les accès à des ressources sur la base d'appartenance à un groupe, c'est pas une fonctionnalité basique qui existe à peu près partout depuis plusieurs décennies ?   Même dans la gestion de base des droits unix il y a une notion de groupe...
Ou alors j'ai raté un truc

Oui, sur Unix, tu vas définir des droits d'accès pour des groupes et mettre les gens dans des groupes. Et tu vas faire ça pour chaque appli/outil ou système de fichiers. Moi, je parle d'un outil qui gère ça au niveau global. Tu définis dans cet outil les groupes, les droits d'accès aux types d'informations/données (je ne parle donc pas de répertoires ou fichiers, mais de type de données, de nature de données) et l'association groupes/utilisateurs. Ensuite, cet outil passe ces infos à chaque appli ou système de fichier qui, grâce à ça, va placer automatiquement l'utilisateur dans les bons groupes définis dans l'appli ou système de fichiers et donc lui attribuer les bons droits. Quand la personne change de poste, l'association à ses groupes est mise à jour. Lorsqu'elle se reconnecte à une applis ou système de fichiers, ses droits d'accès sont mis à jour en prenant en compte son appartenance aux nouveaux groupes.

Oui, sur Unix, tu vas définir des droits d'accès pour des groupes et mettre les gens dans des groupes. Et tu vas faire ça pour chaque appli/outil ou système de fichiers. Moi, je parle d'un outil qui gère ça au niveau global. Tu définis dans cet outil les groupes, les droits d'accès aux types d'informations/données (je ne parle donc pas de répertoires ou fichiers, mais de type de données, de nature de données) et l'association groupes/utilisateurs. Ensuite, cet outil passe ces infos à chaque appli ou système de fichier qui, grâce à ça, va placer automatiquement l'utilisateur dans les bons groupes définis dans l'appli ou système de fichiers et donc lui attribuer les bons droits. Quand la personne change de poste, l'association à ses groupes est mise à jour. Lorsqu'elle se reconnecte à une applis ou système de fichiers, ses droits d'accès sont mis à jour en prenant en compte son appartenance aux nouveaux groupes.

Ca existe, ça s'appelle Active Directory :
- Tu crées des groupes de ressources, et tu associes tes partages/applis/etc. à ces groupes de ressources
- Tu crées des groupes d'équipes ou de métiers, auxquels tu associes tes utilisateurs
- Tu imbriques les groupes ressources/équipes.
 
Comme ça, tu enlèves ton utilisateur du groupe de son équipe, tu le mets dans le nouveau, et hop.
 
Fait des recherches sur le modèle ADGLP. Exemple : https://www.it-connect.fr/agdlp-bie [...] -fichiers/

J'ai l'impression que les droits d'accès concernent des fichiers ou répertoires. Moi, je parle de droits d'accès sur la nature d'informations.
 
Ex : je peux voir le nom/prénom/e-mail de personnes travaillant dans mon COGIP mais je ne peux pas voir leur n° de tél (ex à la con, on est bien d'accord). Comment on peut faire pour que si un document, stocké en GED ou sur un disque réseau), contient une adresse mail (par ex), je ne puisse pas l'ouvrir ? Ca existe ce genre de chose ?

 
 
oui ce que tu décrits c'est de l'IAM + classification de la data. c'est l'enfer sur terre car généralement personne dans une entreprise n'est d'accord sur les regles de classifications + ça nécessite un temps monstrueux pour tout classer.... j'ai des projets qui ont mis plus de 2 ans à démarrer à cause de ça

 
 
oui ce que tu décrits c'est de l'IAM + classification de la data. c'est l'enfer sur terre car généralement personne dans une entreprise n'est d'accord sur les regles de classifications + ça nécessite un temps monstrueux pour tout classer.... j'ai des projets qui ont mis plus de 2 ans à démarrer à cause de ça

 
 
oui ce que tu décrits c'est de l'IAM + classification de la data. c'est l'enfer sur terre car généralement personne dans une entreprise n'est d'accord sur les regles de classifications + ça nécessite un temps monstrueux pour tout classer.... j'ai des projets qui ont mis plus de 2 ans à démarrer à cause de ça

 
oui voilà, faut bien être conscient du boulot que ça va demander à tous les niveaux (car en général on demande à chaque équipe/entité de gérer ses classifications et donc d'être responsable dessus)

Netware ça ne compte pas

Non à côté netware c'est du généraliste.
 
C'était sur la liste des radars utilisés pour faire une poursuite chez nous.

Ça va se terminer en WeTransfer sans limite de temps et avec un lien public.

Ca existe, ça s'appelle Active Directory :
- Tu crées des groupes de ressources, et tu associes tes partages/applis/etc. à ces groupes de ressources
- Tu crées des groupes d'équipes ou de métiers, auxquels tu associes tes utilisateurs
- Tu imbriques les groupes ressources/équipes.

Comme ça, tu enlèves ton utilisateur du groupe de son équipe, tu le mets dans le nouveau, et hop.

Fait des recherches sur le modèle ADGLP. Exemple : https://www.it-connect.fr/agdlp-bie [...] -fichiers/

Oui, c'est exactement ça. Et effectivement, c'est bien mon intuition que ça va être la galère à gérer. En gros, là où je bosse, on commence à dire que telle ou telle donnée, seules certaines personnes peuvent y accéder mais quand tu vois le cercle restreint qu'ils indiquent et que tu fouilles un peu, tu te rends compte que dans la GED, ces données sont accessibles à toute la boîte. Pire : certaines de ces données sont transmises à des entreprises extérieures (qui en ont besoin) et on en trouve même certaines sur internet via un moteur de recherche

il suffit de mettre tout le monde en admin  
sauf le stagiaire

 
La gestion des droits de partage c'est toujours une horreur et pour avoir gérer ça une bonne partie de ma carrière la seule solution au bout d'un moment c'est de ramener tout le monde sur terre et de la jouer basique ! Ton fichier c'est de la compta ? Il va dans le dossier compta et il peut être consulté/modifié par les gens du groupe compta.  
Au pire tu peux faire un groupe de sécu read only, mais faut pas chercher plus loin sinon tu te retrouves avec des param du genre si le 12eme mot de la 36eme phrase est souligné en carmin métal alors c'est Gizelle qui peut faire des modif sur le 7 paragraphe.
Donc faut savoir dire "C'est pas possible/ingérable".

Tien au passage, vu qu'on parle de documents confidentiels. Comment vous gérer le cas suivant ?
 
On a des données qui doivent pouvoir être consultées suivant certains groupes utilisateurs. Les utilisateurs peuvent changer de groupes au cours du temps. Ca veut dire que si à un moment donné ils pouvaient consulter certains documents, une fois le groupe quitté, ils ne doivent plus pouvoir y accéder. Donc, pour moi, ça exclut la solution de mettre des droits d'accès sur le nom/id des personnes. Trop compliqué à gérer qu'à chaque changement de groupe, il faille enlever des droits et en remettre à une personne. Ces droits d'accès concernent les documents (en GED par ex) mais aussi dans d'autres outils ou répertoires réseaux.
 
Ca implique d'avoir qq part une BD qui recense les types de données et les groupes qui peuvent y accéder ainsi qu'un outil d'authentification qui, à partir d'un id/mdp, va savoir qui est la personne et savoir dans quels groupes elle est. Mais après, il va falloir passer ces appartenances aux groupes aux différents outils et systèmes de fichiers.
 
Comme outils, je pense à des GED, des GMAO, des outils de ticketing, de gestion de conf... ainsi qu'à des répertoires réseaux.
 
Merci :jap :

Difficile à appliquer voir impossible quand la cogip, c'est du multi-sites relativement indépendants mais qui travaillent sur des projets communs tout en se trouvant dans des branches du LDAP différentes et ont des hiérarchies différentes.
 
Je verrais bien, pour les documents mis dans des outils, de mettre des tags prédéterminés permettant de décrire les différents types de données mises dans le doc. Le circuit de vérif/appro vérifiera le bon remplissage des tags. Ensuite, l'outil d'auth permettra d'indiquer les tags auxquels l'utilisateur connecté peu accéder. Pour les fichiers sur les répertoires réseaux, là, OK, ta solution peut fonctionner. Reste les outils métiers. Là encore, je pense que ta solution doit pouvoir fonctionner moyennant qq ajustements.

 
Quand tu parles de multi site, c'est du mutli domaine avec relation d'appro ou simplement des gens géographiquement distants ?
 
Parce que quoi qu'il en soit, un groupe de sécu se balance complétement de l'OU du compte !  

Microsoft Purview  + M365 E5

 
AWS datazone  

Drap, DBA aigri ici

Tiens, un collègue pour abdrx, ça nous change un peu de l'ancêtre

Tiens, un collègue pour abdrx, ça nous change un peu de l'ancêtre

Si il fait du MS Access ça ne compte pas

Drap, DBA aigri ici

 
Tu fais de la bdd, pourquoi il en serait autrement ?

Je suis chez la concurrence (DB2 LUW)  

Toute concurrence à Oracle est bonne à prendre pour espérer que cette engeance disparaisse un jour