Groupe 1A (socle)
Date de création :	2 mars 2004
Dernière modification :	2 avril 2004
Diffusion :	internet

Définition des groupes et attributs esup-portal

Ce document propose une arborescence type des groupes uPortal pour esup-portail et une liste d'attributs qui devraient être nécessairement implémentés.

L'intérêt est de préparer l'organisation de la distribution esup-portail, et de permettre aux développeurs de connaitre les ressources proposées par le 'socle' en terme de groupes et d'attributs.

Se reporter aux documents sur l'utilisation des groupes :

Sommaire :

Les groupes dans uPortal
En standard dans uPortal
Proposition de groupes dans esup-uportail
Attributs de personnes dans esup-portail
Exemple d'utilisation des groupes esup-portail
Remarques au sujet des groupes
Comptes prédédinis dans esup-portail

Les groupes dans uPortal

uPortal propose une gestion de groupes génériques.
Un groupe peut contenir un autre groupe, ou un type d'objet pré-défini.

En standard, uPortal propose des groupes d'objets 'application' et des groupes d'objets 'personne'.

Un objet susceptible d'appartenir a un groupe peut appartenir à plusieurs groupes de sa classe.

Il est tout à fait possible d'étendre cette gestion de groupes à d'autres types d'objets (groupes d'imprimantes par exemple) ; il suffit pour celà de développer et d'ajouter les classes java correspondantes, ceci sans toucher à l'existant.

L'utilité principal des groupes est:

Pouvoir répartir hiérarchiquement les objets ; il est plus facile de rechercher un étudiant dans sa formation que dans l'ensemble des étudiants de l'Université.
Pouvoir affecter des droits relatifs à ce groupe. Ainsi, les étudiants de miage 1ère année pourront avoir accès aux cours en ligne qui les concernent.
Pouvoir affecter des 'profils' aux utilisateurs d'un groupe (agregated layouts)
....

uPortal gère des groupes 'internes' (ou 'locaux'), dans sa base.

Il est possible d'y ajouter des groupes 'externes', comme par exemple, des groupes issus de requêtes LDAP.

Il est possible d'inclure des groupes externes dans des groupes internes.

En standard avec uPortal

Groupes d'applicatications

Ici, les applications correspondent à des canaux publiés dans uPortal.

Ces groupes permettent de regrouper ces canaux en catégories. Ceci permet de simplifier la recherche d'un canal donné et éventuellement la permission d'allocation des canaux.

La hiérarchie des groupes prédéfinis lors d'une installation uPortal est celle-ci :

All categories
 |
 |____Applications                   (contient Group Manager et Permissions manager)
 |____Developpement                  (contient différents canaux)
 |      |___uPortal                  (contient différents canaux)
 |            |___Channel Types      (contient des canaux utilisant les types génériques)
 |                 |___....
 |____Entertainment
 |      |___Games
 |____News

Et les canaux fournis sont répartis dans les différents groupes, voire parfois dans plusieurs groupes différents.

Groupes de personnes

Les groupes prédéfinis à l'installation d'uPortal sont les suivants :

Everyone
 |
 |____Faculty
 |     |___Associates Professors       (vide)
 |     |___Tenured Professors          (vide)
 |____Guest                            (un membre : guest)
 |____Staff
 |     |___Developpers                 (2 membres : demo et admin)
 |     |___Officers
 |          |___Portal Administrators  (un membre : admin)
 |     |___Support Staff               (vide)
 |____Students                         (un membre : student)
       |___Graduate Students           (vide)
       |___Prospective Students        (vide)
       |___UnderGraduate Students
            |___Full Time              (vide)
            |___Part Time               (vide)

Comptes prédéfinis

student. C'est un compte sans spécificités, à des fins de démo.
guest. C'est le compte anonyme. C'est sous ce compte qu'est affichée la page uPortal en non authentifié
demo. C'est un compte de démonstration. Sa particularité : par défaut, tout nouveau compte créé dans uportal hérite de son profil (et appartient, à l'initialisation, aux mêmes groupes que le compte demo)
admin. C'est le compte d'aministration, qui a tous les droits dans le portail.

Proposition de groupes dans esup-portail

Est décrite ici l'organisation générale de la distribution esup-portail.

Ce qui est présenté ici est une idée d'organisation ; chaque établissement a bien sur le loisir d'organiser ses groupes esup-portail à sa guise.

Groupes d'applications

All categories
 |
 |____uPortal
 |     |___AdminPortal               (contient Group Manager, Permissions manager, outils d'administration)   
 |     |___Channel Types             (recopie Channel Types d'origine)    
 |     |___divers                    (autres canaux de la distrib uportal)
 |___Outils Communication
 |___Informations
 |___Scolarite
 |___GRH
 |___Comptabilite
 |___Documentation
 |___Documents en ligne
 |___Divers

Le groupe uPortal ne sera pas visible pour les utilisateurs ordinaires
Pour les autres groupes : les canaux ou groupes inclus seront ou non visibles aux différentes populations

Groupes utilisateurs

Sont en couleur verte les groupes locaux créés dans la distribution esup-portail, en couleur bleue des exemples de groupes locaux personnalisés, en couleur rouge des exemples issus de requêtes LDAP.

 Everyone
 |___Anonyme
 |___Administrateurs
 |    |___Administrateurs uPortal
 |    |___Administrateurs Applications scolarité
 |    |___Administrateurs Applications GRH
 |    |___...
 |___Applicatifs
 |    |___Gestion
 |    |    |___App CMonDossierWeb
 |    |         |__ App CMonDossierWeb Lecteur
 |    |         |__ App CMonDossierWeb Ecrivain
 |    |         |__ App CMonDossierWeb Administrateur
 |    |___Documentation
 |    |___Communication
 |    |___Information
 |    |___Outils CRI
 |___Etablissement
 |    |___Personnels
 |    |    |___Categorie Personnels
 |    |    |    |___Enseignants
 |    |    |    |___Administratifs
 |    |    |    |___....
 |    |    |___Composantes Personnels
 |    |    |    |___Personnel Composante Presidence
 |    |    |    |___Personnel Composante UFR Maths Infos
 |    |    |    |___...
 |    |    |___Services Personnels
 |    |    |    |___Personnel service Scolarité
 |    |    |    |___Personnel service Recherche
 |    |    |    |___...
 |    |    |___Campus Personnels
 |    |    |    |___Personnel Pole Lorrain de Gestion
 |    |    |    |___...
 |    |    |___Equipes de Recherche
 |    |
 |    |___Etudiants
 |    |    |___UFR Etudiants   
 |    |    |    |___UFR Maths-Infos
 |    |    |    |    |___Miage 1
 |    |    |    |___...
 |    |    |____Campus Etudiants
 |    |          |___Pole Lorrain de Gestion
 |    |          |    |___Miage 1
 |    |          |___...
 |    |___Invites

Le nom des groupes pourra être adapté par chaque établissement.
On remarque que le groupe 'Miage 1', issu de requêtes LDAP, peut être rattaché à différents groupes locaux :
- UFR Maths-Info
- Pole Lorrain de Gestion
En ce qui concerne les groupes Applicatifs : voir l'explication dans le paragraphe dédié à l'utilisation des groupes dans esup-portail.

Attributs Esup-Portail

Sont décrits ici les attributs pré-définis dans la distribution esup-portail, issus de l'annuaire LDAP. Bien entendu, chaque établissement a le loisir d'étendre cette liste.

Les développeurs de canaux dédiés à la communauté esup-portail peuvent s'appuyer sur cette liste d'attributs esup-portail. Il est donc de la responsabilité de chaque établissement de les implémenter.

La plupart de ces attributs sont définis par le groupe de travail supann (voir le document supann).

esup-portail	LDAP
uid	uid
cn	cn
givenName	givenName
sn	sn
displayName	displayName
mail	mail
telephoneNumber	telephoneNumber
facsimileTelephoneNumber	facsimileTelephoneNumber
postalAddress	postalAddress
supannCodeINE	supannCodeINE
supannEtuId	supannEtuId
supannEmpId	supannEmpId
esupEtuFormation	xxxxxx
esupPersCategorie	eduPersonAffiliation
esupEmpComposante	xxxxxx

les attributs esupEtuFormation, esupPersCategorie, esupEmpComposante seront utilisés par le gestionnaire de groupes LDAP pour créer certains groupes uPortal, respectivement :

Les formations d'étudiants
Les catégories de personne
Les composantes de personnel

Exemple d'utilisation des groupes esup-portail

Comme décrit précédemment, uPortal permet l'utilisation de groupes hiérarchiques, et l'ajout de groupes issus de ressources externes.

Un des principaux intérêts des groupes d'utilisateurs est d'affecter des permissions liés à des applicatifs (canaux).

Deux exemples vont illustrer des possiblités d'utilisation :

Exemple 1 : un canal, appelé ici 'Mon Dossier Web'

Les groupes utilisés par ce canal font partie de l'arborescence décrite dans le paragraphe 'Proposition de groupes dans esup-portail'.

Pour ce canal, différents droits sont à définir, qui vont être traités par l'appartenance à des groupes :

Droit de s'allouer le canal : autorisé au groupe 'App MonDossierWeb'.
Un rôle de 'lecteur' dans ce canal : donné au goupe 'App MonDossierWeb Lecteur'.
Un rôle d'ecrivain' dans le canal : donné au groupe 'App MonDossierWeb Ecrivain'.
Un rôle d'aministrateur fonctionnel du canal : donné au groupe 'App MonDossierWeb Administrateur'.

Un exemple de gestion de ces groupes (pour simplifier cette explication, 'App MonDossierWeb Lecteur' a été remplacé par 'Lecteur', idem pour 'Ecrivain' et 'Administrateur') :

A l'installation du canal par l'administrateur esup-portail

L'administrateur esup-portail a créé ces 4 groupes
Lors de la publication du canal, Il a donné le droit d'allocation de celui-ci au groupe 'App MonDossierWeb'.
L'administrateur esup-portail a autorisé 'Administrateur' à ajouter des membres dans les groupes 'Ecrivain' et 'Lecteur'.
Le fichier de configuration du canal permet de paramétrer le nom (ou la clé uportal?) de ces différents groupes.

Lors de l'utilisation

L'administrateur esup-portail gère les membres de 'Administrateur' (ou alors, il a délégué ceci à un groupe 'Administrateur des Applis de Gestion', ou plus simplement, à une ou quelques personnes).
Les membres du groupe 'Administrateur' peuvent alors choisir les utilisateurs ayant des droits de lecteur ou d'écrivain dans l'application, ceci en ajoutant des groupes ou des personnes aux groupes 'Lecteur' ou 'Ecrivain' à l'aide du canal 'Group Manager'.

Exemple 2 : un canal Annonce

A l'installation

L'administrateur esup-portail a créé un groupe 'App Annonce'. Il a créé également un sous-groupe 'App Annonce Administrateur', qui va contenir la liste des personnes (ou groupes) ayant le droit de créer un nouveau canal d'annonce.
Lors de la publication du canal, il a autorisé Every One à pouvoir se l'allouer
Le fichier de configuration du canal permet de paramétrer le nom des groupes 'App Annonce' et 'App Annonce Administrateur', et un préfixe qui sera ajouté aux noms de groupes créé automatiquement.

Lors de l'utilisation

Un des administrateurs fonctionnels de ce canal crée un nouveau 'flux' d'informations. Automatiquement, le canal va créer sous le groupe 'App Annonce' un groupe 'App Annonce nomDuFlux', ou nomDuFlux représente au groupe lié de manière applicative au flux d'information créé.
L'administrateur fonctionnel va ensuite pouvoir ajouter depuis le canal Annonce (et via le group manager utilisé en servant) les personnes ou groupes de personnes qui seront destinataires de ce flux.

Remarques au sujet des groupes

Groupes esup-portail issus de LDAP

Pour des raisons de performance, l'interface uPortal permettant de créer des groupes dynamiques issus de LDAP n'utilise pas les groupes LDAP ; ces groupes uPortal sont peuplés à l'aide de requêtes LDAP simples.

Ceci sous-entend que les entrées de personnes dans LDAP comportent des attributs permettant de faire le regroupement.

Utilisation des groupes par les canaux

Comme indiqué précédemment, les groupes sont utilisés par le 'socle' esup-portail, en particulier pour donner des droits ou des profils.

Il arrive fréquemment que des canaux aient besoin d'utiliser ces groupes en interne.

Pour celà, deux possibilités :

Utilisation du 'Permission Manager' : ceci permet de disposer des ressources d'uPortal en terme d'affectation de permissions en interne au canal
Autre. Dans ce cas, les groupes utilisés par le canal doivent impérativement être spécifiés dans le fichier de configuration du canal.

La spécification d'un groupe dans un fichier de config peut être fait soit à l'aide du nom du groupe, soit à l'aide de la clé interne, chaque méthode présentant des avantages et inconvénients.

Par le nom
Avantage : simple à faire
Inconvénient : l'unicité de nom n'est pas garanti : 2 groupes de même nom peuvent exister dasn des branches différentes
Par la clé
Avantage : l'unicité est garantie
Inconvénient : cette clé n'est pas disponible facilement.

Nous préconisons que les canaux ayant besoin de définir des groupes dans un fichier de configuration puisse proposer les 2 méthodes, afin de laisser le choix à l'administrateur esup-portail.

Comptes prédéfinis dans esup-portail

Les comptes suivants seront pré définis dans esup-portail ; ce sont des comptes locaux :

anonyme : c'est le compte qui correspond à l'utilisation anonyme ; il appartient au groupe 'Anonyme'
admin : c'est un compte administrateur global uportal. Il appartient au groupe 'Administrateurs uPortal'.
utilisateur defaut : c'est l'utilisateur dont héritent les comptes créés. A voir le groupe d'appartenance.

Création :2 mars 2004 - Vincent Mathieu
Modifications : 18 mars 2004 . Vincent 25 mars 2004 . Vincent 2 avril 2004. Vincent