Discussion :

[CIFQ_Drew]

Bonjour,

J'aimerais me développer une bibliothèque qui aura pour but de simplifier la gestion des droits utilisateurs d'un système donné.

Mon principale objectif est bien sur la ré-utilisabilité. J'ai fait quelque recherche et j'ai cru comprendre qu'une structure hiérarchique, telle LDAP par exemple, serait la plus adapté.

Voilà, je ne sais pas trop comment m'y prendre. J'avais eu l'idée d'utiliser le standard XML comme type de sauvegarde. Voici ce que j'ai ressortie lors de mes brain storm.

J'ai identifier environ trois acteurs potentielles : les anonymes, les utilisateurs et les administrateur système (ne pas confondre avec les administrateurs de l'entreprise, qui sont des utilisateurs avec plus de droit). L'anonyme est une personne qui n'est pas identifier et est donc inconnue, un utilisateur est identifier par le système et l'administrateur système est à la fois identifier mais peut changer les paramètres du système.

Là où je bloque concerne les accès et les rôles. Selon moi, un rôle est un ensemble d'accès. Un accès peut être attribué à un rôle mais peut également être attribué directement à un utilisateur. Pour s'amuser encore plus, un utilisateur peut avoir plusieurs rôles. Bref, comment je peux emmagasiner tous ces éléments dans une structure hiérarchique ? À moins que je n'aille pas compris le principe des rôles.

Un éclaircissement serait apprécié !

[sevyc64]

En gros tu cherche à réinventer ActiveDirectory qui utilise justement une structure LDAP

[CIFQ_Drew]

Corrigé moi si je me trompe, mais Active Directory sert à données les droits d'accès sur un ensemble de matériel et logiciel d'un réseau. Moi ce que je veux faire c'est développer une bibliothèque qui va me permettre de créer facilement un système de droit d'accès à l'intérieur de mes projets.

En fait, je veux plus faire un standard XML qui pourra être généré via n'importe quel langage (C#, Java, PHP pour nommé que ceux-ci). Mon problème c'est que, de ce que j'ai pu comprendre, une structure hiérarchique est la plus approprié pour ce genre de besoins, alors que moi je vois plus une structure relationnel.

Rôle plusieurs à plusieurs Utilisateur
Rôle plusieurs à plusieurs Accès
Utilisateur plusieurs à plusieurs Accès

Je ne vois pas comment appliquer une telle structure dans un document hiérarchique. Le mieux que je peux voir, c'est de faire, par exemple, un fichier XML listant tous les accès. À partir de ce fichier, nous avons un autre fichier listant tous les rôles avec, à l'intérieur, les liens vers les accès définis dans notre premier fichier XML. Enfin, Un fichier d'utlisateur ayant une liste de rôle et une liste d'accès.

Voici un exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?xml version="1.0" encoding="utf-8"?>
<!-- XML Access Definition File -->
<system>
  <access id="1" name="Gérer les tâches">
    <access id="1.1" name="Ajouter une tâche" />
    <access id="1.2" name="Modifier une tâche" />
    <access id="1.3" name="Supprimer une tâche" />
  </access>
  <access id="2" name="Liste les tâches" />
</system>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?xml version="1.0" encoding="utf-8"?>
<!-- XML Role Definition File -->
<system>
  <role id="1" name="Administrator">
    <access id="1" />
    <access id="2" />
  </role>
  <role id="2" name="Utilisateur">
    <access id="1.1" />
    <access id="1.2" />
    <access id="2" />
  </role>
</system>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?xml version="1.0" encoding="utf-8"?>
<!-- XML User Definition File -->
<system>
  <user id="1">
    <username>John</username>
    <password hash="md5">34fjjrfejf398fj3fj</password>
    <role id="2" />
  </user>
  <user id="2">
    <username>Jane</username>
    <password crypt="aes" lenght="190">sdfqwer4f134ferf34fqawe4rf</password>
    <role id="1" />
    <access id="1.3" revoke="revoke" />
  </user>
</system>

Est-ce qu'il s'agit d'une bonne approche ou je me complique l'existence ?

[sevyc64]

ActiveDirectory agit effectivement au niveau de l'OS sur les fichiers, dossiers, logiciels, ....

Je ne suis pas un expert de AD et mes connaissances n'en sont finalement que succinctes, mais il me semble que le fonctionnement des droits au niveau d'un objet (un utilisateur par exemple) est similaire à ce que tu décrit pour ton logiciel.

Donc pour moi, je pense que tu es sur la bonne piste.




LDAP ne se limite pas à ActiveDirectory. Faut-il que tu mette en place une structure LDAP ?
Si tu n'as que quelques rôles/utilisateurs/etc à gérer, je pense que tu peux commencer avec ta solution de fichiers XML. Si les roles/utilisateurs/etc sont nettement plus nombreux, tu peux peut-être t'intéresser à ce mécanisme.

De toute façon LDAP ne définie pas le support de stockage des données. Celles-ci peuvent très bien être stockées dans des fichiers XML.
Donc même si tu commence par des fichiers XML, et que tu décide de mettre en place une structure LDAP ensuite, il est possible que tu puisse réutiliser tes fichiers XML.

[CIFQ_Drew]

Merci beaucoup. Je vais donc poursuivre sur cette voix.

[Tommy31]

Corrigé moi si je me trompe, mais Active Directory sert à données les droits d'accès sur un ensemble de matériel et logiciel d'un réseau. Moi ce que je veux faire c'est développer une bibliothèque qui va me permettre de créer facilement un système de droit d'accès à l'intérieur de mes projets.

XACML serait une réponse à ton problème. C'est un dialecte XML permettant d'exprimer des politiques de sécurité, soit en gros, les droits qu'un utilisateur peut revendiquer sur un ensemble de ressources.

Jettes-y un coup d'oeil, c'est bien ficelé et puissant (quoiqu'assez complexe).

[CIFQ_Drew]

XACML serait une réponse à ton problème. C'est un dialecte XML permettant d'exprimer des politiques de sécurité, soit en gros, les droits qu'un utilisateur peut revendiquer sur un ensemble de ressources.

WOW ! En plein ce que je cherchais.

Souhaitez-moi bonne chance pour l'implémentation !

[okba70]

salut

je voudrai travailler avec xacml 3.0 , mais je n'est pas connu comment l'installer et quelles sont les outils nécessaire pour cela.

merci