Aller au contenu principal

Utilisateurs sans rôles

L'écran Utilisateurs sans rôles liste les comptes utilisateurs actifs qui ne détiennent aucun rôle sur une application connectée. Une ligne par couple (Application, Utilisateur). Ces comptes peuvent se connecter à l'application mais ne peuvent rien y faire — ou, plus préoccupant, ils héritent peut-être de permissions par un mécanisme implicite (joker, héritage) qui mérite vérification.

L'écran filtre sur USR_STATUS = '01' pour ne faire remonter que les comptes actifs. Les comptes inactifs sans rôles sont simplement dormants et restent visibles sur l'écran Utilisateurs.

Vue d'ensemble

Nomasx-1 · Sécurité · Utilisateurs sans rôlesAPPUTIL.STATUTCRÉATIONCONNEXION12SVC_BATCHActif2017-04-022026-05-1412NOUV_EMB_05Actif2026-05-0221EX_UTILActif2018-06-222024-09-04CONDUITE À TENIRSoit affecter le ou les rôles manquants, soit désactiver le compte dans le système source s'il n'a plus de raison d'être.

Objectif de l'écran

Pour chaque compte actif connu d'une application connectée mais sans aucun rôle affecté :

  • Pourquoi le compte existe-t-il ? Soit une nouvelle arrivée en attente d'affectation, soit un ancien utilisateur dont les rôles ont été révoqués sans que le compte ait été désactivé. Les deux cas sont normaux — aucun ne doit perdurer.
  • Le compte est-il encore utilisé ? La Date de connexion indique si quelqu'un tente toujours de se connecter malgré l'absence de rôle. Un compte longtemps dormant dans cet état est la désactivation la plus simple à valider.
  • Désactivation ou affectation de rôles ? Trancher entre les deux est précisément la décision que cet écran sert à instruire.

L'écran est un livrable récurrent de la revue trimestrielle des accès et un indicateur clé des trous dans le processus de départ.

Colonnes

ColonneSourceCe qu'on y lit
Application IDAPPS_ID — identifiant numérique de l'application source.Application à laquelle appartient le compte orphelin.
Utilisateur IDUSR_ID — identifiant technique de connexion. Liste déroulante liée au catalogue des utilisateurs, restreinte par l'application choisie.Login orphelin.
StatutUSR_STATUS — règle booléenne, 01 signifie Actif. Imposé par la requête, toutes les lignes affichent donc Actif.Confirmation que la ligne correspond bien à un compte actif.
Date de créationUSR_DT_CREATION — date.Date de création du compte — permet de distinguer une nouvelle arrivée d'un reste oublié.
Date de connexionUSR_DT_LOGIN — date.Dernière authentification. À combiner avec la Date de création pour interpréter la ligne.

Les deux filtres au-dessus de la grille (Application ID et Utilisateur ID) acceptent les opérateurs standards contains / equals / notEquals / startsWith / endsWith.

Conseils & bonnes pratiques

  • Un compte créé depuis moins d'un mois sans connexion correspond presque toujours à une nouvelle arrivée en attente d'affectation — coordonner avec l'administrateur sécurité pour octroyer les rôles ou informer la RH.
  • Un compte ancien avec une connexion récente est la ligne la plus préoccupante : une authentification a lieu sur une application où l'utilisateur n'a officiellement aucun droit. Investiguer avant désactivation — un mécanisme d'héritage (joker) lui donne peut-être des permissions implicites.
  • Un compte ancien sans connexion depuis six mois est la désactivation la plus nette.
  • Cliquer sur une ligne ouvre l'écran Audit Utilisateurs qui présente l'inventaire historique des rôles — utile pour comprendre ce que l'utilisateur détenait avant révocation.