Module Rôles & Permissions
Module technique réservé aux ADMIN_SYSTEM / SUPER_ADMIN. Il expose le catalogue des rôles et la matrice des permissions.
Vocabulaire
| Terme | Définition |
|---|---|
Rôle de gestion (management_role_code) | ADMIN_UNITE / ADMIN_GROUPE / ADMIN_DISTRICT / ADMIN_REGION / ADMIN_NATION + ADMIN_SYSTEM / SUPER_ADMIN |
| Permission | Action atomique (ex: informations.create, users.suspend, transfers.validate.region_origin) |
| Catalogue de permissions | Toutes les permissions définies (table permissions_catalog) |
| Grant | Lien role × permission (table role_permissions) |
Permission * | Wildcard : tout autoriser (réservé SUPER_ADMIN / ADMIN_SYSTEM) |
Doctrine — Catalogue centralisé
Les permissions suivent le format governance.<resource>.<action> :
governance.users.invitegovernance.structures.creategovernance.structures.deletegovernance.transfers.validate.region_destinationinformations.create,informations.publish,informations.archive
Référence : EDR-005.
Accéder au module
Sidebar → Administration → Rôles & permissions.
Workflow type — Ajouter une permission à un rôle
- Ouvrir la matrice (colonnes = rôles, lignes = permissions)
- Cocher / décocher les cellules concernées
- Sauver → grant inséré / supprimé en DB
Impact immédiat
Toute modification du grant est effective immédiatement pour tous les utilisateurs ayant ce rôle (via leur rôle ACTIF, mig 0199). Les sessions en cours rafraîchissent leurs permissions au prochain RPC.
Doctrine — Modèle contractuel R5
Permissions = contrat évalué par
fn_user_can_do(user_id, action_code, resource_id, context)dans chaque RPC critique. Pas deif (user.role === 'ADMIN_X')en dur dans le code (LRN-005).
Voir aussi
- Module Audit — voir qui a fait quoi avec quelles permissions
- Module Responsables
- Module Affectations