Comment les paramètres RBAC sont appliqués aux groupes imbriqués

  • Last update on June 3rd, 2025

Les paramètres de contrôle d’accès basé sur les rôles (RBAC) ont été conçus pour répondre à des scénarios spécifiques impliquant des groupes imbriqués d’opérateurs

Prenons un exemple. Considérons deux groupes :

  • Groupe A, qui inclut User1 et User2
  • Groupe B, imbriqué dans le groupe A, contenant User3 et User4

Lorsque des rôles comme « Administrateur du Tenant » sont ajoutés au Groupe A, la configuration initiale est la suivante :

  • Le Groupe A, désormais défini comme « Administrateur du Tenant », est créé dans notre système d’authentification.
  • Le Groupe B, également défini comme « Administrateur du Tenant », est créé dans notre système d’authentification.

Ces deux groupes, une fois créés, ne contrôlent que les utilisateurs directs. Cette approche aide à limiter la complexité. Par exemple, si vous souhaitez retirer le rôle « Administrateur du Tenant » à User1 et User2, vous disposez de deux options :

  1. Intervenir directement au niveau de l’utilisateur
  2. Retirer le rôle « Administrateur du Tenant » du Groupe A, ce qui se révèle plus efficace si vous gérez des centaines d’utilisateurs.

Bien que la structure paraisse simple, gérer des cas comportant 5 ou 6 groupes imbriqués (parfois de manière récursive, comme le permet Microsoft) peut devenir complexe. C’est pourquoi le choix de conception est de rester simple afin d’éviter ce type de complexité.

La configuration initiale démarre depuis le niveau supérieur (Groupe A), mais toute modification ultérieure est gérée au niveau du groupe imbriqué.

Par exemple, si vous décidez ultérieurement de modifier le rôle des utilisateurs du Groupe A et de leur attribuer le rôle « Management », cela ne concernera que User1 et User2. User3 et User4, membres du Groupe B imbriqué, ne seront pas impactés par ce changement.

Conclusion

L’un des principaux cas d’usage des groupes d’opérateurs dans CoreView est leur utilisation dans les workflows CoreView. Cette fonctionnalité permet d’automatiser l’onboarding des opérateurs CoreView.

Une fois ces groupes ajoutés, tous les membres deviennent automatiquement opérateurs. Cela signifie qu’ils peuvent effectuer toutes les tâches attribuées aux opérateurs dans votre système.

De plus, ces nouveaux opérateurs héritent des rôles qui ont été attribués à leurs groupes respectifs. Autrement dit, si un groupe bénéficie de permissions ou de rôles spécifiques dans votre système, tous les opérateurs issus de ce groupe reçoivent automatiquement ces mêmes droits. Cela simplifie et rend plus efficace l’attribution des rôles et des permissions au lieu de procéder manuellement opérateur par opérateur.

 

a