url_nudgis/login-local/), qui permet de se connecter sans passer par les services d'authentification externes.
Paramètres
Le premier cadre de cet onglet contient des paramètres généraux relatifs à l'authentification.
- Délai d'expiration des sessions : Passé ce délai l'utilisateur devra se reconnecter au site, la valeur par défaut est de 40h (144000 secondes).
- Clôturer les sessions après la fermeture du navigateur : Définit si l'utilisateur doit se reconnecter après avoir fermé puis rouvert son navigateur.
- Authentification obligatoire : Force l'authentification pour naviguer sur le site. L'activation de ce paramètre rend obsolètes les permissions pour les utilisateurs non authentifiés.
- Rendre les vignettes publiques : Définit si les vignettes des vidéos et des chaînes sont visibles par les utilisateurs non-authentifiés.
- Activer les champs d'adresse : Permet d'ajouter des champs d'adresses postales dans la configuration des comptes utilisateurs.
- Liste des emails pour les nouveaux comptes : Dans ce champ, ajoutez les adresses emails qui seront notifiées lorsqu'un nouveau compte utilisateur est créé sur la plateforme (indiquez une adresse par ligne).
- Intervalle de mise à jour des utilisateurs : Délai minimum entre deux mises à jour des informations des utilisateurs. Les informations comprennent celles remontées par le service LDAP si l'option est activée, l'ajout des utilisateurs aux groupes d'authentification, et l'attribution automatique des utilisateurs aux groupes.
- Stocker les utilisateurs dans les statistiques : Définit si les utilisateurs doivent être stockés dans les statistiques.
- Autoriser l'usurpation : Si cette option est activée, les comptes ayant la permission d'éditer les utilisateurs et les groupes pourront utiliser la fonctionnalité d'usurpation, qui permet de simuler ce que voit un utilisateur. Cette fonctionnalité est principalement appliquée dans une optique de débogage.
- Autoriser les administrateurs de groupe à créer des utilisateurs : Cette option est nécessaire pour que les administrateurs de groupes puissent créer des utilisateurs lorsqu'ils n'existent pas (Veuillez consulter l'article précédent sur l'authentification, et plus précisément le chapitre 2A "Les groupes locaux").
Le second cadre rassemble les paramètres relatifs aux chaînes personnelles. Chacune de ces chaînes est associée à un compte utilisateur, qui doit posséder la permission "Peut avoir une chaîne personnelle".
Le premier paramètre permet de définir dans quelle chaîne parente seront stockées les chaînes personnelles des utilisateurs.
Les deux paramètres suivants sont relatifs au système de permissions. Ils permettent d'appliquer la permission d'accès à "Non" pour les utilisateurs authentifiés et non-authentifiés. Le but est d'éviter que les comptes autorisés à visiter la chaîne parente n'aient accès aux chaînes personnelles des autres utilisateurs et à leurs médias.
Vous pouvez ensuite définir si les chaînes doivent être paramétrées en "Non listé" à leur création. Les chaînes non listées ne sont pas visibles en navigant sur le site ni dans le moteur de recherche sauf pour les utilisateurs possédant la permission de les éditer. Les utilisateurs n'ayant que la permission d'accès devront connaître son lien pour voir la chaîne.
Enfin, la dernière option permet de supprimer les chaînes personnelles et leurs contenus lors de la suppression de l'utilisateur associé.
La section suivante fait référence à l'API de Nudgis.
La clé d'API maître est notamment utilisée par les systèmes Worker qui sont en charge des opérations sur les médias (transcodages, détection de diapositives,...) et par certaines applications externes. Il est donc déconseillé de la modifier. Si toutefois elle était amenée à être compromise vous pouvez en générer une nouvelle en vidant le champ puis en sauvegardant les changements. Vous devrez cependant modifier la configuration des Workers et des applications qui l'utilisent.
Vous pouvez restreindre l'utilisation de la clé d'API maître à une liste d'adresses IP (une par ligne). Si une IP non autorisée tente d'utiliser la clé, un email sera envoyé aux administrateurs du site (utilisateurs possédant la permission d'éditer les paramètres du site).
Si vous décidez d'utiliser la restriction d'IP, pensez bien à ajouter les adresses IP des Workers dans la liste. Dans le cas contraire de nombreuses fonctionnalités critiques de Nudgis ne seront plus opérationnelles.
Enfin vous pouvez choisir si les utilisateurs peuvent voir ou non leur propre clé d'API.
Voyons maintenant ce que permettent les paramètres relatifs aux intervenants.
- Envoyer un courriel aux intervenants : Lorsque le média est prêt à être lu, les utilisateurs renseignés en tant qu'intervenants recevront un email pour les en informer.
- Autoriser l'édition par les intervenants (e-mail) : Donne la permission d'édition aux utilisateurs dont l'adresse email est renseignée dans le champ "Intervenant" du média.
- Autoriser l'édition par les intervenants (identifiant) : Donne la permission d'édition aux utilisateurs dont l'identifiant d'intervenant est renseignée dans le champ "Intervenant" du média.
- Donner le droit d'accès aux intervenants : En addition aux deux paramètres précédents, celui-ci accorde également le droit d'accès aux intervenants.
- Comportement lors de l'ajout de médias avec la cible de chaîne "mscspeaker" : L'argument mscspeaker permet d'uploader des médias dans la chaîne personnelle de l'intervenant sans avoir à renseigner l'oid de la chaîne (utilisation avec les enregistreurs Miris Capture ou via l'API). Cette option permet de définir le comportement de Nudgis si l'intervenant n'existe pas dans la base utilisateur. Trois options sont disponibles :
- 1/ Ne rien faire : La vidéo sera placée dans la chaîne par défaut.
- 2/ Créer uniquement le compte utilisateur : Si aucun mécanisme n'a été paramétré pour donner la permission de posséder une chaîne personnelle à la volée à l'utilisateur, la vidéo sera placée dans la chaîne par défaut.
- 3/ Créer le compte utilisateur et la chaîne personnelle : La vidéo sera placée dans la chaîne personnelle de l'utilisateur créé.
- Définir le créateur en tant qu'intervenant : Si cette option est activée, l'utilisateur ayant créé le média sera ajouté à la liste des intervenants.
- Contenu de l'email à l'intervenant : Permet de modifier l'email envoyé aux intervenants lorsque la vidéo est prête à être lue (cf. premier point de cette liste).
- Quota de stockage par défaut des utilisateurs : Vous pouvez appliquer un quota de stockage par défaut aux utilisateurs. Celui-ci compte tous les médias présents dans sa chaîne personnelle ainsi que tous les médias où il est défini en tant qu'intervenant.
- Rejeter les médias hors quota : Par défaut, si un utilisateur a encore de la marge sur son quota, il pourra ajouter un média même si son quota sera dépassé une fois le média ajouté. Cette option permet d'éviter ce cas de figure.
- Stockage minimum disponible de l'utilisateur avant l'envoi d'un courriel d'avertissement : C'est le seuil à atteindre pour avertir l'utilisateur que son quota est bientôt atteint.
- Stockage disponible requis pour enregistrer : Quantité de stockage disponible nécessaire pour que l'utilisateur soit autorisé à enregistrer avec le WebStudio.
Viennent ensuite deux paramètres concernant l'historique des actions des utilisateurs. Le premier permet de dupliquer les journaux (qui sont enregistrés par défaut uniquement en base de donnée) dans des fichiers.
Le second définit la période de rétention de ces journaux. Cette option est particulièrement utile pour le respect de règles telles que le RGPD.
Et, finalement, la dernière fonctionnalité de cette page concerne la suppression automatique des utilisateurs inactifs. Le processus de suppression se lance toutes les nuits et supprime tous les utilisateurs qui ne se sont pas connectés sur la plateforme pendant une certaine période.
Le premier paramètre permet d'activer ou de désactiver la fonctionnalité, le second permet de définir la période après laquelle les utilisateurs ne s'étant pas connectés seront supprimés.
Il est possible d'avertir les utilisateurs par email que leur compte sera supprimé, vous pouvez également limiter l'envoi de cette notification aux utilisateurs appartenant à certains groupes. Utilisez des expressions régulières dans ce champ pour définir les groupes concernés.
Il est également possible d'envoyer un rapport quotidien des comptes sur le point d'être supprimés aux administrateurs. Définissez le délai entre les notifications et la suppression effective dans ce dernier champ.
Les profils de permissions
Cette section est couverte dans l'article dédié aux permissions.
Attribution de groupes
Passons directement au dernier onglet concernant l'attribution automatique à des groupes, nous verrons la configuration des différents services d'authentification dans le prochain et dernier article de ce triptyque.
La fonctionnalité d'attribution de groupe permet d'associer des utilisateurs automatiquement à des groupes en fonction de leurs attributs internes ("username" (nom d'utilisateur), "email" (adresse e-mail), "first_name" (prénom), "last_name" (nom), "speaker_id" (identifiant d'intervenant), "company" (société), "position" (position), "country" (pays)) ou externes (récupérés par des services tels que LDAP).
Le format à utiliser pour construire les règles est le YAML.
Pour créer une nouvelle règle, cliquez sur "Ajouter une règle" :
Une fenêtre en surimpression s'ouvre alors, voyons ensemble ce que nous pouvons y paramétrer :
La première option permet d'activer ou désactiver la règle. Dans le deuxième champ, sélectionnez le groupe auquel vous souhaitez ajouter les utilisateurs impactés par la règle.
L'option "Désassigner" permet de retirer du groupe les utilisateurs ne respectant pas la règle et qui ont été ajoutés au groupe par une règle automatique. Vous pouvez forcer la condition à respecter la casse avec le paramètre suivant.
Enfin, la condition au format YAML définit la règle qui sera appliquée. Nous vous invitons à lire attentivement l'info-bulle de la condition qui apporte des exemples d'utilisation ainsi qu'un certain nombre de précisions sur le fonctionnement des règles.
Maintenant que nous avons couvert les paramètres d'authentification, il est temps de passer à la configuration des différents services d'authentification disponibles dans Nudgis.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.