4.14. Utilisation des groupes de destinataires¶
Les groupes de destinataires sont une nouvelle fonctionnalité IDERI note qui a été introduit avec la version 2.3. Le concept des groupes de destinataires complète le système de gestion des droits d’accès dans IDERI note d’une manière sensée et permet de déterminer de manière très fine les principaux de sécurité (c’est-à-dire les utilisateurs et les groupes) auxquels d’autres principaux sont autorisés à envoyer des messages de certains types. En utilisant le schéma de droits d’accès décrit dans la section 4.4, il est, par exemple, impossible de restreindre les destinataires potentiels pour un créateur de message. Il est également impossible de restreindre un créateur de message à envoyer uniquement des messages d’information, mais aucun message d’avertissement ni message d’alerte. De plus, en utilisant le schéma de droits d’accès présenté dans cette section, il est impossible d’empêcher un créateur de message de créer des messages avec des notifications de réception ou d’accusé de réception (notez que dans de nombreuses entreprises, il n’est pas facile d’utiliser des notifications de réception ou d’accusé de réception car ce serait une collecte de données personnelles et donc une violation de la politique de protection de la vie privée).
En d’autres termes, les paramètres d’accès tels qu’introduits dans la section 4.4 sont des paramètres globaux : les principaux de sécurité qui bénéficient du droit d’accès “Créer un nouveau message”, sont autorisés à envoyer tout type de message à n’importe quel destinataire du réseau avec tout type de notification requis. Inversement, les principaux qui se voient refuser le droit d’accès “Créer un nouveau message” ne sont pas autorisés à envoyer de message à quiconque sur le réseau. Pour de nombreux environnements, un tel schéma de droits d’accès est absolument suffisant. Cependant, dans des environnements plus vastes, un schéma de contrôle d’accès plus fin pour l’autorisation de création de messages est souhaitable. C’est là que les ensembles de destinataires entrent en jeu.
Au cours de l’exemple suivant, nous utiliserons à nouveau l’environnement des sections précédentes. Notre objectif sera de permettre à l’utilisateur Albert.Tross d’envoyer des messages IDERI note à ses collègues Maria.Cron et Arno.Nym, mais à personne d’autre. Il ne devrait également pouvoir leur envoyer que des informations et des messages d’avertissement, mais pas de messages d’alerte. Il devrait être autorisé à créer des messages avec des notifications de réception et d’accusé de réception. Dans ce qui suit, nous supposons qu’Albert.Tross n’est pas membre du groupe des administrateurs locaux sur notre serveur IDERI note SV01, ni membre du groupe ‘IDERI note Admins’ de la section 4.4, que nous avons accordé le droit de créer des messages IDERI note. Si Albert.Tross lance maintenant l’administrateur IDERI note et tente de créer un message, il recevra un message d’erreur “accès refusé”. Si Albert.Tross essaie plutôt de déterminer ses droits d’envoyer des messages en utilisant le bouton intitulé “Afficher mes destinataires” dans le panneau “Groupes de destinataires” de l’onglet “Paramètres” du ruban, il recevra une boîte de message comme dans la figure 4.56.
Figure 4.56: Albert.Tross n’est pas autorisé à créer de message
Afin d’accorder à Albert.Tross le droit d’envoyer des messages à ses collègues, un utilisateur disposant du droit d’accès “Modifier les destinataires définit les données”, comme brièvement mentionné dans la section 4.4, doit lancer l’administrateur IDERI note et créez un nouveau jeu de destinataires. Dans notre environnement de la section 4.4, ce sera la tâche d’Adam.Sam de le faire, car en tant que membre du groupe d’administrateurs locaux de notre serveur IDERI note SV01, il est autorisé à créer un nouveau jeu de destinataires par défaut. Pour ce faire, Adam.Sam appuie sur le bouton intitulé “Afficher les ensembles de destinataires” dans le panneau “Destinataires sécurisés” de l’onglet “Paramètres” du ruban et sur une boîte de dialogue comme dans la figure 4.57 sera affiché.
Figure 4.57: Aperçu des groupes de destinataires
Cette figure montre qu’aucun ensemble de destinataires n’a été créé jusqu’à présent dans notre environnement. Si Adam.Sam appuie maintenant sur le bouton intitulé “Ajouter”, une boîte de dialogue comme dans la figure 4.58 sera affiché. Dans cette boîte de dialogue, Adam.Sam fournira un nom pour le nouvel ensemble de destinataires, qui dans notre cas sera “Utilisateurs du message”. Il ajoute également Arno.Nym et Maria.Cron comme destinataires et Albert.Tross comme principal autorisé à envoyer des messages à ces deux destinataires. En outre, Adam.Sam coche les cases à cocher pour les types de messages d’information et d’alerte, mais pas pour le type de message d’alerte, et coche également les deux cases à cocher pour les notifications de réception et d’accusé de réception, comme illustré dans la figure 4.58.
Figure 4.58: Adam.Sam crée des groupes de destinataires
Si Adam.Sam appuie maintenant sur le bouton “OK” dans cette boîte de dialogue, un nouveau groupe de destinataires sera créé et la boîte de dialogue de présentation des ensembles de destinataires sera mise à jour comme dans la figure 4.59.
Figure 4.59: Aperçu mis à jour des groupes de destinataires
Si plusieurs groupes de destinataires sont créés au fil du temps, l’utilisateur peut rapidement obtenir une vue d’ensemble du contenu des groupes de destinataires dans cette boîte de dialogue en sélectionnant un groupe de destinataires dans la zone de liste sur le côté gauche. Si Adam.Sam appuie maintenant sur le bouton intitulé “Propriétés”, une feuille de propriétés comme dans la figure 4.60 apparaîtra.
Figure 4.60: Paramètres généraux des groupes de destinataires
La première page de cette feuille contient les paramètres généraux de ce groupe de destinataires, mais puisque le groupe de destinataires est géré par le serveur IDERI note en tant qu’objet protégé à l’aide d’un descripteur de sécurité, les paramètres de sécurité de ce groupe de destinataires peuvent être inspectés ou manipulés sur la deuxième page de cette feuille de propriétés, comme illustré dans la figure 4.61.
Figure 4.61: Paramètres de sécurité des destinataires définis pour les utilisateurs authentifiés
Comme on peut le voir clairement sur cette figure, les utilisateurs authentifiés n’ont que le droit de lire le contenu du groupe de destinataires. L’utilisateur Adam.Sam est le propriétaire de ce groupe de destinataires et a donc le droit de lire, d’écrire et de supprimer le groupe de destinataires comme le montre la figure 4.62.
Figure 4.62: Les destinataires par défaut définissent les droits du propriétaire
Albert.Tross a le droit exclusif d’envoyer des messages aux destinataires du groupe de destinataires, comme le montre la figure 4.63.
Figure 4.63: Albert.Tross a le droit exclusif d’envoyer des messages aux destinataires du groupe de destinataires
Enfin et surtout, les membres du groupe des administrateurs locaux du serveur IDERI note dispose des mêmes droits d’accès que le propriétaire du groupe de destinataires, comme illustré dans la figure 4.64.
Figure 4.64: Droits d’accès par défaut du groupe d’administrateurs de la IDERI note Serveurs pour l’ensemble de destinataires
Si maintenant, après que Adam.Sam a créé le groupe de destinataires, Albert.Tross lance l’administrateur IDERI note à nouveau et essaie de déterminer ses droits d’envoyer des messages en utilisant le bouton intitulé “Afficher mes destinataires” sur le panneau “Destinataires sécurisés” de l’onglet “Paramètres” des rubans, il recevra une boîte de dialogue comme dans la figure 4.65.
Figure 4.65: Albert.Tross a désormais le droit d’envoyer des messages à ses collègues
Albert.Tross a maintenant le droit d’envoyer des messages à ses collègues Dans cette boîte de dialogue, Albert.Tross peut facilement déterminer quel type de message il est autorisé à envoyer à quels utilisateurs ou groupes. En sélectionnant différents nœuds dans l’arborescence avec les différents types de messages sur le côté gauche, il peut facilement déterminer les destinataires possibles dans la zone de liste sur le côté droit de la boîte de dialogue. Si plus tard, des groupes de destinataires supplémentaires sont créés qui accordent le droit d’envoyer des messages à Albert.Tross ou à un groupe dont Albert.Tross est membre, alors cette boîte de dialogue affichera toujours les droits d’accès cumulés d’Albert.Tross.
Si maintenant Albert.Tross essaie de créer un message d’information ou un message d’avertissement pour les destinataires Maria.Cron ou Arno.Nym, il réussira maintenant à le faire. Cependant, veuillez noter que les destinataires d’un message nouvellement créé doivent être fournis exactement de la même manière qu’ils existent dans un ou plusieurs ensembles de destinataires, car dans le cadre de la vérification du droit d’accès d’envoi aux destinataires d’un message aucune appartenance à un groupe AD de destinataires individuels dans des groupes AD destinataires d’un ensemble de destinataires ne sera évaluée. Donc, si par exemple, Albert.Tross a le droit d’envoyer des messages au groupe d’utilisateurs de domaine au lieu des destinataires individuels Maria.Cron et Arno.Nym et qu’il essaie d’envoyer un message uniquement à Arno.Nym, alors cela échouera avec une erreur d’accès refusé, bien qu’Arno.Nym soit membre du domaine. Dans le cadre de la vérification d’accès d’un message nouvellement créé, le serveur IDERI note vérifie d’abord s’il existe un droit global d’envoyer des messages accordés ou refusés au créateur du message, comme expliqué dans la section 4.4. Après cela, il vérifie pour chaque destinataire du nouveau message s’il existe en tant que destinataire dans un groupe de destinataires auquel le créateur du message a le droit d’envoyer le type de message demandé. Donc, si seul le groupe d’utilisateurs du domaine existe dans un groupe de destinataires auquel Albert.Tross est autorisé à envoyer des messages et si Albert.Tross fournit Arno.Nym comme destinataire du message pour un nouveau message, ce destinataire ne sera trouvé dans aucun destinataire. défini et donc Albert.Tross sera refusé pour créer le message.