Configuration des utilisateurs et permissions
Gérez finement les accès de vos collaborateurs avec le système RBAC
KaliaOps propose un système de contrôle d'accès basé sur les rôles (RBAC) avec 4 rôles système et plus de 115 permissions granulaires. Invitez vos collaborateurs par email, attribuez-leur des rôles adaptés à leurs responsabilités, et définissez des scopes d'accès (tout le tenant, organisation, équipe ou données personnelles). L'authentification 2FA est obligatoire pour les administrateurs.
Vue d'ensemble du RBAC
KaliaOps utilise un système de contrôle d'accès basé sur les rôles (Role-Based Access Control) pour gérer finement qui peut accéder à quoi dans votre instance. Ce système repose sur trois concepts clés :
- Utilisateurs
- Les personnes qui se connectent à KaliaOps. Chaque utilisateur possède un email unique, un mot de passe et peut être lié à un employé de votre organisation.
- Rôles
- Des ensembles de permissions qui définissent ce qu'un utilisateur peut faire. Un utilisateur se voit attribuer un rôle qui détermine ses droits d'accès.
- Permissions
- Les actions élémentaires autorisées ou non : voir, créer, modifier, supprimer. Chaque permission est associée à une ressource (assets, incidents, contrats, etc.).
Ce système permet d'appliquer le principe du moindre privilège : chaque utilisateur n'a accès qu'aux fonctionnalités strictement nécessaires à son travail.
Les rôles système
KaliaOps propose 4 rôles système prédéfinis qui couvrent les besoins les plus courants. Ces rôles ne peuvent pas être supprimés mais vous pouvez créer des rôles personnalisés si nécessaire.
Administrateur
Accès complet à toutes les fonctionnalités de l'instance. L'administrateur peut :
- Gérer tous les utilisateurs, rôles et permissions
- Configurer les paramètres du tenant (SSO, webhooks, API)
- Accéder à tous les modules CMDB et ITSM
- Consulter les journaux d'audit
- Exporter toutes les données
Scope par défaut : Tout le tenant
Manager
Accès étendu avec des capacités de gestion au niveau organisationnel :
- Créer, modifier et supprimer des entités CMDB et ITSM
- Gérer les employés et équipes de son organisation
- Valider les changements et clôturer les incidents
- Accéder aux rapports et tableaux de bord
Scope par défaut : Organisation
Technicien
Accès opérationnel pour le travail quotidien :
- Consulter et modifier les entités CMDB
- Gérer les incidents, problèmes et demandes assignés
- Créer des articles de base de connaissances
- Utiliser les outils d'analyse d'impact
Scope par défaut : Équipe
Lecteur
Accès en consultation uniquement :
- Visualiser les entités CMDB et ITSM
- Consulter les tableaux de bord
- Accéder à la base de connaissances
Scope par défaut : Données personnelles
Inviter des utilisateurs
Accédez à la gestion des utilisateurs
Dans le menu latéral, cliquez sur Paramètres → Utilisateurs. La liste des utilisateurs existants s'affiche avec leur rôle, statut et date de dernière connexion.
Créez une invitation
Cliquez sur le bouton « Inviter un utilisateur ». Renseignez les informations suivantes :
- Adresse email : l'email professionnel du collaborateur
- Rôle : sélectionnez le rôle approprié
- Employé associé (optionnel) : liez l'utilisateur à une fiche employé existante
L'utilisateur reçoit son invitation
Un email d'invitation est envoyé automatiquement. Il contient un lien sécurisé à usage unique valide pendant 7 jours. L'utilisateur clique sur ce lien pour définir son mot de passe et activer son compte.
Configuration du compte
L'utilisateur définit son mot de passe et, si son rôle l'exige (administrateur) ou s'il le souhaite, configure l'authentification à deux facteurs. Son compte est alors actif et il peut accéder à KaliaOps.
Gestion des permissions
KaliaOps propose plus de 115 permissions granulaires organisées par catégorie. Chaque permission suit le format ressource.action.
Actions disponibles
| Action | Description |
|---|---|
view | Consulter la liste et les détails |
create | Créer une nouvelle entité |
edit | Modifier une entité existante |
delete | Supprimer une entité |
Catégories de permissions
- CMDB
- assets, applications, contracts, vendors, clients, vlans, racks, network_flows
- ITSM
- incidents, problems, changes, service_requests, sla, workflows
- Organisation
- organizations, teams, employees, sites, projects
- Administration
- users, roles, api_tokens, webhooks, imports, exports, audit_logs
Permissions spéciales
Certaines permissions contrôlent des fonctionnalités avancées :
dependencies.view: Visualiser les dépendances entre entitésimpact_analysis.view: Utiliser l'outil d'analyse d'impactpredictive_analytics.view: Accéder aux analyses prédictivessso.manage: Configurer l'authentification SSOcloud_connections.sync: Lancer une synchronisation cloud
Scopes d'accès
Les scopes définissent le périmètre des données accessibles pour chaque permission. Un utilisateur peut avoir la permission de voir les assets, mais uniquement ceux de son équipe.
Les 4 niveaux de scope
- all - Tout le tenant
- Accès à toutes les données de l'instance. Réservé aux administrateurs et aux rôles de supervision globale.
- organization - Organisation
- Accès aux données de l'organisation de l'utilisateur et de ses sous-organisations. Idéal pour les managers de département ou de filiale.
- team - Équipe
- Accès aux données de l'équipe de l'utilisateur. Adapté aux techniciens et aux membres d'équipe projet.
- own - Données personnelles
- Accès uniquement aux entités créées par l'utilisateur ou qui lui sont explicitement assignées.
Exemple pratique
Un technicien du support avec le scope « équipe » sur les incidents :
- Peut voir : les incidents assignés à son équipe
- Peut modifier : les incidents assignés à son équipe
- Ne peut pas voir : les incidents des autres équipes
Protection des données sensibles
KaliaOps intègre un système de protection des champs sensibles (FieldGuard) qui masque automatiquement certaines informations selon les permissions de l'utilisateur.
Champs protégés par ressource
| Ressource | Champs sensibles | Permission requise |
|---|---|---|
| Contrats | Coût annuel, coût total, prix unitaire | contracts.field.cost |
| Fournisseurs | Compte bancaire (IBAN) | vendors.field.bank |
| Fournisseurs | SIRET, numéro TVA | vendors.field.legal |
Comportement
Lorsqu'un utilisateur n'a pas la permission de voir un champ sensible :
- Dans les vues détaillées : le champ affiche
*** - Dans les exports : le champ est omis ou masqué
- Dans l'API : le champ n'est pas inclus dans la réponse
Cette protection s'applique automatiquement, sans configuration supplémentaire.
Bonnes pratiques
Principe du moindre privilège
Attribuez toujours le rôle avec le minimum de permissions nécessaires. Il est plus facile d'ajouter des droits que de les retirer après un incident de sécurité.
Authentification à deux facteurs
Le 2FA est obligatoire pour les administrateurs mais nous recommandons fortement de l'activer pour tous les utilisateurs. KaliaOps supporte les applications TOTP standards (Google Authenticator, Authy, Microsoft Authenticator).
Révision régulière des accès
Planifiez une revue trimestrielle des utilisateurs et de leurs rôles :
- Désactivez les comptes des collaborateurs ayant quitté l'entreprise
- Vérifiez que les rôles correspondent toujours aux responsabilités actuelles
- Consultez les journaux d'audit pour détecter les anomalies
Utilisation des scopes
Privilégiez les scopes restrictifs (équipe, organisation) plutôt que « tout le tenant ». Cela limite l'impact d'une compromission de compte.
Liaison utilisateur-employé
Liez systématiquement les comptes utilisateurs aux fiches employés. Cela facilite :
- L'identification des personnes dans les journaux d'audit
- La désactivation automatique lors du départ d'un collaborateur
- L'attribution d'incidents et de demandes aux bonnes personnes
- 4 rôles système prédéfinis : Administrateur, Manager, Technicien, Lecteur
- Plus de 115 permissions granulaires couvrant tous les modules
- Scopes d'accès : tenant complet, organisation, équipe ou données personnelles
- Invitations par email avec lien sécurisé à usage unique (valide 7 jours)
- 2FA obligatoire pour les administrateurs, recommandé pour tous