Le contrôle d’accès basé sur les rôles (RBAC) vous permet de définir des rôles personnalisés et d’attribuer des autorisations granulaires aux membres de votre équipe. Disponible avec l’offre Enterprise.
Lorsque le RBAC est activé, les autorisations de chaque membre découlent du rôle qui lui est attribué — un membre sans rôle peut se connecter, mais ne peut rien gérer. Sans RBAC, tous les membres disposent d’un accès complet par défaut (voir Équipe).
Autorisations#
Chaque rôle comprend cinq autorisations :
| Autorisation | Portée | Permet de |
|---|---|---|
org:manage_team | Organisation | Inviter ou supprimer des membres, créer ou modifier des rôles, attribuer des rôles |
org:manage_settings | Organisation | Modifier le nom de l’organisation, le fuseau horaire et les intégrations |
org:manage_billing | Organisation | Consulter et modifier la facturation, l’offre et les factures |
org:delete | Organisation | Supprimer l’organisation entière |
engine:access | Moteur | Afficher, modifier, supprimer et gérer les membres des moteurs de localisation |
org:manage_billing et org:delete sont réservés au rôle de propriétaire — seul le propriétaire actuel peut les accorder en attribuant un rôle qui les inclut.
Rôles#
Il existe trois types de rôles :
- Propriétaire — rôle système qui inclut toutes les autorisations. L’utilisateur qui crée l’organisation en devient le premier propriétaire ; un propriétaire existant peut nommer d’autres propriétaires. Le rôle lui-même ne peut être ni modifié ni supprimé, et l’organisation doit toujours compter au moins un propriétaire.
- Accès complet — rôle créé automatiquement lors de la création d’une organisation avec
org:manage_team,org:manage_settingsetengine:access. Modifiable comme n’importe quel rôle personnalisé ; une option sûre par défaut pour les coéquipiers de confiance. - Rôles personnalisés — tout rôle que vous créez. Choisissez un nom et n’importe quelle combinaison d’autorisations du catalogue.
Les rôles sont des ensembles d’autorisations
Un utilisateur ne peut avoir qu’un seul rôle au niveau de l’organisation. Pour accorder un accès partiel, créez un rôle avec exactement le sous-ensemble d’autorisations voulu, puis attribuez-le. Vous ne pouvez pas accorder des autorisations individuellement en dehors d’un rôle.
Attribuer un rôle#
Ouvrez la page Équipe, choisissez un membre, puis sélectionnez un rôle. Si vous retirez ce rôle, la personne reste membre de l’organisation, mais sans aucune autorisation — elle reste connectée, mais ne peut accéder à aucun moteur, réglage ou élément de facturation.
Seul un propriétaire existant peut promouvoir un autre membre au rang de propriétaire ou en rétrograder un — ces changements exigent eux-mêmes l’ensemble d’autorisations Propriétaire.
Accès aux moteurs#
Par défaut, tout membre dont le rôle inclut engine:access voit tous les moteurs de localisation de l’organisation.
Pour restreindre l’accès, ajoutez des utilisateurs précis à des moteurs précis depuis l’onglet Membres du moteur concerné. Les autorisations par moteur sont cumulatives — une autorisation engine:access au niveau de l’organisation l’emporte toujours. Pour limiter un utilisateur à un seul moteur, attribuez-lui un rôle sans engine:access, puis ajoutez-le individuellement à ce moteur.
Les clés d’API de service suivent le même modèle : une clé peut porter un rôle (autorisations globales), une portée par moteur, les deux ou aucun des deux. Des garde-fous anti-escalade s’appliquent à la création comme à la modification — les clés de service sont limitées aux rôles dont l’ensemble d’autorisations se résume à engine:access.
Clés d’API de service#
Les clés de service sont un mécanisme disponible uniquement avec le RBAC. Les clés personnelles existent sur toutes les offres et héritent du rôle de leur créateur ; les clés de service n’existent que lorsque le droit RBAC est activé et disposent de leur propre niveau d’autorité.
- La création d’une clé de service nécessite
org:manage_team, la même portée que celle qui régit l’attribution des rôles. - Une clé de service sans rôle reste valide — son accès dépend entièrement des moteurs listés sur la clé.
- Si l’offre Enterprise prend fin, chaque clé de service de l’organisation est désactivée avec une erreur 403 typée qui mentionne le droit concerné, afin que l’opérateur sache qu’il faut rétablir l’offre ou passer à une clé personnelle, plutôt que de traquer un faux problème de portée par moteur.
Gérez les rôles et la portée par moteur des clés de service depuis la page Clés d’API.
Transférer la propriété#
Si vous êtes l’unique propriétaire et souhaitez vous retirer, utilisez "Transfer ownership" depuis la page Équipe. Choisissez le nouveau propriétaire ainsi que le rôle que vous souhaitez conserver ensuite (ou aucun rôle) — la promotion et votre propre rétrogradation sont validées en une seule transaction, ce qui garantit que l’organisation ne se retrouve jamais sans propriétaire.
Ce flux est spécifiquement prévu pour vous retirer. Si vous souhaitez simplement partager les responsabilités de propriétaire, promouvez plutôt un second utilisateur au rang de propriétaire depuis le sélecteur de rôle habituel.
