Thème
Donner ou retirer un rôle
Objectif
Modifier les droits d'un collaborateur en l'ajoutant ou en le retirant d'un groupe. Les droits ne s'attribuent pas directement : ils passent toujours par un groupe.
Durée estimée : 1 minute • Rôle requis : user-manager (inclus dans ORG_ADMINS)
Comment fonctionne l'attribution des droits ?
Utilisateur → Groupe → Rôle → PermissionUn utilisateur n'a jamais de rôle attribué directement. Il hérite des rôles de tous ses groupes. Pour lui donner ou retirer une permission, on l'ajoute ou on le retire d'un groupe.
Les groupes par défaut de votre organisation
Quatre groupes sont créés automatiquement lors de l'inscription de l'organisation :
| Groupe | Vocation | Rôles attribués |
|---|---|---|
ORG_ADMINS | Administrateur — accès complet (gestion utilisateurs, services, credentials, mappings). | user-manager, user-viewer, organization-manager, organization-viewer, transaction-viewer, analytics-viewer, audit-viewer |
ORG_MANAGERS | Gestionnaire — configuration de l'organisation, consultation des utilisateurs. | user-viewer, organization-manager, organization-viewer, transaction-viewer, analytics-viewer, audit-viewer |
ORG_OPERATORS | Opérateur — consultation des utilisateurs, transactions, audit. | user-viewer, organization-viewer, transaction-viewer, audit-viewer |
ORG_VIEWERS | Lecteur — consultation seulement. | user-viewer, organization-viewer, transaction-viewer, analytics-viewer |
Étape 1 — Ouvrir la fiche de l'utilisateur
Menu Paramétrages ▸ Utilisateurs, puis cliquez sur l'icône ✏️ Modifier sur la ligne du collaborateur concerné.
Étape 2 — Ajuster les groupes associés
Le volet d'édition affiche la liste des groupes auxquels l'utilisateur appartient. Vous pouvez :
- Ajouter un groupe en le sélectionnant dans la liste déroulante.
- Retirer un groupe en cliquant sur la croix à côté de son tag.
Choisir le bon groupe pour le bon profil
- Un nouveau collaborateur opérationnel →
ORG_OPERATORS - Un manager qui doit configurer les services →
ORG_MANAGERS - Un super-administrateur de l'organisation →
ORG_ADMINS(à réserver à 1-2 personnes) - Un consultant en lecture seule →
ORG_VIEWERS
Étape 3 — Enregistrer
Cliquez sur « Enregistrer » au bas du volet. Les nouveaux droits sont immédiatement actifs : à la prochaine action de l'utilisateur, ils seront pris en compte.
Sessions actives
Si l'utilisateur est connecté au moment du changement, son token de session reste valide jusqu'à expiration (quelques minutes). Pour une prise en compte immédiate, demandez-lui de se déconnecter puis se reconnecter.
Étape 4 — Vérifier dans la piste d'audit
Menu Suivi des activités ▸ Pistes d'audit, filtrez sur :
- Événement :
user.updated - Cible : adresse e-mail du collaborateur
Le détail de l'événement liste les groupes ajoutés et retirés.
Cas d'usage fréquents
Donner les droits d'administration à un nouveau manager
- Vérifiez que la personne n'a pas déjà trop de droits (n'ajoutez pas
ORG_ADMINSsi elle est déjà dansORG_OPERATORS— leORG_ADMINScouvre déjà tout). - Ajoutez le groupe
ORG_ADMINS. - Retirez les groupes redondants (
ORG_OPERATORS,ORG_VIEWERS) pour rester lisible.
Réduire les droits d'un collaborateur changeant de poste
- Retirez les groupes à privilèges élevés (
ORG_ADMINS,ORG_MANAGERS). - Ajoutez un groupe plus limité (
ORG_OPERATORS,ORG_VIEWERS).
Créer un groupe custom pour un besoin spécifique
Voir l'onglet Groupes (référentiel). Bouton « Créer un groupe custom ».
Checklist de fin de parcours
- [ ] La fiche utilisateur affiche les bons groupes.
- [ ] L'événement
user.updatedest tracé dans l'audit. - [ ] L'utilisateur a été prévenu si vous avez réduit ses droits.
Points d'attention
- Principe du moindre privilège : n'attribuez que les groupes strictement nécessaires.
- Évitez d'avoir un seul administrateur. Si l'unique
ORG_ADMINSpart en congés ou quitte l'organisation, vous perdez la capacité de gérer les comptes. Prévoyez au moins deux administrateurs par organisation. - Les groupes par défaut ne peuvent pas être supprimés. Vous pouvez créer des groupes custom pour des besoins spécifiques, mais pas modifier le contenu (rôles attribués) des groupes par défaut.