ObjectOSEnsembles d'autorisations
Accorder des autorisations d'application, d'objet, de champ et système.
Ensembles d'autorisations
Les ensembles d'autorisations constituent le principal moyen d'accorder des capacités. Ils peuvent être attribués directement aux utilisateurs ou indirectement via des rôles.
Ce que contrôlent les ensembles d'autorisations
| Type d'autorisation | Exemples |
|---|---|
| Accès aux applications | L'utilisateur peut ouvrir le CRM ou Console |
| Autorisations d'objet | Créer, lire, mettre à jour, supprimer des enregistrements |
| Autorisations de champ | Lire ou mettre à jour des champs sélectionnés |
| Autorisations système | Accéder à Console, exécuter des rapports, exporter des données |
| Autorisations d'intégration | Utiliser des clés API, des webhooks ou des actions d'administration |
Autorisations d'objet
Les autorisations d'objet répondent à la question :
Can this user perform this operation on this object at all?Les attributions d'ensembles d'autorisations utilisent ces noms d'indicateurs (tels qu'appliqués par l'évaluateur d'autorisations du plugin de sécurité) :
| Indicateur | Signification |
|---|---|
allowRead | Lire les enregistrements autorisés par les règles d'accès aux enregistrements |
allowCreate | Créer des enregistrements |
allowEdit | Mettre à jour les enregistrements autorisés par les règles d'accès aux enregistrements |
allowDelete | Supprimer les enregistrements autorisés par les règles d'accès aux enregistrements |
viewAllRecords | Lire tous les enregistrements de l'objet, en contournant l'accès aux enregistrements |
modifyAllRecords | Mettre à jour ou supprimer tous les enregistrements de l'objet, en contournant l'accès aux enregistrements ; implique viewAllRecords pour les lectures |
L'accès aux enregistrements reste pertinent
sauf si viewAllRecords ou modifyAllRecords contourne la
limite normale au niveau des lignes. Réservez ces indicateurs aux
ensembles d'autorisations administratifs — ils constituent en pratique une attribution de super-utilisateur
à l'échelle du locataire pour cet objet.
Autorisations système
Les autorisations système concernent les actions de plateforme telles que :
- l'accès à Console ;
- la gestion des utilisateurs ;
- la gestion des rôles et des ensembles d'autorisations ;
- l'exécution de rapports ;
- l'exportation de rapports ;
- la gestion des intégrations ;
- la consultation des journaux d'audit.
Séparez les autorisations système des autorisations d'objet métier afin que les administrateurs puissent les auditer facilement.
Ensembles recommandés
Commencez avec quelques ensembles d'autorisations nommés :
| Ensemble d'autorisations | Objectif |
|---|---|
| Utilisateur de base | Se connecter et accéder à l'application principale |
| Administrateur de configuration | Gérer les utilisateurs, les rôles, les paramètres et les diagnostics |
| Lecteur de rapports | Consulter les rapports et les tableaux de bord |
| Opérateur d'intégration | Gérer les webhooks et les clés API |
| Utilisateur du support | Lire/mettre à jour les objets de support |
Ajoutez ensuite des ensembles spécifiques au domaine pour l'application du client.
Sécurité des champs (annexe)
Les ensembles d'autorisations portent également des attributions au niveau des champs. Même lorsqu'un utilisateur peut lire un enregistrement, des champs individuels peuvent être masqués ou rendus en lecture seule.
Deux modes
| Mode | Effet |
|---|---|
| Masqué | Le champ est entièrement supprimé des réponses de l'API et des vues de Console |
| Lecture seule | Le champ est renvoyé mais les écritures sont rejetées |
Où il est appliqué
Le même évaluateur qui vérifie les autorisations d'objet applique les règles de champ sur chaque chemin — REST, ObjectQL, formulaires Console générés, exportations. Il n'existe aucune « porte dérobée » via une API de plus bas niveau.
Schémas typiques
| Cas d'usage | Recommandation |
|---|---|
Données RH sur sys_user (salaire, numéro de sécurité sociale) | Masquer pour tout le monde sauf un ensemble d'autorisations HR |
| Identifiants de systèmes externes | Lecture seule pour le support, modifiable pour les opérateurs d'intégration |
Coût interne vs. prix client sur product | Masquer cost aux commerciaux, le rendre visible aux équipes financières |
| Champ de notes contenant des RPS | Masquer sauf si l'ensemble d'autorisations inclut le rôle clinique pertinent |
Conseils de rédaction
- Privilégiez par défaut le masquage plutôt que la lecture seule lorsque le champ contient des données sensibles — la lecture seule laisse tout de même fuiter la valeur dans les réponses et les journaux.
- Regroupez les règles de champ dans des ensembles d'autorisations qui correspondent à un rôle réel
(
HR Manager,Finance Read-only) au lieu d'inventer un ensemble par champ — c'est plus facile à auditer. - Pour les cas d'usage de conformité, associez la sécurité des champs à la rétention des journaux d'audit afin de pouvoir répondre après coup à la question « qui a vu cette ligne ? ».