Aller au contenu principal

Droits — Utilisateurs

L'écran Droits — Utilisateurs liste tous les droits objet accordés directement à un utilisateur sur une application connectée. Une ligne par triplet (Application, Utilisateur, Objet). Seules les lignes SER_RUN = 'Y' sont remontées — les droits qui autorisent effectivement l'utilisateur à lancer quelque chose.

C'est la base de la pyramide de sécurité : même quand une règle au niveau du rôle interdit l'accès, une ligne explicite au niveau utilisateur peut la surcharger. Les auditeurs ouvrent cet écran pour traquer les exceptions.

Vue d'ensemble

Nomasx-1 · Applications · Droits · UtilisateursAPPUTIL.OBJETFORMVERSIONRUNAJTMODSUP12APMGRP0411W0411AZJDE0001YYYN12APMGRP0413MW0413AZJDE0001YYYY12SVC_BATCHR31410XJDE0001YNNN1 — 50 sur 8 712 droits utilisateur directs

Objectif de l'écran

Pour chaque droit accordé au niveau utilisateur sur une application connectée :

  • À quoi l'utilisateur a-t-il accès ? Objet, form, version — exactement ce que le système source utilise pour identifier un programme appelable.
  • Que peut-il en faire ? Run, Ajouter, Modifier, Supprimer — les quatre indicateurs d'action. Run = ouvrir l'écran ; Ajouter / Modifier / Supprimer contrôlent les opérations au niveau ligne.
  • Le droit est-il justifié ? Une ligne au niveau utilisateur est par définition une exception — elle contourne le modèle de sécurité piloté par les rôles. Chaque ligne ici mérite une justification ou une décision de nettoyage.

Colonnes

ColonneSourceCe qu'on y lit
Application IDSER_APPS_ID — identifiant de l'application. Filtrable.Application concernée par le droit.
Utilisateur IDSER_USER_ID — utilisateur détenteur du droit. Filtrable, restreint à l'application.Utilisateur à qui le droit est accordé directement.
ObjetSER_OBJECT — objet technique visé par le droit. Filtrable, restreint à l'application.Ce que l'utilisateur peut appeler.
FormSERL_FORM — code form au sein de l'objet.Écran spécifique au sein de l'objet.
VersionSER_VERSION — version de traitement.Variante de configuration.
RunSER_RUNY / N.Indique si l'utilisateur peut ouvrir l'écran. Seules les lignes Y apparaissent.
Action de rôleSER_ROLE_ACTION_ID — identifiant d'action.Descripteur d'action côté source.
Ajouter / Modifier / SupprimerSER_ADD, SER_CHG, SER_DELY / N.Indicateurs d'action au niveau ligne dans le form.

Conseils & bonnes pratiques

  • Les droits utilisateur directs sont des exceptions — leur volume doit rester faible. Comparer à Droits — Rôles pour voir ce qui est normalement accordé via le modèle des rôles.
  • Filtrer sur Utilisateur ID pour obtenir le portefeuille complet des droits directs d'un utilisateur — utile lors de l'analyse d'un conflit SoD que la matrice par rôle n'avait pas anticipé.
  • Signaler les lignes où les quatre indicateurs sont à Y — la création / lecture / modification / suppression complète sur un objet sensible est l'attribution individuelle la plus lourde, et la première à challenger.
  • Recouper avec Transactions pour vérifier si l'utilisateur a effectivement exercé le droit. Une attribution à fort privilège jamais utilisée est souvent la plus simple à révoquer.