Gérer les administrateurs
Dans Olfeo On premises, il est possible d'avoir deux types d'administrateurs :
des administrateurs "locaux" : ils n'existent que sur Olfeo On premises qui est la source de vérité pour la gestion du mot de passe et de l'authentification.
NB : il est nécessaire d'avoir au moins un compte local.
des administrateurs "provisionnés" : alimentés depuis votre annuaire, leur cycle de vie ("RH" notamment : arrivées, départs) est géré hors d'Olfeo On premises et votre annuaire reste la source de vérité pour la gestion de l'authentification et des mots de passe.
Il est aussi possible de suivre les actions d'administrations avec :
le journal des actions d'administrations : le tableau affiche les actions d'administration effectuées depuis l'interface d'administration, quelque soit le type d’administrateur ou le niveau de droits.
Les comptes administrateurs locaux sont stockés localement et leur cycle de vie est géré entièrement sur Olfeo On premises ; ils n'ont donc aucun lien à priori avec votre organisation ou votre annuaire d'entreprise.
Au moins un compte administrateur local est requis sur Olfeo On premises , notamment pour pouvoir accéder à l'interface d'administration en l'absence d'annuaire ou de disponibilité de l'authentification contre ce dernier.
Rendez vous sur la page de Gestion des administrateurs
 |
Cliquez sur "Créer un nouvel administrateur"
Renseignez les informations nécessaires : login, nom, e-mail et mot de passe.
Longueur et complexité du mot de passe
Olfeo On premises accepte tout mot de passe d'une longueur comprise entre 8 et 384 caractères.
Pour s'adapter à des contextes très variés, aucune contrainte n'est mise sur sa complexité, celle-ci relève de votre responsabiliité.
N'hésitez pas à consulter les recommandations de l'ANSSI à ce sujet.
Sélectionnez le rôle de cet administrateur.
Définissez l'étendue du scope de populations auquel aura accès l'administrateur.
Par défaut, la visibilité est accordée sur l'ensemble des populations présentes et à venir. Dans l'exemple ci-dessous, on restreint la visibilité de l'administrateur métier à deux groupes de l'annuaire.
NB : les administrateurs "totaux" ne peuvent pas être limités en scope.
Pour accéder au détail d'un administrateur, cliquez sur l'icône de consultation depuis la liste des administrateurs locaux.
La page de détail d'un compte administrateur local permet de visualiser et de modifier aisément :
ses informations générales
ses permissions
le scope de populations auquel il a droit
 |
Cliquez sur l'icône de modification pour accéder à l'étape correspondante de l'assistant d'édition du compte administrateur.
Vous pouvez modifier tout ou partie des propriétés d'un administrateur local au travers de l'assistant. Celui-ci est accessible depuis la liste des administrateurs ou depuis la page de détail d'un administrateur.
La seule propriété non-modifiable est l'identifiant (login) de l'utilisateur.
Prise en compte de modifications
Veuillez noter que les modifications apportées à un administrateur ne seront prises en compte de son coté qu'à compter de la prochaine connexion explicite de cet administrateur à l'interface.
Pour supprimer un administrateur local, cliquez sur la commande d'accès aux actions de second niveau et cliquez sur l'icône de Suppression.
Un avertissement vous sera proposé pour confirmer l'action.
Danger
Le compte de cet administrateur sera supprimé et ne pourra pas être récupéré.
En cas de doute, privilégiez la désactivation du compte.
La journalisation des actions d'administration précédemment réalisées par cet administrateur n'est cependant pas affectée.
Il est possible de définir des groupes de votre annuaire d'entreprise qui disposeront automatiquement de comptes et pourront s'authentifier sur Olfeo On premises en utilisant leur login et mot de passe d'annuaire.
Pré-requis
Avant de pouvoir définir des groupes d'administrateurs de votre annuaire, vous devez avoir synchronisé un annuaire avec au moins un groupe, paramétré l'authentification et défini un domaine d'entreprise sur cet annuaire.
Provisionner des groupes d'administration depuis votre annuaire d'entreprise revient à peupler des groupes d'administrateurs homogènes de façon automatisée et à déléguer l'authentification de ces administrateurs à votre annuaire.
Ainsi, une fois que vous avez ajouté un groupe d'administrateurs, toute personne de ce groupe se connectant sur l'interface d'administration d'Olfeo On premises sera invitée à s'authentifier avec son login (précédé du domaine) et son mot de passe d'annuaire. S'il appartient bien au groupe et que l'authentification est réussie, cet administrateur bénéficiera automatiquement des droits et permissions du groupe.
Ainsi si un administrateur change de groupe (suite à un changement de poste par ex.) ou s'il quitte votre organisation (et que son compte est supprimé ou desactivé par ex.), son compte sera automatiquement supprimé et son accès à l'interface d'administration refusé.
Un utilisateur (et donc un administrateur provisionné) de votre annuaire peut appartenir à plusieurs groupes : un principal et plusieurs secondaires.
Si plusieurs groupes d'administrateurs sont ajoutés et qu'un administrateur appartient à plusieurs groupes, il bénéficiera de la somme des droits des groupes (permissions et scope).
Également, si un administrateur n'a qu'un rattachement secondaire à un groupe d'administrateurs, par exemple: il appartient en principal à une direction métier et en secondaire à un groupe d'administration de cette direction- alors, si vous avez ajouté ce groupe d'administrateurs aux administrateurs de votre Olfeo On premises, il bénéficiera de droits d'administration.
Il n'est pas possible de provisionner un utilisateur isolé. Pour d'évidentes raisons de sécurité, ce ne serait pas souhaitable.
Pour ajouter des administrateurs provisionnés depuis l'annuaire de votre organisation, procédez comme suit
Rendez-vous sur la page de gestion des administrateurs provisionnés et cliquez sur la commande "Importer un groupe d'administrateurs" pour lancer l'assistant de gestion des administrateurs provisionnés.
 |
Pré-requis
Avant de pouvoir définir des groupes d'administrateurs de votre annuaire, vous devez avoir synchronisé un annuaire avec au moins un groupe, paramétré l'authentification et défini un domaine d'entreprise sur cet annuaire.
Commencez par sélectionner un ou plusieurs groupes de votre annuaire (Attention : si vous sélectionnez plusieurs groupes à cette étape, ils bénéficieront alors tous des mêmes droits et scope).
Définissez le niveau de permission qu'auront l'ensemble des membres de ce groupe.
Les permissions définies s'appliqueront à tous les membres du groupe.
Définissez ensuite le scope de visibilité de ce groupe sur votre annuaire en sélectionnant tout ou partie de votre annuaire.
Le scope défini s'appliquera à tous les membres du groupe.
Cliquez sur Enregistrer.
Depuis la page présentant la liste des groupes d'administrateurs, vous pouvez :
visualiser la liste des groupes d'administrateurs, leur niveau de permissions ou de scope de visibilité (totale ou partielle)
activer ou désactiver globalement un groupe
modifier les propriétés du groupe (permissions, scope)
supprimer le groupe - accédez à la commande de suppression depuis le second niveau
 |
La suppression d'un groupe d'administrateurs provisionnés peut être faite directement depuis la liste des groupes d'administrateurs.
Attention
Une fois supprimé, les membres de ce groupe n'auront plus accès à l'interface d'administration de Olfeo On premises lors de leur prochaine tentative d'authentification.
Les données d’historique des actions d'administration réalisées par ces membres n'est pas affectée.
Pour répondre à différents cas d'usages, trois niveau de droits sont disponibles dans Olfeo On premises.
|
Administrateur : ce niveau de droits dispose de toutes les permissions en lecture comme en écriture) sur l'ensemble de la configuration d'Olfeo On premises, technique comme métier.
Ce niveau de droits est nécessaire pour des administrateurs réseaux et sécurité (configuration du proxy, intégrations, annuaires etc.) et permet aussi de configurer les éléments métier (politiques de filtrage, listes de domaines etc.).
Administrateur métier : ce niveau de droits permet d'agir sur l'ensemble des éléments métier (politiques de filtrage, pages de sensibilisation, statistiques etc.) mais ne permet pas de modifier les éléments de configuration technique d'Olfeo On premises. La consultation des statistiques est possible (restreinte au scope de population de l'administrateur, le cas échéant).
Ce niveau de droits est indiqué pour des administrateurs dont le rôle est limité à la mise en place de politiques de sécurité et de filtrage par ex. dans le cas où une séparation organisationnelle existe dans la sécurité entre administration technique et métier, dans le cas d'administrateurs délégués dans des directions métier ou pour un helpdesk.
Lecteur : ce niveau de droits permet de consulter l'ensemble des éléments de configuration (technique ou métier). La consultation des statistiques est possible (restreinte au scope de population de l'administrateur, le cas échéant).
Ce niveau de droits est indiqué pour les administrateurs ne devant avoir qu'un rôle de consultation (audits, contrôles de mise en oeuvre) et/ou devant pouvoir accéder aux statistiques sans pour autant pouvoir toucher à la configuration.
Pour des raisons de confidentialité, Olfeo On premises permet de limiter la visibilité d'un administrateur sur un sous-ensemble de groupes ou d'utilisateurs de l'annuaire.
Prenons le cas fictif d'une organisation équipée d'Olfeo On premises administrée globalement par Sam (droits administrateur) et comprenant deux directions métier A et B, administrées respectivement par les administrateurs métier Alice et Bob.
Ainsi, dans le cas où Alice ne doit pouvoir avoir accès qu'aux politiques de filtrage ou aux statistiques de la direction A et Bob quà celui de la direction B, il est possible de définir pour Alice un scope de visibilité sur la direction A et pour Bob un scope sur la direction B.
Ainsi :
Alice ne verra et ne pourra modifier que des règles d'accès portant sur la direction A dans le moteur de règles d'accès ou de contenus- Bob que celles de la direction B.
Alice ne verra que la direction A dans le moteur de règles utilisateur -Bob la direction B.
Alice ne verra que les statistiques de trafic des utilisateurs de la direction A, Bob celles de la direction B.
Sam en revanche, verra bien les politiques des deux directions, les utilisateurs des deux direction et leurs statistiques.
Important
Par nature, la définition d'un scope de visibilité n'a de sens que pour des administrateurs avec les niveaux de droits suivants : administrateur métier ou lecteur.
Pour limiter le scope de visibilité :
Accédez à l'assistant de gestion des administrateurs et avancez à l'étape 3.
Sélectionnez le ou les groupes.
Enregistrez
Prise en compte des modifications
La prise en compte des nouveaux droits et scope est faite à la connexion explicite suivante de l'administrateur concerné.