Gestion des rôles¶
Depuis la version 1.3.5, Avalon intègre un système de contrôle d'accès basé sur les rôles (RBAC - Role-Based Access Control). Chaque rôle définit un ensemble de permissions qui déterminent précisément les actions qu'un utilisateur peut effectuer dans l'application.
Un utilisateur peut se voir attribuer un rôle différent par tenant, ce qui permet un contrôle fin des accès selon le périmètre de gestion.
Migration depuis la version 1.3.4¶
Utilisateurs existants
Si vous mettez à jour Avalon depuis une version antérieure à 1.3.5, les rôles suivants sont créés automatiquement :
- admin : Correspond à l'ancien rôle admin. Toutes les permissions sont activées (accès complet).
- user : Correspond à l'ancien rôle user. Les permissions sont en lecture seule sur l'ensemble des pages.
- admin_avalon : Nouveau rôle dédié au compte système
admin. Ce compte est automatiquement associé à ce rôle avec les permissions permettant uniquement la gestion des utilisateurs, des tenants et des rôles. De plus, le compteadminn'a accès qu'au tenantadmin.
Les utilisateurs existants conservent leur accès tel quel. Vous pouvez ensuite créer de nouveaux rôles personnalisés et les réassigner selon vos besoins.
Créer ou modifier un rôle¶
Pour créer un nouveau rôle, cliquez sur le bouton + en haut de la page. Pour modifier un rôle existant, cliquez sur l'icône crayon à côté de son nom.
Le formulaire de configuration d'un rôle comprend :
- Name : Le nom du rôle. Utilisez un nom descriptif (ex :
operateur_reseau,lecture_seule,admin_site).
Permissions¶
Les permissions sont organisées en sections hiérarchiques. Vous pouvez activer la case All permissions pour accorder un accès total, ou configurer chaque section individuellement.
All permissions¶
| Option | Description |
|---|---|
| All permissions | Accorde toutes les permissions et l'accès à tous les services et fonctionnalités. Équivalent du rôle admin. |
WebSSH¶
| Option | Description |
|---|---|
| Use WebSSH | Autorise l'utilisateur à ouvrir des sessions SSH vers les équipements via le client WebSSH intégré. |
Services¶
Contrôle les services (templates de service) que l'utilisateur peut exécuter depuis la carte, le schedule ou l'engineering.
| Option | Description |
|---|---|
| Only selected services | L'utilisateur ne peut utiliser que les services sélectionnés dans la liste déroulante. |
| All services | L'utilisateur peut utiliser tous les services disponibles. |
Info
Les services sélectionnés seront disponibles dans les sections concernées du site (Map, Schedule, Engineering).
Pages¶
Maps¶
Contrôle l'accès à la page listant toutes les cartes de sites.
| Option | Description |
|---|---|
| Read-only | L'utilisateur peut consulter les cartes mais ne peut pas les modifier. |
| Read and write | L'utilisateur peut consulter et modifier les cartes. |
Map¶
Contrôle les actions disponibles à l'intérieur d'une carte de site.
| Section | Option | Description |
|---|---|---|
| Devices | Create static device | Autoriser la création d'équipements statiques sur la carte. |
| Create ZTP device | Autoriser la création d'équipements ZTP sur la carte. | |
| Delete device | Autoriser la suppression d'équipements depuis la carte. | |
| Autres actions | Export JPEG | Autoriser l'export de la carte au format JPEG. |
| Use AutoDiscovery | Autoriser le lancement d'un processus AutoDiscovery. | |
| Connect devices | Autoriser la création de liens entre équipements. | |
| Manage buildings | Autoriser la gestion des bâtiments sur la carte. | |
| Move devices, buildings and overlays | Autoriser le déplacement d'éléments sur la carte. |
Inventory¶
Infrastructure¶
| Section | Option | Description |
|---|---|---|
| Redundancy groups | Manage redundancy groups | Autoriser la gestion des groupes de redondance. |
| Sites | Export inventory | Autoriser l'export de l'inventaire des sites. |
Network services¶
| Section | Option | Description |
|---|---|---|
| VLANs | Browse VLANs | Autoriser la consultation des VLANs. |
| Custom services | Manage templates | Autoriser la gestion des templates de services personnalisés. |
| Manage configured services | Autoriser la gestion des services configurés. |
Hardware catalog¶
Chaque élément du catalogue peut être configuré indépendamment avec un niveau d'accès :
| Élément | Options |
|---|---|
| Vendors | Read-only / Read and write |
| Device families | Read-only / Read and write |
| Device models | Read-only / Read and write |
| Device images | Read-only / Read and write |
| Interfaces list | Read-only / Read and write |
Schedule¶
| Option | Description |
|---|---|
| Read-only | L'utilisateur peut consulter les tâches planifiées mais ne peut pas en créer ou en modifier. |
| Read and write | L'utilisateur peut consulter, créer et modifier les tâches planifiées. |
Engineering¶
| Option | Description |
|---|---|
| Read-only | L'utilisateur peut consulter les workflows mais ne peut pas les exécuter. |
| Read and write | L'utilisateur peut consulter et exécuter des workflows. |
Transactions¶
| Option | Description |
|---|---|
| View transactions history | Autoriser la consultation de l'historique des transactions. |
Audit¶
| Option | Description |
|---|---|
| Use data gathering | Autoriser l'utilisation du data gathering. |
| Explore configurations | Autoriser l'exploration des configurations des équipements. |
| Compare configurations | Autoriser la comparaison de configurations. |
| Browse device logs | Autoriser la consultation des logs des équipements. |
| Manage mail alerts | Autoriser la gestion des alertes par email. |
| Use compliance | Autoriser l'utilisation des vérifications de conformité. |
Export configurations¶
| Option | Description |
|---|---|
| View saved configurations and export them | Autoriser la consultation et l'export des configurations sauvegardées. |
Administration¶
| Option | Description |
|---|---|
| Manage tenants | Autoriser la gestion des tenants. |
| Manage users | Autoriser la gestion des utilisateurs. |
| Manage roles | Autoriser la gestion des rôles. |
| Manage API keys | Autoriser la gestion des clés API. |
| Manage LDAP configurations | Autoriser la gestion de la configuration LDAP. |
| Manage SMTP configurations | Autoriser la gestion de la configuration SMTP. |
| Manage backup configurations | Autoriser la gestion de la configuration des sauvegardes. |
| View monitoring data | Autoriser la consultation des données de monitoring Avalon. |
Profile¶
| Option | Description |
|---|---|
| Update username & email | Autoriser l'utilisateur à modifier son nom d'utilisateur et son adresse email. |
Assignation des rôles aux utilisateurs¶
Les rôles sont assignés aux utilisateurs depuis la page Gestion des utilisateurs. Lors de la création ou modification d'un utilisateur, vous sélectionnez un tenant puis un rôle pour ce tenant.
Un même utilisateur peut avoir des rôles différents selon le tenant :
- Rôle
adminsur le tenant Production - Rôle
lecture_seulesur le tenant Recette
Le rôle actif est déterminé par le tenant sélectionné dans l'interface. Lorsque l'utilisateur change de tenant, ses permissions changent automatiquement.
Supprimer un rôle¶
Pour supprimer un rôle, cliquez sur l'icône corbeille à côté de son nom, ou cochez plusieurs rôles et utilisez le bouton Delete pour une suppression groupée.
Warning
Un rôle ne peut pas être supprimé s'il est encore assigné à des utilisateurs. Réassignez d'abord les utilisateurs concernés à un autre rôle.