Rôles et Permissions
Géré via : la page d'édition de l'utilisateur (backoffice/users/{id}/edit)
Accessible aux rôles : Administrateur Système
Aperçu
Airspace utilise Bouncer pour le contrôle d'accès basé sur les rôles (RBAC). Chaque action du backoffice est protégée par des capacités, et les capacités sont accordées via des rôles ou assignées directement aux utilisateurs individuels. Ce système garantit que les membres du personnel n'ont accès qu'aux fonctionnalités dont ils ont besoin.
Architecture du Contrôle d'Accès
Le système de permissions est structuré en trois couches :
- Porte :
see-admin-panel— Contrôle l'accès à l'ensemble du backoffice. Si un utilisateur ne passe pas cette porte, il ne peut accéder à aucune page d'administration indépendamment de ses rôles ou capacités. - Capacité :
see-admin-options— Contrôle la visibilité de la navigation dans la barre latérale. Les utilisateurs ayant cette capacité voient les éléments de menu du backoffice. Les rôles Administrateur et Personnel des Opérations incluent tous deux cette capacité. - Capacités au niveau modèle — Permissions granulaires (voir, créer, mettre à jour, supprimer, etc.) limitées à des modèles et ressources spécifiques.
Rôles Intégrés
Airspace est livré avec trois rôles intégrés. Chaque rôle est conçu pour un niveau spécifique de responsabilité administrative.
Administrateur Système
Le rôle Administrateur Système porte la capacité everything, qui accorde un accès illimité à toutes les fonctionnalités, pages et actions de la plateforme. Aucune vérification de permission ne peut bloquer un Administrateur Système.
| Propriété | Valeur |
|---|---|
| Clé de rôle | sysadmin |
| Capacité principale | everything |
| Niveau d'accès | Illimité |
Assignez le rôle Administrateur Système avec parcimonie. Il contourne entièrement toutes les vérifications de permissions.
Administrateur
Le rôle Administrateur fournit des capacités de gestion étendues sur la plupart des fonctionnalités de la plateforme. Il inclut la capacité see-admin-options plus les permissions de gestion complètes sur un large éventail de modèles.
| Propriété | Valeur |
|---|---|
| Clé de rôle | administrator |
| Capacité principale | see-admin-options |
| Niveau d'accès | La plupart des fonctionnalités de gestion |
Les Administrateurs peuvent gérer les ressources suivantes :
| Catégorie | Modèles |
|---|---|
| Infrastructure | Airport, Airline |
| Programmation | Schedule |
| Flotte | AircraftFleet, AircraftSubFleet, Aircraft |
| Opérations | Booking, Flight, FerryFlight |
| Utilisateurs et Points | User, Point |
| Profils de Simulation | LoadProfile, PayloadProfile, FdmProfile, VoiceProfile |
| Données Passagers | PassengerName |
| Conformité | Document, License, Restriction |
| Contenu | SpotterPhoto, CompanyNotam |
| Maintenance | MaintenanceCheckDefinition, MelDefinition |
| Annonces | SpeechPack, SpeechLanguage |
| Configuration | SystemSetting |
Personnel des Opérations
Le rôle Personnel des Opérations est conçu pour les membres de l'équipe qui assistent dans les tâches opérationnelles quotidiennes mais ne devraient pas avoir accès à la configuration système ou aux fonctionnalités de gestion étendues.
| Propriété | Valeur |
|---|---|
| Clé de rôle | operations-staff |
| Capacité principale | see-admin-options |
| Niveau d'accès | Fonctionnalités opérationnelles limitées |
Le Personnel des Opérations a accès aux capacités suivantes :
| Ressource | Actions Autorisées |
|---|---|
| Aéronefs | Déplacer (réassigner vers différents aéroports) |
| Utilisateurs | Déplacer (réassigner l'aéroport d'attache) |
| Documents | Visualiser, créer, modifier |
| Licences | Visualiser, assigner aux utilisateurs |
| Restrictions | Visualiser uniquement |
| Photos de Spotters | Visualiser, modifier, supprimer |
| Vols de Convoyage | Gestion complète (visualiser, créer, modifier, supprimer) |
Capacités Directes (Par Utilisateur)
En plus des rôles, des capacités peuvent être accordées directement à des utilisateurs individuels. C'est utile lorsqu'un utilisateur spécifique a besoin d'accéder à une fonctionnalité que son rôle assigné ne couvre pas, sans lui accorder un rôle entièrement nouveau.
Les capacités directes sont gérées depuis la page d'édition de l'utilisateur. Elles fonctionnent aux côtés des capacités basées sur les rôles — les permissions effectives d'un utilisateur sont l'union de toutes les capacités de ses rôles plus toute capacité directement assignée.
Les capacités directes sont prioritaires dans le sens où elles sont additives. Cependant, elles ne peuvent pas remplacer les restrictions imposées par la porte see-admin-panel. Un utilisateur doit toujours passer la porte pour accéder au backoffice.
Fonctionnement des Vérifications de Permissions
Lorsqu'un utilisateur tente d'effectuer une action dans le backoffice, le système évalue les permissions dans l'ordre suivant :
- Vérification de la porte — L'utilisateur passe-t-il la porte
see-admin-panel? Si non, l'accès est refusé entièrement. - Capacité
everything— L'utilisateur a-t-il la capacitéeverything(Administrateur Système) ? Si oui, l'action est autorisée sans vérification supplémentaire. - Capacités de rôle — L'un des rôles assignés à l'utilisateur accorde-t-il la capacité requise pour cette action et ce modèle ?
- Capacités directes — La capacité requise a-t-elle été accordée directement à cet utilisateur ?
Si aucune de ces vérifications ne passe, l'action est refusée.
Tableau Récapitulatif
| Rôle | everything | see-admin-options | Portée de Gestion |
|---|---|---|---|
| Administrateur Système | Oui | Oui (implicite) | Toutes les fonctionnalités, aucune restriction |
| Administrateur | Non | Oui | Gestion étendue des modèles (voir liste ci-dessus) |
| Personnel des Opérations | Non | Oui | Documents, licences, restrictions (lecture), photos de spotters, vols de convoyage, déplacements aéronefs/utilisateurs |
| Utilisateur Régulier (Pilote) | Non | Non | Pas d'accès au backoffice |