Autre #64831
par défaut ne pas autoriser aux rôles l'accès au backoffice de traitement des demandes (?)
0%
Description
Actuellement les rôles créés ont un accès backoffice de traitement des demanes par défaut (allows_backoffice_access = True) et pour aller changer ça il faut aller dans la matrice des permissions côté wcs, il n'y a pas moyen de contôler ça depuis authentic.
Si par défaut il n'y avait pas d'accès, on pourrait juste configurer au début un rôle "Agent", aller dans la matrice côté wcs dire que celui-ci dispose d'un accès backoffice, et être clair que les rôles créés dans authentic doivent être configurés pour "hériter des permissions" du rôle "Agent".
Peut-être que ça serait pénible d'avoir à faire ça chaque fois mais c'est théoriquement déjà à faire pour l'accès au portail agent).
Ça ne peut sans doute être imaginé qu'après #62013, pour que ça soit possible pour les rôles créés côté API.
Demandes liées
Historique
Mis à jour par Stéphane Laget il y a presque 2 ans
Mon avis :
Oui ce serait mieux, surtout avec la multiplication des rôles pour les usagers (famille, personnes morales, etc.)
On protège le portail agent avec le rôle "Agent", et donc de toute façon on fait ces manip lorsque l'on crée un rôle métier.
après #62013 ce serait parfait.
Mis à jour par Mikaël Ates il y a presque 2 ans
Oui ce serait top (on avait eu une discussion préliminaire ici : https://dev.entrouvert.org/issues/59915#note-6).
L'accès BO d'office a conduit sur les PM à la création de rôles commençants par '_' (#62477) avec un paramètre qui se pose quelque part pour autoriser le provisionning (#63384, #63421).
J'ai regardé dans #62802 comment il serait possible de se passer de rôles pour faire du "personne morale", à savoir donner des vues communes en FO à plusieurs users, et la réponse actuelle est qu'il faut des rôles sans accès backoffice, d'où la config technique ci-dessus dont on voudrait se passer.
Mis à jour par Mikaël Ates il y a presque 2 ans
- Lié à Autre #59915: "Demandes de l’usager" : Lorsque l'usager clique sur une demande à laquelle il a accès via une fonction mais donc il n'est pas l'usagé associé, lui permettre de voir la demande en FO et non en BO. ajouté
Mis à jour par Mikaël Ates il y a presque 2 ans
Pour la pratique cela ne devrait effectivement rien changer. On livre normalement nos plateformes avec le rôle "Agent". Il faudra simplement veiller à lui donner l'accès BO wcs. en formation on explique déjà que tous les rôles doivent hériter du rôle Agent pour bénéficier de l'accès au portail qui est entendu comme l'accès backoffice.
Mis à jour par Pierre Cros il y a presque 2 ans
Frédéric Péters a écrit :
Peut-être que ça serait pénible d'avoir à faire ça chaque fois mais c'est théoriquement déjà à faire pour l'accès au portail agent).
Absolument, ça ne change rien si ce n'est ce que pointe Mikaël : la nécessité de donner accès au BO au rôle Agent.
Après il faudra quand même prévenir tout le monde, parce qu'il est possible que cet héritage systématique du rôle agent ne soit pas pratiqué sur telle ou telle instance mise en place il y a longtemps.