Controle d'acces avance
En bref
Au-dela des roles, le controle d'acces avance vous permet d'ajuster les permissions membre par membre et de restreindre l'acces a des ressources specifiques (espaces, sources de donnees, documents, tableurs, calendriers). Utilisez les derogations individuelles pour accorder ou refuser des permissions ponctuelles, et les ACL par ressource pour proteger des donnees sensibles.
Exemple concret : un editeur a normalement acces a tous les espaces de l'ontologie, mais vous souhaitez lui interdire l'acces a l'espace "RH Confidentiel". Ajoutez une derogation de refus sur
ontology.viewpour cette ressource specifique.
Avant de commencer
- Vous devez disposer du role Proprietaire ou Administrateur pour gerer les derogations et les ACL.
- Les roles et permissions doivent etre configures.
Vocabulaire cle
| Terme | Signification | Exemple |
|---|---|---|
| Derogation | Un ajustement de permission specifique a un membre (accorder ou refuser). | Refuser ontology.view pour Marie |
| ACL | Liste de controle d'acces sur une ressource specifique. | Espace "Finance" : acces lecture pour Jean |
| Accorder (Grant) | Ajouter une permission que le role ne donne pas. | Donner workflow.execute a un lecteur |
| Refuser (Deny) | Retirer une permission malgre le role. | Interdire agent.execute a un editeur |
| Expiration | Date a laquelle une derogation cesse automatiquement. | Acces temporaire jusqu'au 31/03/2026 |
Etapes
Gerer les derogations par membre
Les derogations permettent d'ajuster les permissions d'un membre sans modifier son role :
- Ouvrez Parametres > Permissions > onglet Membres.
- Cliquez sur le membre concerne.
- Faites defiler jusqu'a la section Derogations.
- Pour chaque permission, choisissez :
| Action | Effet | Cas d'usage |
|---|---|---|
| Accorder | Le membre obtient cette permission en plus de ses roles. | Donner un acces temporaire a un module. |
| Refuser | Le membre perd cette permission meme si ses roles la donnent. | Bloquer l'acces a un module sensible. |
| Par defaut | La permission depend uniquement des roles attribues. | Revenir au comportement standard. |
Un refus est toujours prioritaire. Si un role accorde ontology.edit mais qu'une derogation refuse cette permission, le membre ne pourra pas modifier l'ontologie.
Configurer une derogation temporaire
Pour accorder un acces limite dans le temps :
- Ajoutez une derogation Accorder sur la permission souhaitee.
- Activez l'option Expiration.
- Selectionnez la date de fin.
- A l'expiration, la derogation est automatiquement retiree et le membre revient aux permissions de ses roles.
Exemple : un prestataire externe a besoin d'executer des workflows pendant 2 semaines. Accordez
workflow.executeavec une expiration au dernier jour de sa mission.
Consulter les permissions effectives
La section Permissions effectives affiche le resultat combine de tous les roles et derogations du membre :
- Ouvrez le detail d'un membre dans l'onglet Membres.
- Consultez la matrice Permissions effectives en bas de page.
- Chaque case indique si la permission est active (provenant d'un role ou d'une derogation).
Gerer les acces par ressource (ACL)
Les ACL controlent l'acces a une ressource individuelle, independamment des permissions globales :
- Ouvrez Parametres > Permissions > onglet Acces donnees.
- Selectionnez le type de ressource :
| Type | Description | Exemple |
|---|---|---|
| Espaces | Les espaces (canvas) de l'ontologie. | Espace "Logistique" |
| Sources | Les sources de donnees Live Data. | Source "API Fournisseur" |
| Documents | Les documents de la base de connaissances. | Document "Procedures internes" |
| Tableurs | Les tableurs collaboratifs. | Tableur "Budget 2026" |
| Calendriers | Les calendriers partages. | Calendrier "Planning equipe" |
- Saisissez l'identifiant de la ressource.
- Cliquez sur Charger pour voir les acces existants.
Ajouter un acces sur une ressource
- Dans la vue ACL de la ressource, cliquez sur Ajouter un acces.
- Selectionnez le membre.
- Choisissez le niveau d'acces :
| Niveau | Description |
|---|---|
| Consultation | Lecture seule sur cette ressource. |
| Edition | Lecture et modification. |
| Administration | Lecture, modification et gestion des acces. |
- Enregistrez. L'acces est applique immediatement.
Retirer un acces
- Dans la liste des acces de la ressource, cliquez sur l'icone de suppression.
- Confirmez le retrait. Le membre perd immediatement l'acces a cette ressource.
Comment les permissions sont calculees
L'ordre de priorite est le suivant :
- Proprietaire : acces total (aucune restriction possible).
- Derogations de refus : toujours prioritaires sur les roles.
- Roles systeme + personnalises : les permissions de tous les roles sont cumulees.
- Derogations d'accord : ajoutent des permissions supplementaires.
- ACL par ressource : restreignent l'acces a des ressources individuelles.
Resultat attendu
Vos acces sont controles a deux niveaux : les permissions globales (roles + derogations) definissent ce qu'un membre peut faire par module, tandis que les ACL par ressource definissent sur quelles donnees specifiques il peut agir. Chaque modification est tracee dans les journaux de securite.
Limites et erreurs courantes
| Situation | Solution |
|---|---|
| Un refus ne s'applique pas | Verifiez que le membre n'est pas Proprietaire (le proprietaire a un acces total non restreint). |
| La derogation a disparu | Elle avait peut-etre une date d'expiration. Recreez-la si necessaire. |
| Un membre accede a une ressource protegee par ACL | Verifiez que l'ACL est bien configuree sur cette ressource specifique. |
| "Acces refuse" malgre un role editeur | Verifiez les derogations : un refus individuel prime sur les permissions du role. |
| L'ACL ne s'affiche pas | Verifiez que la ressource existe et que l'identifiant est correct. |
Changer de workspace
Le selecteur de workspace se trouve dans la barre laterale gauche, juste sous le logo. Il vous permet de basculer entre vos differents espaces de travail en un clic.
Lorsque vous changez de workspace, la page se recharge automatiquement pour afficher les donnees du nouvel espace. Votre choix est memorise : a votre prochaine connexion, vous retrouverez le dernier workspace selectionne.
| Action | Qui peut le faire ? |
|---|---|
| Changer de workspace | Tous les membres |
| Creer un workspace | Proprietaire ou Administrateur |
| Gerer les workspaces | Proprietaire ou Administrateur |
Lorsque la barre laterale est repliee, l'icone du workspace reste visible. Survolez-la pour voir le nom du workspace actif.
Besoin d'aide ?
Ecrivez-nous : Support et contact.