Contrôle de l'accès au référentiel

L'administrateur de référentiel est responsable du contrôle de l'accès aux documents stockés dans le référentiel, en créant des utilisateurs et des groupes et en leur affectant des droits, des permissions et des profils. L'administrateur peut connecter PowerAMC à un serveur LDAP à des fins d'authentification ou à un serveur SMTP pour l'envoi automatique de notifications, et spécifier une politique afin de contrôler la robustesse et la durée de vie des mots de passe.

1. [facultatif] Connectez le référentiel à un serveur LDAP pour gérer les accès utilisateur (voir Connexion à un serveur LDAP pour l'authentification des utilisateurs).
2. [recommandé] Connectez PowerAMC à un serveur SMTP pour permettre l'envoi automatique de courriels concernant les mots de passe, les soumissions de listes de modifications et autres notifications (voir Connexion à un serveur SMTP à des fins de notifications).
3. Si certains de vos utilisateurs ne seront pas gérés par LDAP, spécifiez la politique de mot de passe appropriée (voir Définition d'une politique de mot de passe).
4. Créer des groupes fonctionnels de haut niveau (voir Création de groupes de référentiel) afin d'organiser les utilisateurs par type et leur affecter les droits appropriés afin de contrôler les actions générales qu'ils peuvent effectuent dans le référentiel (voir Octroi de droits aux utilisateurs et aux groupes).
   For example:

   Groupes	Droits
   Administrateurs	Connexion, Gestion de tous les documents, Gestion des utilisateurs, Gestion du référentiel
   Architectes experts	Connexion, Gel des versions, Verrouillage des versions, Gestion des branches, Gestion des configurations
   Architectes	Connexion, Gel des versions, Verrouillage des versions
   Analystes métiers	Connexion, Gel des versions, Verrouillage des versions
   Intervenants divers	Connexion (pour permettre un accès en lecture seule via le Portail PowerAMC).

   Remarque : Vous n'êtes aucunement obligé de créer des groupes - vous pouvez choisir d'affecter des droits et des permissions à des utilisateurs individuels - mais nous vous recommandons de le faire, car sauf dans les cas de déploiements restreints, la création de groupes simplifie le contrôle d'accès.
5. [facultatif] Utilisez les profils fournis ou développez-en d'autres et appliquez-les le cas échéant à vos groupes afin de filtrer l'interface PowerAMC et masquer ou rendre en lecture seule des types de modèles, des objets et des propriétés, mais aussi pour spécifier des valeurs par défaut pour des éléments d'interface, des options et des préférences pour les différentes catégories d'utilisateur (voir Utilisation de profils pour contrôler l'interface de PowerAMC).
   Dans notre exemple, les analystes métiers doivent pouvoir contribuer aux modèles de gestion, aux modèles d'architecture d'entreprise et aux modèles conceptuels de données, et tous les autres types de modèles leur sont cachés. On peut imaginer diviser le groupe Architectes en sous-groupes tels qu'architectes d'entreprise et architectes d'information et masquer ou rendre en lecture seule les modèles qui ne les concernent pas.
6. Créez une structure de dossier appropriée dans le référentiel (voir Dossiers du référentiel) afin de permettre de regrouper les documents par projet ou selon tout autre type de modalité approprié, ainsi que pour simplifier l'octroi de permissions.
   Dans notre exemple, l'équipe va utiliser le dossier Bibliothèque pour partager des modèles de référence et d'autres documents, et pour déployer des cibles, extensions et autres fichiers de ressources chez les utilisateurs (voir Déploiement d'une bibliothèque d'entreprise). En outre, deux projets de modélisation sont proposés, et tous les documents les concernant sont gardés dans les deux dossiers racine.
7. Déterminez votre politique d'évaluation soit au niveau global, soit par projet. PowerAMC prend en charge le type de politique suivants :
   • Evaluation simple - Les listes de modifications soumises par des utilisateurs avec la permission Soumission sont évaluées par un seul utilisateur doté d'une permission Ecriture ou Totale.
   • Evaluation par des pairs - Les utilisateurs dotés de la permission Ecriture ou Totale soumettent volontairement des listes de modifications pour évaluation.
   • Consolidation directe - La permission Soumission et les listes de modifications ne sont pas utilisées, et les utilisateurs consolident des modifications sans évaluation.
8. Créez des groupes de développement et mettez en oeuvre vos politiques d'évaluation en affectant les permissions permettant de contrôler les actions que les utilisateurs et groupes peuvent effectuer sur des documents de référentiel particuliers tels que votre bibliothèque, votre modèle de glossaire et vos projets de modélisation.
   Dans l'exemple, nous proposons :

   • Un Comité de conformité qui peut modifier les modèles de référence et les fichiers de ressources contenus dans la bibliothèque et qui peut soumettre des listes de modifications pour inclusion dans le modèle de glossaire.
   • Un Comité terminologique qui peut modifier le modèle de glossaire.
   • Pour chaque projet, des architectes experts sont en mesure de consolider des modifications dans le projet (et de soumettre des listes de modification pour inclusion dans le glossaire), et les autres architectes peuvent soumettre des listes de modifications dans le projet.
   • Un groupe d'intervenants divers interprojet disposant d'accès en lecture seule (bien qu'il soit possible d'imaginer des sous-dossiers au sein de chaque projet sur lesquels ces utilisateurs pourraient avoir une permission d'écriture ou de soumission afin d'y stocker leurs propres projets).

   Groupe	Bibliothèque	Modèle de glossaire	Projet A	Projet B
   Administrateurs	Totale	Totale	Totale	Totale
   Comité de conformité	Ecriture	Soumission	Lecture	Lecture
   Comité terminologique	Lecture	Ecriture	Lecture	Lecture
   Responsable projet A	Soumission	Soumission	Ecriture	Lecture
   Equipe projet A	Lecture	Lecture	Soumission	Lecture
   Responsable projet B	Soumission	Soumission	Lecture	Ecriture
   Equipe projet B	Lecture	Lecture	Lecture	Soumission
   Intervenants divers	Lecture	Lecture	Lecture	Lecture

9. Créez autant d'utilisateurs que nécessaire manuellement (voir Création d'utilisateurs du référentiel) ou via LDAP (voir Création d'utilisateurs de référentiel gérés par LDAP) et affectez-les aux groupes appropriés (voir Ajout d'utilisateurs et de groupes dans un groupe) en fonction de leurs rôles et de leurs responsabilités dans les projets.
   Il n'y a pas de limite au nombre de groupes dont un utilisateur ou groupe peut faire partie, et leurs utilisateurs bénéficient du cumul de tous les droits et permissions qu'ils reçoivent. Dans notre exemple, si un intervenant métiers est également membre du groupe Comité terminologique, il dispose alors de la permission Ecriture sur le modèle de glossaire.

• Connexion à un serveur LDAP pour l'authentification des utilisateurs
  Un administrateur de référentiel peut déléguer l'authentification des utilisateurs de référentiel à un serveur LDAP. PowerAMC prend en charge l'authentification via Active Directory et d'autres mises en oeuvre LDAP. Vous pouvez également permettre la création automatique de comptes de référentiel lorsqu'un utilisateur LDAP se connecte au référentiel pour la première fois.
• Connexion à un serveur SMTP à des fins de notifications
  L'administrateur du référentiel peut automatiser l'envoi des courriels pour les mots de passe, les soumissions de listes de modification, ainsi que d'autres notifications des utilisateurs en spécifiant un serveur SMTP que PowerAMC peut utiliser.
• Définition d'une politique de mot de passe
  L'administrateur du référentiel est responsable de la définition d'une politique de mot de passe pour faire en sorte que les mots de passe soient suffisamment sécurisés et changés régulièrement. La politique de mot de passe n'est applicable qu'aux utilisateurs qui ne sont pas gérés par LDAP.
• Création d'utilisateurs du référentiel
  L'administrateur du référentiel est responsable de la création de comptes utilisateur afin de permettre à ces utilisateurs de se connecter au référentiel et d'accéder au contenu dont ils ont besoin.
• Création d'utilisateurs de référentiel gérés par LDAP
  Si vous n'avez pas sélectionné l'option Créer automatiquement des comptes utilisateur dans le référentiel, vous devez créer des comptes de référentiel pour chaque utilisateur qui doit être en mesure de se connecter. Même si vous sélectionnez cette option, nous vous recommandons de créer les comptes utilisateur appropriés par avance pour octroyer les droits et permission appropriés sur vos divers dossiers et documents de référentiel.
• Création de groupes de référentiel
  L'administrateur du référentiel est responsable de la création des groupes utilisateurs dans le référentiel. Les utilisateurs sont ajoutés dans des groupes pour simplifier l'octroi des droits et des permissions et afin de permettre d'utiliser des profils. Vous pouvez créer des hiérarchies de groupes. Par exemple, vous pouvez insérer les groupes Concepteurs, Assurance Qualité et Documentation dans le groupe R&D, auquel vous affectez des permissions sur les documents que tous ces groupes doivent utiliser.
• Octroi de droits aux utilisateurs et aux groupes
  Un nouvel utilisateur dispose uniquement du droit Connexion affecté par défaut et appartient au groupe PUBLIC, qui est dépourvu de droit. Pour que l'utilisateur puisse travailler, l'administrateur doit lui octroyer des droits soit directement, soit en l'ajoutant dans des groupes.
• Octroi de permissions d'accès sur un élément de référentiel
  L'administrateur du référentiel ou un utilisateur disposant d'une permission Totale sur un document ou un dossier peut accorder des permissions sur cet objet en utilisant l'onglet Permissions de sa feuille de propriétés de référentiel. Vous pouvez accorder des permissions sur la racine du référentiel, sur des dossiers, sur des modèles et packages de modèle PowerAMC et sur des fichiers d'application externe, mais pas sur des diagrammes ou des objets de modèle individuels.
• Déblocage des utilisateurs bloqués
  L'administrateur du référentiel ou un utilisateur doté du droit Gestion des utilisateurs peut procéder au déblocage des utilisateurs bloqués en raison de non-respect de la politique de mot de passe.
• Désactivation d'utilisateurs
  L'administrateur du référentiel ou un utilisateur doté des droits Gestion des utilisateurs peut désactiver des utilisateurs. Un utilisateur inactif ne peut pas se connecter au référentiel, mais les informations relatives à ses consolidation et autres actions dans le référentiel restent disponibles aux autres utilisateurs.
• Audit des activités de référentiel
  Les utilisateurs ayant le droit Gestion de tous les documents peuvent utiliser la boîte de dialogue Liste des activités pour réaliser un audit des opérations effectuées sur les documents de référentiel, analyser le comportement des utilisateurs, et mettre en évidence des séquences d'activités. Les activités sont des actions qui modifient les documents de référentiel, comme une consolidation, un gel et une suppression.
• Exécution de requêtes SQL dans le référentiel
  Les administrateurs peuvent exécuter des requêtes SQL SELECT standard sur le référentiel via la fenêtre Exécution d'une requête. Si vous souhaitez exécuter d'autres types de requêtes, veuillez utilisez l'éditeur de requêtes de votre SGBD.
• Obtention d'un accès de secours au référentiel
  Dans le cas où aucun administrateur ne serait en mesure de se connecter à un référentiel en cours d'exécution, il est possible de créer un compte administrateur de secours afin d'y accéder.