Gestion des utilisateurs¶
Console d'administration¶
Pour vous connecter à l'espace d'administration de Keycloak, vous devez disposer du rôle "caascad-keycloak-users-admin" et utiliser cette URL:
https://keycloak.ZONE_NAME.caascad.com/auth/admin/ZONE_NAME-client/console/
A partir de cette console, vous pouvez administrer l'ensemble de vos utilisateurs existants, en ajouter de nouveaux, créer des groupes d'utilisateurs et leur attribuer des rôles sur des outils de la plateforme Caascad.
Ajouter un nouvel utilisateur¶
- Cliquez sur "Users" pour visualiser la liste des utilisateurs.
- Cliquez sur "Add user".
- Remplissez les informations de l'utilisateur.
- Si vous souhaitez mettre en place la double authentification pour vous utilisateurs, sélectionnez "Required User Actions" puis "Configure OTP".
- Cliquez sur "Save" pour finaliser la création du compte utilisateur. Une fois celui-ci créé, il pourra suivre la procédure de première connexion.
Créer un groupe d'utilisateurs¶
- Cliquez sur "Groups" pour visualiser la liste des groupes d'utilisateurs.
- Les groupes d'utilisateurs sont hiérarchiques, vous pouvez soit créer un nouveau groupe sans groupe parent en cliquant directement sur "New", soit séléctionner un groupe existant et cliquer sur "New" pour créer un sous-groupe.
- Remplissez le nom du groupe et cliquez sur "Save".
Gérer les groupes d'un utilisateur¶
- Cliquez sur "Users" pour visualiser la liste des utilisateurs.
- Cliquez sur "Edit" à droite de l'utilisateur à modifier (Vous pouvez vous aider de la recherche pour trouver l'utilisateur dans la liste)
- Cliquez sur "Groups". Vous aurez alors la vue des groupes dont fait partie l'utilisateur et ceux disponibles.
- Vous pouvez alors séléctionner un groupe et cliquer sur "Join" pour y ajouter l'utilisateur ou "Leave" pour l'en retirer.
Assigner un rôle à un groupe d'utilisateurs¶
Il est possible d'assigner des rôles nominativement à chaque utilisateur ou bien de les assigner à des groupes dans lesquels vous affectez des utilisateurs. Pour plus de facilité dans l'administration et la maintenance de votre base d'utilisateurs Caascad, nous vous recommandons d'utiliser les groupes.
- Cliquez sur "Groups" pour visualiser la liste des groupes d'utilisateurs.
- Séléctionnez le groupe à modifier et cliquez sur "Edit".
- Cliquez sur "Role Mapping". Vous aurez alors la vue des rôles affectés à ce groupe (Assigned Roles) et des rôles disponibles (Available Roles). Les groupes étant hiérarchiques, ils hériteront automatiquement des rôles affectés à leurs groupes parents. Vous pouvez voir l'ensemble des rôles assignés et hérités dans la partie "Effective Roles"
- Séléctionnez un rôles (ou plusieurs en maintenant la touche ctrl enfoncée) puis cliquez sur "Add selected" pour ajouter le rôle au groupe ou sur "Remove selected" pour le lui retirer.
Rôles Caascad¶
Roles globaux¶
Ces rôles donnent un niveau d'accès sur l'ensemble des applications Caascad. Ils sont une combinaison des rôles fins décris dans la section suivante.
| Rôle | Description |
|---|---|
caascad-maintainer |
Rôle Devops sur l'ensemble des clusters + Administration des utilisateurs dans Keycloak |
caascad-devops |
Accès membre sur l'ensemble des outils de la plateforme. Il s'agit d'une combinaison des rôles caascad-rancher-admin, caascad-concourse-member et caascad-vault-k8s-secrets |
caascad-guest |
Accès en lecture sur l'ensemble des outils de la plateforme. Il s'agit d'une combinaison des rôles caascad-rancher-viewer et caascad-concourse-viewer |
caascad-devops-ZONE_NAME |
Comme caascad-devops mais limité à ZONE_NAME |
caascad-guest-ZONE_NAME |
Comme caascad-guest mais limité à ZONE_NAME |
Rôles fins¶
| Rôle | Description |
|---|---|
caascad-keycloak-users-admin |
Accès administrateur des utilisateurs de Keycloak. Permet de gérer les utilisateurs, groupes d'utilisateurs et leurs rôles respectifs |
caascad-rancher-admin |
Accès administrateur sur Rancher sur l'ensemble des clusters. Permet d'accéder à l'ensemble des clusters Kubernetes clients en lecture et écriture |
caascad-rancher-admin-ZONE_NAME |
Comme caascad-rancher-admin mais limité à ZONE_NAME |
caascad-rancher-viewer |
Accès en lecture sur Rancher. Permet d'accéder à l'ensemble des clusters Kubernetes clients en lecture seulement |
caascad-rancher-viewer-ZONE_NAME |
Comme caascad-rancher-viewer mais limité à ZONE_NAME |
caascad-concourse-member |
Accès membre de l'ensemble des équipes de Concourse. Permet d'accéder à l'ensemble des équipes Concourse en lecture et écriture |
caascad-concourse-member-ZONE_NAME |
Comme caascad-concourse-member mais limité à ZONE_NAME |
caascad-concourse-operator |
Accès operateur sur l'ensemble des équipes de Concourse. Permet de visualiser et de déclencher les pipelines de l'ensemble des équipes Concourse sans possibilié de les modifier |
caascad-concourse-operator-ZONE_NAME |
Comme caascad-concourse-operator mais limité à ZONE_NAME |
caascad-concourse-viewer |
Accès en lecture sur l'ensemble des équipes de Concourse. Permet de visualiser les pipelines de l'ensemble des équipes Concourse sans possibilié de les modifier ou de les déclencher |
caascad-concourse-viewer-ZONE_NAME |
Comme caascad-concourse-viewer mais limité à ZONE_NAME |
caascad-vault-k8s-secrets |
Accès en écriture aux secrets applicatifs globaux et des clusters |
caascad-vault-k8s-secrets-ZONE_NAME |
Comme caascad-vault-k8s-secrets mais limité à ZONE_NAME |