Identité et Authentification
Centiloc utilise la technologie Keycloak pour vous fournir un système de contrôle d’accès aux services Centiloc.
Consultez les URLs pour récupérer l’accès à votre environnement Keycloak.
L’objectif de cet outil est de vous fournir un système RBAC, vous aidant à gérer différents profils d’utilisateurs Centiloc. Il peut s’agir d’humains mais aussi, bien sûr, de bots.
Au fil du temps, d’autres fonctionnalités seront intégrées à la plateforme de données Centiloc, dont vous voudrez peut-être gérer l’accès avec précision.
Mais vous pouvez choisir de ne créer qu’un seul compte partagé avec toutes vos applications ou tous les membres de votre équipe.
Pour des raisons de support et de maintenance, les membres de l’équipe Opération et Support de Centiloc peuvent avoir accès à votre environnement keycloak. Ils ne les consulteront jamais, sauf si vous avez demandé de l’aide (réinitialisation du mot de passe administrateur par exemple…).
De plus, les informations utilisateur, qui seraient ajoutées à keycloak, ne sont utilisées que pour le contrôle d’accès. Aucune donnée ou métrique avec leurs informations n’est collectée.
Pour vous aider efficacement, votre environnement héberge un compte
centiloc.assist. Il est utilisé par l’équipe de support si vous avez besoin d’aide.Si vous vous sentez plus en sécurité en le supprimant, vous êtes libre de le faire, et l’équipe de support ne pourra plus accéder à votre environnement.
Si vous n’êtes pas familier avec RBAC, nous vous conseillons de consulter le concept RBAC.
Fondamentalement, vous pouvez créer des groupes, des utilisateurs et attribuer des rôles aux groupes et aux utilisateurs. Ces rôles sont prédéfinis par Centiloc.
Par défaut, si aucun rôle n’est attribué, l’utilisateur ne pourra pas consommer les services Centiloc.
Ensuite, lorsque vous définissez des rôles ou des attributs pour les groupes, les membres hériteront automatiquement de ces rôles et propriétés.
Seul un compte administrateur peut créer des groupes et des utilisateurs
Centiloc fournit 4 rôles avec différents droits d’accès :
- User : peut consommer uniquement les points de terminaison Get. Ce rôle est conçu pour les utilisateurs des données Geocore.
- Editor : ce rôle peut mettre à jour les informations de description des données stockées dans Geocore.
- Maintainer : Ce rôle est adapté aux personnes qui savent comment configurer et configurer les appareils Centiloc.
- Admin : rôle clé pour gérer tous les services ainsi que les utilisateurs et les groupes Keycloak.
| User | Editor | Maintainer | Admin | |
|---|---|---|---|---|
| geo.Board/Create, Delete (2) | ❌ | ❌ | ✅ | ✅ |
| geo.Board/Get | ✅ | ✅ | ✅ | ✅ |
| geo.Board/Update WiFi | ✅ | ✅ | ✅ | ✅ |
| geo.Board/Enrol RS485 | ❌ | ❌ | ✅ | ✅ |
| geo.Board/Update data (1) | ❌ | ❌ | ✅ | ✅ |
| geo.Board/SetLabel | ❌ | ✅ | ✅ | ✅ |
| geo.Item/Get | ✅ | ✅ | ✅ | ✅ |
| geo.Item/SetURL | ❌ | ✅ | ✅ | ✅ |
| geo.Item/SetLabel | ❌ | ✅ | ✅ | ✅ |
| geo.Item/Create, Delete (2) | ❌ | ❌ | ✅ | ✅ |
| geo.Gateway/Create, Delete (2) | ❌ | ❌ | ✅ | ✅ |
| geo.Gateway/Get | ✅ | ✅ | ✅ | ✅ |
| geo.Gateway/Configure | ❌ | ❌ | ✅ | ✅ |
| Keycloak admin | ❌ | ❌ | ❌ | ✅ |
- La mise à jour du board consiste à définir SetRFType, Modifier les dimensions, les marges…
- pour une installation sur site
Module Inventaire
| User | Editor | Maintainer | Admin | |
|---|---|---|---|---|
| inventory.Furniture/Create, Delete |
❌ | ✅ | ❌ | ✅ |
| inventory.Furniture/Get | ✅ | ✅ | ✅ | ✅ |
| inventory.Shelf/Create,Delete | ❌ | ✅ | ❌ | ✅ |
| inventory.Shelf/Get | ✅ | ✅ | ✅ | ✅ |
| inventory.Location/Create,Delete | ❌ | ✅ | ❌ | ✅ |
| inventory.Location/Get | ✅ | ✅ | ✅ | ✅ |
| inventory.Product/Create,Delete | ❌ | ✅ | ❌ | ✅ |
| inventory.Product/Update (1) | ❌ | ✅ | ❌ | ✅ |
| inventory.Product/Enrol | ✅ | ✅ | ✅ | ✅ |
- La mise à jour du produit consiste à définir l’URL de redirection et les modèles 3D
Lors de la gestion des rôles pour vos groupes et utilisateurs, vous verrez d’autres rôles gérés par keycloak :
default-roles-<tenantID>offline_accessuma_authorization
Veuillez ne pas les utiliser. Ils sont attribués à tous les utilisateurs pour garantir le fonctionnement de toutes les fonctionnalités. Nous étudions comment les supprimer.
Vous pouvez demander au support plus de détails sur ces rôles.
Pour le moment, seule une présentation de mot de passe à facteur unique est requise. Suivant la recommandation de l’ANSSI française concernant les paramètres de mot de passe, les contraintes sont :
- expire tous les 5 ans
- doit être différent des 3 derniers mots de passe
- longueur minimale 16
- longueur maximale 32
- ni nom d’utilisateur ni e-mail
- au moins 1 caractère majuscule, 1 caractère minuscule, 1 caractère spécial, 1 chiffre
- autorise au maximum deux caractères/chiffres identiques consécutifs
Keycloak prend en charge de nombreuses technologies de délégation et de synchronisation d’identité. Si vous souhaitez le configurer, veuillez demander à l’équipe de support de fournir à votre compteadmindes droits suffisants.
Si vous souhaitez intégrer votre environment au système d’authentification SSO de votre compagnie, vous pouvez demander à l’équipe support de vous créer un compte administrateur spécifique avec des droits de configuration de l’ “identity federation” et du flot de login dans votre environment Keycloak.