Aller au contenu principal

Droits — Rôles

L'écran Droits — Rôles liste tous les droits objet accordés au niveau du rôle sur une application connectée. La requête filtre sur SER_USER_ID = '*ROLE' — le marqueur que le système source utilise pour distinguer une règle au niveau rôle d'une règle au niveau utilisateur. Une ligne par triplet (Application, Rôle, Objet), restreinte aux droits SER_RUN = 'Y'.

C'est le cœur du modèle d'accès par rôles : ce que le rôle accorde à l'ensemble de ses détenteurs. Tout le reste (surcharges utilisateur, visibilité menu, droits dérivés de l'OUT) se superpose à cette couche.

Vue d'ensemble

Nomasx-1 · Applications · Droits · RôlesAPPRÔLEOBJETFORMVERSIONRUNAJTMODSUP12CPTA_FOURP0411W0411AZJDE0001YYYN12CPTA_FOURP0413MW0413AZJDE0001YYYY12APPROVERP43081W43081AZJDE0001YNYN1 — 50 sur 26 410 droits au niveau rôle

Objectif de l'écran

Pour chaque droit accordé au niveau rôle sur une application connectée :

  • Que le rôle accorde-t-il ? Objet, form, version — le périmètre du droit.
  • Quelles actions sont autorisées ? Run, Ajouter, Modifier, Supprimer — les quatre indicateurs d'action. Un rôle qui accorde Modifier et Supprimer sur un objet financier est la pièce maîtresse de l'analyse de séparation des tâches.
  • La définition du rôle est-elle toujours alignée avec l'intention métier ? Comparer les droits effectifs ici au rôle documenté est le moyen le plus fiable de détecter une dérive de rôle — des droits accumulés au fil du temps dont plus personne ne se souvient de la raison.

Colonnes

ColonneSourceCe qu'on y lit
Application IDSER_APPS_ID — identifiant de l'application. Filtrable.Application concernée par le droit.
Rôle IDSER_ROLE_ID — rôle accordant le droit. Filtrable, restreint à l'application.Rôle auquel la règle appartient.
ObjetSER_OBJECT — objet technique visé par le droit. Filtrable, restreint à l'application.Ce que le rôle débloque.
FormSERL_FORM — code form au sein de l'objet.Écran spécifique au sein de l'objet.
VersionSER_VERSION — version de traitement.Variante de configuration.
RunSER_RUNY / N.Indique si le rôle peut ouvrir l'écran. Seules les lignes Y apparaissent.
Action de rôleSER_ROLE_ACTION_ID — identifiant d'action.Descripteur d'action côté source.
Ajouter / Modifier / SupprimerSER_ADD, SER_CHG, SER_DELY / N.Indicateurs d'action au niveau ligne.

Conseils & bonnes pratiques

  • Filtrer sur Rôle ID + trier sur Objet pour obtenir l'inventaire complet de ce qu'un rôle autorise — livrable à discuter avec le propriétaire du rôle lors de la revue.
  • Traquer les droits trop larges — les droits sur un objet de haut niveau avec les quatre indicateurs à Y sont les attributions les plus généreuses. Confirmer que le rôle en a vraiment besoin.
  • Un rôle avec très peu de droits mérite aussi un œil — il peut être redondant avec un autre et candidat au retrait (voir Rôles non utilisés).
  • Combiner avec Rôles / Menus pour vérifier que le rôle accorde à la fois le droit et la navigation permettant d'atteindre l'objet.