Tout ce qu’il faut savoir sur la gestion des droits dans IFS

L’objectif de ce document est d’expliquer de manière la plus simple et concise une sujet complexe comme dans tout ERP : la gestion des droits.

Ce document s’appuie sur la version 23R1 mais reste compatible pour les versions ultérieures jusqu’à la version 25R1 (vérifié).

Nous décrirons ici le standard IFS, si votre version a été modifié (au sens M du terme par IFS), des éléments peuvent être différents entre ce document et votre version.

Cette gestion des droits comprend plusieurs aspects :

• La compréhension du système de droits IFS aux différents composants.
• Comment relier ces droits à des utilisateurs.
• La gestion des droits spécifiques par module.

Nous irons dans chacun de ces aspects dans ce document afin de que tout vous soit révélé !

Pour vous apporter le maximum de valeur, chacune des sections a son chapitre “Nos recommandations”, cela vient de notre expérience avec nos clients, n’hésitez pas à le lire !

Introduction 

Il y a plusieurs catégories de droits :

• Les droits à des projections (pages et boutons)
• Les droits aux pages d’accueil (aussi appelés lobby)
• Les droits aux flux de travail (aussi appelés workflow)
• Les droits aux tâches de bases de données
• Les droits aux suites de tâches de bases de données
• Les droits aux privilèges du système

 Les ensembles de permissions

Ces ensembles de permissions sont de deux types :

• Rôle utilisateur final
• Rôle utilisateur fonctionnel

Les projections peuvent être données à des ensembles de permissions des deux types.

Cela ne fera aucune différence.​

La différence majeure entre ceux deux types est que seul les rôles utilisateurs finaux peuvent être connectés à des utilisateurs, mais nous y reviendrons après.

Des rôles utilisateurs finaux et des rôles utilisateurs fonctionnels sont fournis par IFS.

Deux stratégies s’offrent à vous :

• Analyser ceux fournis par IFS et s’appuyer dessus.
• Créer vos propres ensemble de permissions.

Que l’une ou l’autre soit choisi, il est fortement conseillé de n’en utiliser qu’une seule, sinon il peut être très vite compliqué de maintenir vos accès.

Une exception à cette règle : le rôle utilisateur finale “FND_WEBENDUSER_MAIN” doit de toute façon être utilisé quelque soit la stratégie, c’est le droit de base pour chaque utilisateur qui permet d’accéder à l’application.

⚠️ Attention : dans IFS, c’est toujours le droit le plus large qui gagne.

Par exemple, si vous donner le droit en lecture seule à un ensemble de permissions et le droit en écriture à un autre ensemble de permissions, si vous rattachez les deux ensembles au même utilisateur, c’est le droit le plus large, donc en écriture, qui sera attribué à l’utilisateur.

​

  Nos recommandations

Si vous partez sur des ensemble de permissions personnalisées, voici un ensemble de conseil que nous pouvons vous donner.

1. Utiliser un ensemble de permissions globale

Il est intéressant d’utiliser un ensemble de permission globale auquel nous pourrons rattacher le FND_WEBENDUSER_MAIN décrit plus haut, mais également d’autres droits qui sont peuvent être génériques pour tous les utilisateurs comme :

• CreateMultipleDocumentsHandling, ce afin de pouvoir mettre des pièces jointes sur les différents objets auxquels ils ont accès.
• CustomPagesHandling, et plus précisément le droit de pouvoir effacer “le cache des mappages” pour l’utilisateur. Pratique en production pour faciliter le travaille du support utilisateur.

2. Limiter l’ajout de projections à un seul type d’ensemble de permissions

“La simplicité est la sophistication suprême.”

Cette phrase n’est pas de nous mais de Léonard De Vinci, mais nous ne saurions vous conseiller autre chose que de la suivre à la lettre.

L’intrication des ensemble de permissions entre eux peut vite devenir nébuleuse.

Il n’y pas de contrainte par IFS sur l’utilisation des ensemble de permissions et des droits rajoutés, on peut rajouter les droits à un rôle utilisateur final, à un rôle fonctionnel, lié un rôle utilisateur final à un autre rôle utilisateur final, un rôle fonctionnel à un autre rôle fonctionnel…

Vous l’aurez compris, si vous ne mettez pas en place un process, cela peut vite devenir ingérable.

Le conseil est de limiter l’ajout de projection à un seul type d’ensemble :

• Soit vous utilisez les deux types, et dans ce cas limitez l’ajout de projection au rôle fonctionnel.
• Soit vous utilisez uniquement le rôle utilisateur final.

Cela vous permettra de plus simplement savoir analyser où le droit à la personne à pu lui être donné, notamment si vous souhaitez lui enlever.

​

​

Description spécifique de la gestion des droits

Droits aux projections

Pour obtenir les droits sur une page ou certains boutons sur les pages, ces droits sont données dans IFS par une projection.

Une projection contient un ensemble de droits, une seule projection peut donc permettre un accès à plusieurs pages, onglets ou boutons.

Il n’est pas possible de donner un chiffre précis sur le nombre de projections, mais elles se comptes en centaines voir milliers. Ces projections sont générées directement par IFS. Il est fortement déconseillé d’en rajouter ou de les modifier.

Exemple d’une projection :

Un droit à une projection peut être donné par lecture seule, complet ou personnalisable.

Le droit de lecture seule empêche toute action de création, modification et suppression sur les objets dans les pages en question.

Le droit complet donne tous les droits, lecture, création, modification et suppression.

Il est également possible à travers l’écran “Accords projection” de venir personnaliser les droits. Cette personnalisation permet en fonction des écrans de limiter les droits plus finement, par exemple sur certaines fonctionnalités ou boutons.

Ceci peut être fait via les sous-onglet “Accords action entité” et “accords action projection”.

Un exemple concret : il est possible, pour une opportunité professionnelle, de limiter le droit de changement de statut de l’opportunité sans pour autant empêcher les personnes de modifier l’opportunité sur les autres informations.

Concernant les pages, il y a deux types de page, les “pages” et les “assistants”.

Une page est une page classique, comme les sites ou les clients :

Un “assistant” est une page qui guide l’utilisateur dans une séquence d’étapes :

Comment relier ces droits à des utilisateurs

Pour qu’un utilisateur obtienne un droit dans IFS, il faut donc qu’il puisse accéder à la projection.

Cela se fait via les ensembles de permissions comme vu plus haut.

Pour qu’un utilisateur obtienne l’accès à un ensemble de permissions, il y a deux moyens :

• Une intégration directe via l’utilisateur.
• Une intégration via les groupes utilisateurs.

Le choix vous revient d’utiliser l’un ou l’autre, notre conseil est d’utiliser au maximum les groupes, plus simples à gérer.

Pour rappel, un utilisateur ou un groupe d’utilisateur ne peut avoir accès qu’à des ensembles de permissions de type “rôle utilisateur final”.

Ici un schéma reprenant donc la logique globale décrite ci-dessus :

💡 La gestion des groupes utilisateurs peut être délégué via un service tiers comme Azure Active Directory par exemple. Il ne restera plus qu’à assigner les groupes utilisateurs aux bons ensembles de permissions, mais toute la gestion utilisateurs et groupes utilisateurs peut rentrer dans vos processus d’entreprise.

  Nos recommandations

• Utiliser des groupes utilisateurs

Cela vous permettra de pouvoir gérer vos droits plus facilement par groupe et non par utilisateurs.

Si jamais des audits doivent être réalisés, il sera plus simple d’analyser les accès d’un utilisateur.

• Limiter au maximum les croisements de droits

Evitez au maximum d’avoir des groupes utilisateurs utilisateurs ayant de multiples rôles utilisateurs finaux imbriqués entre eux si vous utilisez les rôles fonctionnels.

Evitez également d’utiliser les groupes utilisateurs si vous donnez des accès aux utilisateurs directement, sinon suivez le conseil 1 !

• Utilisez des notions d’organisation de votre entreprise au maximum

Pour les groupes utilisateurs, restez au maximum proche de votre organisation.

Si vous avez un service commercial, nommez votre groupe utilisateur afin que par le simple nom vous compreniez qui peut être dans ce groupe.

• Si vous utilisez les quatre niveaux… Ne le faites pas !

Cf conseil de la section “ensemble de permissions”.

 ERP Control - Gérez vos droits IFS (beaucoup) plus vite, en toute autonomie

Vous l’avez vu dans ce guide : la gestion des droits dans IFS est essentielle, mais souvent longue et complexe.

C’est pour répondre à ces enjeux que nous avons conçu ERP Control.

➤ Une gestion des droits simplifiée en quelques clics

➤ Des actions rapides, sans tickets ni délais d’attente

➤ Plus d’autonomie pour vos équipes métiers, moins de dépendance à la DSI

⚙️ ERP Control, pensé par des utilisateurs IFS pour les utilisateurs IFS.