Gestion des priorités

Les 'Comptes protégés' sont les règles de contrôle d'accès utilisateur UserLock sur la zone réseau protégée. Ces règles peuvent être définies par compte utilisateur, groupe utilisateur et Unité Organisationnelle utilisateur. Depuis la version 8.5, il existe deux sortes de Comptes protégés : Les Comptes protégés permanents et Les Comptes protégés temporaires. A la différence du Compte protégé permanent, le compte temporaire n’est valide que pour une période de temps définie par une date de début et une date de fin.

Un utilisateur peut donc appartenir à plusieurs Comptes protégés (utilisateur, groupe ou Unité Organisationnelle) permanents ou temporaires.

Par défaut, lorsqu'un nouveau Compte protégé est créé, l'ensemble des règles/restrictions sont paramétrées à 'Non configurée'. Une règle/restriction est considérée comme configurée si celle-ci à une valeur différente de 'Non configuré'.

La gestion des priorités est effectuée sur chaque règle configurée en considérant le type et la catégorie de Comptes protégés ainsi que la stratégie définie dans les Propriétés du serveur UserLock.

Critères de priorité

Le type de Comptes protégés :

• Permanent : Ensemble de règles applicables sans limite de temps.
• Temporaire : Ensemble de règles applicables pendant une période de temps spécifiée.
  Les comptes temporaires sont toujours prioritaires sur les comptes permanents.

La catégorie de Comptes protégés :

• Utilisateur : Ensemble de règles applicables à un compte utilisateur spécifique.
• Groupe : Ensemble de règles applicables à chaque utilisateur membre du groupe spécifié.
• Unité Organisationnelle :  Ensemble de règles applicables à chaque utilisateur membre de l'Unité Organisationnelle spécifiée.

La stratégie du serveur UserLock :

• La plus restrictive : Applique la règle la plus restrictive en cas d'égalité de niveau de priorité.
• La moins restrictive (par défaut) : Applique la règle la moins restrictive en cas d'égalité de niveau de priorité.

Niveaux de priorité

UserLock gère la priorité en fonction des niveaux suivants, du plus prioritaire au moins prioritaire :

1. Un Compte protégé Utilisateur temporaire.
2. Un Compte protégé Groupe ou Unité Organisationnelle temporaire.
3. Un Compte protégé Utilisateur permanent.
4. Un Compte protégé Groupe ou Unité Organisationnelle permanent.

Ceci signifie que :

• Si un utilisateur est à la fois membre d'un compte temporaire et d'un ou plusieurs comptes permanents (utilisateur, groupe ou Unité Organisationnelle ), une règle configurée sur le compte temporaire sera toujours prioritaire, quelle que soit la stratégie UserLock définie (la plus ou la moins restrictive). Cette stratégie UserLock restera le recours appliqué pour définir la priorité en cas d'égalité de même niveau 2 ou 4.
  
  Exemples :
  
  Alice appartient à un Compte protégé permanent Groupe 'Tout le monde' autorisant 1 session Station.
  Alice appartient également à un Compte protégé temporaire (peu importe la catégorie) autorisant 3 sessions Station.
  La même règle de limite de session Station étant définie, un arbitrage est nécessaire. Les règles temporaires étant toujours prioritaires sur les règles permanentes, la règle appliquée ici sera 3 sessions Stations autorisées.
  
  Bob appartient à un Compte protégé permanent Groupe 'Tout le monde' autorisant 1 session Station.
  Bob appartient également à un Compte protégé permanent Groupe 'Groupe-B' autorisant 2 sessions Station.
  La même règle de limite de session Station est définie et ces deux règles proviennent de deux comptes protégés Groupe de même type permanent. Ils sont donc de même niveau de priorité. Dans ce cas, la règle appliquée dépendra de la Stratégie UserLock configurée (la moins ou la plus restrictive).
  
  Carole appartient à un Compte protégé permanent Groupe 'Groupe-C1' autorisant 2 sessions Station.
  Carole appartient également à un Compte protégé permanent Groupe 'Groupe-C2' autorisant 5 sessions Station.
  La stratégie UserLock configurée étant définie à 'La moins restrictive', Carole bénéficie donc habituellement de 5 sessions Station.
  Cependant un Compte protégé temporaire associé au groupe 'Groupe-C1' a été créé et activé. Celui-ci autorise temporairement 3 sessions Station.
  Les comptes temporaires étant prioritaire sur les comptes permanent, Carole ne pourra bénéficier temporairement que de 3 sessions Station pendant la période d'activation du compte temporaire associé à 'Groupe-C1'.
  
  Attention : Lorsqu'un utilisateur appartient à plusieurs comptes permanents de catégorie Groupe ou Unité Organisationnelle pour lesquels une même règle est définie, si un compte temporaire présentant également cette règle est activé, l'appartenance à tout autre groupe sera alors ignorée. La règle appliquée sera celle du compte temporaire et ce durant toute sa période active.
  
  
• Si un utilisateur est à la fois membre d'un Compte protégé utilisateur et d'un Compte protégé groupe ou Unité Organisationnelle du même type, les règles définies sur le Compte protégé utilisateur auront toujours la priorité, quel que soit le 'Type de stratégie' configuré dans les 'Propriétés' du serveur UserLock.
  
  Exemples :
  
  Alice appartient à un Compte protégé permanent Utilisateur homonyme 'Alice' lui autorisant 2 sessions Station.
  Alice appartient également à un Compte protégé permanent Groupe 'Tout le monde' autorisant 1 session Station.
  La même règle de limite de session Station étant définie, un arbitrage est nécessaire. Le compte protégé utilisateur étant prioritaire sur le compte protégé Groupe ou Unité Organisationnelle, la règle appliquée sera '2' sessions Station autorisées.
  
  Bob appartient à un Compte protégé temporaire Utilisateur homonyme 'Bob' lui autorisant 2 sessions Station. Ce compte temporaire est actif.
  Bob appartient également à un Compte protégé temporaire Groupe  'Groupe-B' autorisant 1 session Station.
  La même règle de limite de session Station étant définie, un arbitrage est nécessaire. Le compte protégé utilisateur étant prioritaire sur le compte protégé Groupe ou Unité Organisationnelle, la règle appliquée sera '2' sessions Station autorisées.

 

La politique du serveur UserLock s'applique uniquement si des groupes / OU ont le même niveau de priorité. Si oui, si la politique du serveur UserLock est:
- La moins restrictive (par défaut): Si au moins le compte protégé permet de se connecter, alors l'ouverture de session sera autorisée.
- La plus restrictive: Si au moins le compte protégé refuse de se connecter, la connexion sera refusée.

 

• Comptes protégés
  • Type
  • Général
  • Authentification multifacteur
  • Notifications
  • Restrictions des postes clients
  • Restrictions horaires
  • Géolocalisation
  • Quotas de temps
  • Groupe
  • Gestion des priorités