Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

gestion des utilisateurs #515

Open
granouil opened this issue Feb 3, 2021 · 13 comments
Open

gestion des utilisateurs #515

granouil opened this issue Feb 3, 2021 · 13 comments
Assignees
@LaboCNIL
Labels
FEATURE REQUEST IN REVIEW (CNIL) WAITING FOR NEW RELEASE

Comments

@granouil
Copy link

granouil commented Feb 3, 2021

Bonjour,
ayant installé le pia en ligne sur un serveur. je ne trouve pas la documentation comment sont gérés les droits des utilisateurs pour que plusieurs utilisateurs puissent avoir accès au même modèle de pia ou à un pia mis en commun.
Merci pour votre aide
@brunto
Copy link
Collaborator

brunto commented Feb 3, 2021

Bonjour, la gestion des utilisateurs n'est pas encore disponible. Actuellement tous les PIAs sont disponible pour tout les utilisateurs. Cette fonctionnalité est en cours de développement et sera disponible prochainement.

@brunto brunto self-assigned this Feb 3, 2021
@granouil
Copy link
Author

granouil commented Feb 3, 2021

Merci pour votre réponse mais ce que nous comprenons pas c'est que nous avons créer chacun de notre côté un modèle test de pia sur un serveur sur lequel nous avons installé pia-front : https://webtransvihmi.ird.fr/pia/ (vous pouvez y accéder j'ai retiré le .htaccess)
et nous ne pouvons pas voir le modèle des autres.
D'ou ma remarque sur le fait que lorsque je crée un modèle en utilisant un navigateur web (firefox par exemple,) je ne le vois pas lorsque j'ouvre la page web avec un autre navigateur (chrome ou safari ou iexplorer par exemple).
Est ce que le stockage est uniquement côté client et dans ce cas comment faire pour qu'un modèle soit mis en commun

fait il installer le pia-back pour sauvegarder les pias?

@brunto
Copy link
Collaborator

brunto commented Feb 3, 2021

Oui effectivement, il faut installer pia-back pour utiliser le service en mode client<=>serveur et ainsi partager les données.
https://github.com/LINCnil/pia-back#installation
Nous pouvons vous assister en cas de besoin à son installation.

@granouil
Copy link
Author

granouil commented Feb 3, 2021

Merci pour votre réponse.
Une assistance sera la bienvenue car j'ai eu des difficultés lors de l'installation sur un serveur ubuntu sur lequel était déjà install' d'autres applications et il y a avait des soucis de mises à jour pour rail, ruby et je n'ai plus tout en tête
Du coup nous allons partir sur une nouvelle machine virtuelle.
juste une question : dans la doc d'install il est question de ubuntu 17.10 .. pouvons nous installer la dernière version stable d'ubuntu : la 20.04?
Merci pour votre réponse
bruno Granouillac
IRD

@brunto
Copy link
Collaborator

brunto commented Feb 3, 2021

Oui je vous conseille fortement d'utiliser la version 20.04.

@granouil
Copy link
Author

granouil commented Feb 3, 2021

Super! merci

@kevin-atnos
Copy link
Collaborator

Bonjour,

Pour information, la prochaine version (3.1) contiendra un module de gestion des utilisateurs et de rôles/profils/droits.
Elle devrait arriver pendant l'automne.

Cordialement,

@PPCM
Copy link

PPCM commented Apr 5, 2022

Bonjour,

Je serai fortement intéressé par la gestion des utilisateurs.
Auriez-vous une nouvelle date cette fonctionnalité importante?

@mickaeltardy
Copy link

mickaeltardy commented Apr 9, 2022
edited
Loading

Pour notre déploiement, nous avons modifié la configuration de nginx le connectant à notre OpenLDAP local
https://github.com/nginxinc/nginx-ldap-auth

Ce n'est pas optimal puisqu'il manque encore la gestion de droits d'accès (j'aurais bien voulu séparer les accès des éditeurs, relecteurs et approbateurs), mais ça offre une protection minimale.

Il est nécessaire que nginx_ldap, ainsi que openldap soient dans le même réseau que l'application PIA (networks à spécifier dans le docker-compose.yml)

./docker/cnil-pia-front/conf/cnil_pia.conf ressemble à cela

proxy_cache_path cache/  keys_zone=auth_cache:10m;
server {
    listen 80;
    server_name _;
    root /var/www;

    location = / {
       auth_request /auth-proxy;
    }

    location = /auth-proxy {
       internal;

       proxy_pass_request_body off;
       proxy_set_header Content-Length "";
       proxy_cache auth_cache;
       proxy_cache_valid 200 10m;
       proxy_cache_key "$http_authorization$cookie_nginxauth";

       proxy_pass http://nginx_ldap:8888;

       proxy_set_header X-Ldap-URL      "ldap://openldap:389";

       # (Optional) Establish a TLS-enabled LDAP session after binding to the
       # LDAP server.
       # This is the 'proper' way to establish encrypted TLS connections, see
       # http://www.openldap.org/faq/data/cache/185.html
       #proxy_set_header X-Ldap-Starttls "true";

       # (Required) Set the Base DN, by replacing the value enclosed in
       # double quotes.
       proxy_set_header X-Ldap-BaseDN   "*******";

       # (Required) Set the Bind DN, by replacing the value enclosed in
       # double quotes.
       proxy_set_header X-Ldap-BindDN   "********";

       # (Required) Set the Bind password, by replacing 'secret'.
       proxy_set_header X-Ldap-BindPass "********";


       proxy_set_header X-CookieName "nginxauth";
       proxy_set_header Cookie nginxauth=$cookie_nginxauth;
       proxy_set_header X-Ldap-Template "(uid=%(username)s)";
    }
}

@PPCM
Copy link

PPCM commented Apr 9, 2022

Pour notre déploiement, nous avons modifié la configuration de nginx le connectant à notre OpenLDAP local https://github.com/nginxinc/nginx-ldap-auth

Ce n'est pas optimal puisqu'il manque encore la gestion de droits d'accès (j'aurais bien voulu séparer les accès des éditeurs, relecteurs et approbateurs), mais ça offre une protection minimale.

Merci pour le retour, mais c'est justement la partie droit d'accès qui m'aurait intéressé avec gestion des habilitations.
Car dans les faits, dans notre cas, PIA est accessible uniquement en interne, donc tout le monde y a accès, car tout le monde doit pouvoir participer, mais à des niveaux d'habilitation différents

@mickaeltardy
Copy link

Merci pour le retour, mais c'est justement la partie droit d'accès qui m'aurait intéressé avec gestion des habilitations. Car dans les faits, dans notre cas, PIA est accessible uniquement en interne, donc tout le monde y a accès, car tout le monde doit pouvoir participer, mais à des niveaux d'habilitation différents

C'est un peu différent dans notre cas, puisque tout le monde ne doit pas participer, donc l'isolation passe par la définition de groupes LDAP pour les utilisateurs concernés.

Une option serait d'avoir un lien par habilitation (donc un mapping ldap différent). Mais je crois que cela posera toujours le problème de traçabilité.

@kevin-atnos
Copy link
Collaborator

kevin-atnos commented Nov 21, 2022
edited
Loading

Bonjour,

La CNIL est en train de faire la revue interne sur la version proposant le système d'authentification.
Une communication officielle sur cette prochaine version devrait arriver sous peu.

EDIT du 11/12/2022 :
Toujours en cours de recette mais ça ne devrait pas tarder. Je pense que ce sera ok pour ce début d'année 2023 (janvier / février max).

Cordialement,

@kevin-atnos kevin-atnos assigned LaboCNIL and unassigned brunto Jan 31, 2024
@simmstein
Copy link

Bonjour,

Où en est-vous sur cette problématique ?

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@LaboCNIL LaboCNIL

Labels
FEATURE REQUEST IN REVIEW (CNIL) WAITING FOR NEW RELEASE
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
8 participants
@simmstein @brunto @PPCM @LaboCNIL @mickaeltardy @granouil @kevin-atnos @syl-p