Cadoles
/
formations
18
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity
formations/diiage/C3-2_Sécurité_SI/20180209_Autorisation/tp.md

2.1 KiB
Raw Blame History

TP - Concevoir un modèle d'autorisation

Contexte

Un client souhaite réaliser une application de gestions des ressources techniques pour palier aux problèmes de "sur-réservation" qui touchent son entreprise avec le modèle actuel basé sur des formulaires papiers.

L'entreprise met à disposition de ses employés les ressources suivantes:

  • 4 salles de réunion
  • 5 véhicules professionnels
  • 3 projecteurs numériques
  • 6 ordinateurs portables

Les ressources sont évidemment indivisibles. Chaque employé peut réserver une ressource pour une ou plusieurs heures.

Les salariés sont répartis par services:

  • Un service "Direction"
  • Un service "RH"
  • Un service "Direction"
  • Un service "Commercial"

Le client souhaite que les règles de gestion suivantes soient respectées:

  • Une ressource, pour une heure donnée, à 3 états possibles: libre, pré-réservée ou réservée.
  • Tous les services peuvent réserver une ou plusieurs ressources pour une ou plusieurs heures si celle(s) ci ne sont pas encore réservées.
  • Les membres du services "Commercial" ont la priorité sur les véhicules de fonction. Ils peuvent donc annuler une pré-réservation existante sur un véhicule par leur propre propre pré-réservation. Ils ne peuvent pas annuler une réservation validée.
  • Le service "RH" peut valider les réservations des ressources (ils passent donc une ressource de l'état pré-réservée à réservée)
  • Les membres du service "Direction" peuvent remplacer n'importe quelle pré-réservation existante sur n'importe quelle ressource.

Consignes

  • Identifier les entités métiers constituant l'application.
  • Identifier les différents types d'utilisateurs de l'application
  • Identifier les actions possibles sur les entités et les permissions associées
  • Concevoir et modéliser un système d'autorisation permettant d'implémenter les contraintes de gestion attendues par le client. Votre proposition devra respecter le principe de moindre privilège et de séparation des droits. Votre modélisation peut être soit sous forme de graphique ou textuelle.
  • Argumenter son choix du type de modèle ACL, RBAC ou ABAC par rapport aux contraintes du projet.