Aller au contenu principal

Combinaison de rôles

L'écran Combinaison de rôles regroupe les utilisateurs par ensemble exact de rôles qu'ils détiennent. Une ligne par couple (Application, combinaison de rôles). Pour chaque portefeuille de rôles distinct trouvé parmi les utilisateurs actifs d'une application, l'écran indique le nombre d'utilisateurs qui détiennent exactement cette combinaison ainsi qu'un utilisateur témoin pour pouvoir creuser.

C'est la manière la plus concise de voir à quoi ressemble réellement le modèle de sécurité en production — non ce qui a été conçu sur le papier, mais ce que les utilisateurs portent effectivement.

Vue d'ensemble

Nomasx-1 · Sécurité · Combinaison de rôlesAPPUTIL.COMBINAISON DE RÔLESUTIL. TÉMOIN1282APMGR_ROZZ_USR_0011237CPTA_FOURYZ_USR_004123CPTA_FOUR,CPTA_CLI,APPROVERXX_USR_002121ADMIN,FIN_HISTO,LEGACY,PRJMGRXX_USR_003Tri par nombre d'utilisateurs décroissant — les combinaisons à 1 utilisateur sont les exceptions à creuser

Objectif de l'écran

Pour chaque application connectée, regrouper ses utilisateurs actifs par ensemble exact de rôles détenu et répondre à :

  • Quelle est la combinaison de rôles standard ? La ligne au plus grand nombre d'utilisateurs correspond en général au profil d'onboarding standard — toute valeur en dessous mérite un œil.
  • Quelles sont les exceptions ? Les combinaisons détenues par un ou deux utilisateurs cachent souvent des rôles résiduels d'anciennes responsabilités, des erreurs d'affectation ou des permissions accumulées au fil du temps.
  • Où se nichent les risques de séparation des tâches ? Une combinaison qui mêle des rôles incompatibles (par exemple créer un fournisseur + approuver un paiement) est le point de départ le plus utile pour une analyse SoD — la matrice la fait apparaître directement.

L'écran complète Affectations en condensant des milliers de lignes en quelques dizaines — plus lisible, plus simple à discuter avec les métiers.

Colonnes

ColonneSourceCe qu'on y lit
Application IDAPPS_ID — identifiant numérique de l'application source.Application à laquelle appartient la combinaison.
Nb utilisateursUSERS_COUNTCOUNT(DISTINCT USR_ID) sur la combinaison.Nombre d'utilisateurs actifs portant exactement ce portefeuille.
Combinaison de rôlesRLU_ROLE_IDSTRING_AGG(RLU_ROLE_ID, ',' ORDER BY RLU_ROLE_ID) par utilisateur.Liste des rôles séparés par virgule, dans un ordre déterministe pour que les combinaisons identiques se regroupent.
Utilisateur témoinUSR_IDMAX(USR_ID) par combinaison, restreint à l'application.Un utilisateur réel portant la combinaison — point d'entrée pour rebondir vers l'écran Audit Utilisateurs.

Le tri est appliqué sur Nb utilisateurs en ordre décroissant — les combinaisons les plus répandues remontent en premier.

Conseils & bonnes pratiques

  • Changer d'angle de vue — plutôt que de discuter de milliers d'affectations individuelles, se concentrer sur la douzaine de combinaisons les plus fréquentes. Chacune est un profil-type de fait utilisé dans l'entreprise.
  • Traquer les exceptions par le bas de la liste — combinaisons à 1 ou 3 utilisateurs. Elles s'accumulent en silence quand les changements d'accès se font à la main au lieu de passer par un modèle.
  • Recouper les paires incompatibles — choisir une paire connue comme non cumulable (par exemple créer un fournisseur + approuver un paiement) puis rechercher dans la colonne Combinaison de rôles. Chaque occurrence est une exception SoD à confirmer ou corriger.
  • Utiliser la colonne Utilisateur témoin comme téléportation rapide vers l'écran Audit Utilisateurs — elle permet de vérifier concrètement ce que la combinaison autorise dans le système source.