Suite à l’installation de Joomla!, bien comprendre comment fonctionnent les ACL et leurs réglages par défaut.
Réglage par défaut du système ACL de Joomla! | Tutoriel Lors de l’installation de Joomla!, les ACL sont parametrés avec leurs réglages par défaut. Nous allons décrire ces réglages initiaux afin de bien comprendre comment fonctionnent les ACL. Groupes par défaut
Joomla 2.5 vous permet de définir vos propres groupes. Lorsque vous installez Joomla 2.5, l’installation comprend un ensemble de groupes représenté dans l’écran ci-dessous :
Les flèches indiquent les relations parent-enfant. Comme nous l’avons vu auparavant, lorsque vous réglez un droit pour un groupe parent, ce droit est automatiquement hérité aux groupes enfants. L’héritage, et le droit Autorisé peut être surchargé. Le droit Refusé ne peut pas être surchargé et aura toujours l’action Refusé pour un groupe enfant.
Configuration Générale
Joomla! version 2.5 s’installe avec les mêmes droits avec lesquels vous étiez familier sous Joomla! version 1.5. Cependant, avec 2.5, vous pouvez facilement les modifier afin de répondre aux besoins de votre site.
Comme nous l’avons vu auparavant, les droits pour chaque action sont hérités du niveau supérieur de la hiérarchie des droits ainsi que des groupes parents. Regardons comment cela fonctionne. Le premier niveau est le réglage pour l’ensemble du site. Pour régler cela, rendez-vous dans Site > Configuration > Droits . Vous obtenez l’écran suivant.
La première chose à noter est la proposition de 10 Actions : Connexion au site, Connexion à l’administration, Accès hors-ligne, Super administrer, Accès à l’administration, Créer, Supprimer, Modifier, Modifier le statut, Modifier ses éléments
Connexion au site : Connexion au frontend du site.
Connexion à l’administration : Connexion au backend du site.
Accès hors-ligne : Connexion au frontend du site lorsque celui-ci est hors ligne.
Super administrer : Les utilisateurs possédant ce droit peuvent faire ce qu’ils souhaitent sur le site. Seul les utilisateurs avec ce droit peuvent changer les réglages de la configuration générale (cet écran). Ces droits ne peuvent être restreints. Il est important de comprendre cela, si un utilisateur est un membre du groupe super administrateur tous les autres droits assignés à cet utilisateur ne seront pas pris en compte. L’utilisateur peut faire n’importe quelle action sur le site. Cependant, les Niveaux d’Accès peuvent toujours être assignés afin de contrôler ce que ce groupe peut voir sur le site. (Néanmoins, un Super Utilisateur peut, s’il le souhaite, changer les Niveaux d’Accès. Donc on ne peut pas dire que ces mêmes Niveaux d’Accès soient réellement restrictifs sur ce que peut voir ou non un Super Utilisateur).
Accès à l’administration : Ouverture des écrans des différents gestionnaires (gestionnaire des utilisateurs, gestionnaire des menus, gestionnaire des articles, etc).
Créer : Création de nouveaux objets (p. ex. :utilisateurs, éléments de menu, articles, liens web, etc).
Supprimer : Suppression des objets existants.
Modifier : Modification des objets existants.
Modifier le statut : Modification du statut des objets existants (Publié, Non-publié, Archivé, Dans la corbeille).
Modifier ses éléments : Edition des éléments qu’un utilisateur a lui-même créé.
Chaque groupe du site possède son propre onglet que vous ouvrez en cliquant sur le nom de ce groupe. Dans ce cas (avec les données d’exemple installées), nous avons les 7 groupes standards que nous avions sous Joomla 1.5 plus 3 groupes additionnels appelés Fournisseur et Client. Notez que nos groupes sont réglés avec les mêmes droits que sous la version 1.5 de Joomla!. Gardez à l’esprit que nous pouvons changer n’importe lequel de ces droits afin de faire fonctionner notre site comme nous le souhaitons. Regardons comment cela fonctionne.
Public a tous les droits réglés sur Non défini
Cela peut être un peu confus. En fait, “Non défini” est la même chose que “Hérité”. Parce que Public est le niveau le plus haut, et parce que les configurations globales sont le premier niveau de la hiérarchie d’administration, il n’y a rien à hériter. Donc “Non défini” est utilisé à la place de “Hérité”.Par défaut, dans ce cas, aucun droit n’est attribué. Le groupe Public n’a donc aucun droit spécial. Il est également important de noter que puisque aucun paramètre n’est réglé sur Refusé, tous ces droits pourront être surchargés par des groupes enfants ou des niveaux situés plus bas dans la hiérarchie des droits.
Gestionnaire est un groupe enfant du groupe Public. Il a les droits Autorisé sur tout sauf aux droits Accès hors ligne, Super administrer et Accès à l’administration. Donc, un membre de ce groupe peut tout faire sur les parties frontend et backend du site sauf changer les Droits Globaux et les paramètres des composants.
Un membre du groupe Administrateur hérite de tous les droits du groupe Gestionnaire et a également le droit Accès à l’administration. Donc, un membre de ce groupe peut par défaut accéder à l’écran de paramètres de chaque composant.
Enregistré est identique à public sauf qu’il a le droit Connexion au site Autorisé. Cela veut dire qu’un membre du groupe Enregistré peut se connecter au site. Comme les droits par défaut sont hérités, cela signifie que jusqu’à ce qu’un groupe enfant surcharge ce droit, tous les groupes enfants du groupe Enregistré seront autorisés à se connecter également.
Auteur un est groupe enfant du groupe Enregistré, il hérite de ses droits et en possède deux de plus, Créer et Modifier ses éléments. Auteur, Editeur et Rédacteur n’ont pas accès à l’administration. Nous verrons cela après, lorsque nous aborderons des droits sur le frontend.
Rédacteur est un groupe enfant du groupe Auteur et possède en plus le droit Modifier.
Editeur est un groupe enfant du groupe Rédacteur et possède en plus le droit Modifier le statut.
Fournisseur est un groupe d’exemple qui est installé si vous installez les données d’exemple de Joomla!. C’est un groupe enfant du groupe Auteur.
Client est un groupe d’exemple qui est installé si vous installez les données d’exemple de Joomla!. C’est un enfant du groupe Enregistré.
Le groupe Super Utilisateur a les droits pour l’action super administrer. Pour cette raison, un membre de ce groupe dispose des droits de super-utilisateur sur tout le site. Seul un tel utilisateur peut accéder et éditer les valeurs du panneau des configurations Globales ( Site > Configuration ). Un utilisateur avec les droits sur l’action Super Admin à quelques caractéristiques spéciales :
Si un utilisateur possède les droits Super Admin, il n’a pas besoin d’autres droits. Cet utilisateur peut effectuer n’importe quelle action sur le site.
Seul un super utilisateur peut créer, éditer, ou supprimer un autre utilisateur appartenant au groupe Super Admin.
Il y a deux points très importants à comprendre à partir de cet écran. Le premier est de bien comprendre comment les droits sont hérités des groupes parents. Le second est de comprendre comment vous pouvez contrôler les droits par défaut par Groupe et par Action.
Ce système vous offre énormément de possibilités. Par exemple, si vous souhaitez que le groupe Fournisseurs puisse se connecter au backend du site, vous pouvez tout simplement changer la valeur du paramètre Connexion à l’administration sur Autorisé. Si vous souhaitez ne pas autoriser les membres du groupe Administrateur à pouvoir supprimer des objets ou modifier les états de ces objets, vous devez changer les droits de ces paramètres à Hérité ou Refusé.
Il est également important de comprendre que le fait d’avoir des groupes enfants est complètement optionnel. Cela vous permet de gagner du temps lorsque vous réglez de nouveaux groupes. Cependant, si vous le souhaitez, vous pouvez régler tous vos groupes comme enfant du groupe Public et n’hériter d’aucune permission de groupe parent. Paramètres & Droits de Composants
Maintenant, continuons de voir comment les droits backend par défaut de la version 2.5 ressemblent aux droits de la version 1.5. Le groupe Super Utilisateur de Joomla 2.5 est l’équivalent du Super Administrateur de Joomla 1.5.
Simplement en regardant l’écran de Configuration Générale ci-dessous, il semblerait que le groupe Administrateur et le groupe Gestionnaire dispose de droits identiques. Cependant, avec la version 1.5 un Administrateur peut tout faire à l’exception des Configurations Générales, alors qu’un Gestionnaire n’est pas autorisé à ajouter des utilisateurs ou à travailler avec les éléments de menu. C’est également vrai dans les réglages par défaut de la version 2.5. Regardons comment cela est organisé.
Si nous naviguons vers Utilisateurs > Gestion des utilisateurs puis cliquons sur le bouton Paramètres de la barre d’outil, nous arrivons devant l’écran suivant :
Cet écran est le même que dans les Configurations Générales ( Site > Configuration > Droits ) à l’exception que ces valeurs ne concernent et n’ont effet que sur les utilisateurs. Regardons comment cela fonctionne.
Premièrement, notez que pour le groupe Administrateur le droit à l’action Configurer est Autorisé alors qu’il est Non-autorisé pour le groupe Gestionnaire. Souvenez-vous que l’action Configurer, dans l’écran de Configurations Globales, donne les droits du groupe “Super Utilisateur”. Dans cet écran, l’action Configurer vous permet d’éditer les valeurs des Paramètres. Donc le groupe Administrateur peut faire cela, mais le groupe Gestionnaire ne peut pas.
Deuxièmement, notez que le groupe Administrateur hérite de l’action Accès à l’administration et le groupe Gestionnaire a lui le droit Refusé. Sur cet écran, l’action Accéder à l’administration donne au groupe l’accès au gestionnaire d’utilisateurs. Comme le groupe Administrateur a, par défaut, l’autorisation pour Accéder à l’administration, alors l’héritage du droit, ici, signifie que le groupe hérite du droit autorisé. Puisque que le groupe Gestionnaire a par défaut le droit Accès à l’administration réglé sur refusé, les membres de ce groupe ne peuvent pas accéder au gestionnaire d’utilisateurs, et ne peuvent donc effectuer aucune action en relation avec les utilisateurs.
Si vous regardez les Paramètres des Menus ( Menus > Gestion des Menus ) vous verrez les mêmes réglages par défaut pour le gestionnaire d’utilisateurs. De nouveau, le groupe Administrateur peut régler les droits par défaut pour les objets du gestionnaire de menus alors que le groupe Gestionnaire ne peut pas.
Plus simplement, vous pouvez voir que les différents droits pour les groupes Gestionnaire et Administrateur sont réglés dans les écrans des formulaires Paramètres > Droits pour les gestionnaires de menus et d’utilisateurs.
Il est également important de comprendre que ces mêmes formulaires ( Paramètres > Droits ), qui permettent de régler les droits par défaut, sont disponibles pour chaque objet de Joomla! : Gestionnaire de Média, Bannières, Contacts, Fil d’actualité, Redirection, Statistiques de recherche, Liens Web, Composants, Modules, Plug-ins, Templates et Langues. Vous avez donc désormais la possibilité de créer des groupes d’utilisateurs avec des réglages affinés pour les droits en backend.
Droits en Frontend
Les droits par défaut pour le frontend sont également réglés par le formulaire de paramètres. Regardons dans Contenu > Gestion des articles > Paramètres > Droits . Premièrement, concentrons nous sur les droits pour le groupe Gestionnaire
Le groupe Gestionnaire a la valeur autorisé pour toutes les actions excepté Configurer. Ces membres peuvent donc faire tout ce qu’ils souhaitent avec les articles sauf ouvrir l’écran des paramètres.
Regardons maintenant le cas du groupe Administrateur :
Le groupe Administrateur a la valeur autorisé pour l’action Configurer. Donc les utilisateurs de ce groupe peuvent ouvrir cet écran des paramètres.
Les deux groupes peuvent Créer, Supprimer, Modifier et Modifier le statut des articles.
Maintenant, concentrons-nous sur les groupes Auteur, Rédacteur, Editeur et regardons comment les droits sont réglés.
Le groupe Auteur n’a que les droits pour Créer et Modifier ses éléments :
Cela veut dire qu’un membre du groupe Auteur peut créer et éditer les articles qu’il a créer. Il ne peut pas les supprimer, changer le statut ou éditer des articles écrits par d’autres utilisateurs.
Le groupe Rédacteur a les mêmes droits que le groupe Auteur avec en plus le droit Modifier :
Les Rédacteurs peuvent donc éditer les articles écrits par d’autres utilisateurs.
Le groupe Editeur a les mêmes droits que le groupe Rédacteur avec en plus le droit Modifier le statut :
Les Editeurs peuvent donc modifier le statut des articles. Les possibilités de statuts sont : Publié, Dépublié, Archivé, Dans la corbeille.
Tous ces groupes ont hérité des droits pour Configurer et Accès à l’administration. Rappelez-vous qu’un Auteur est un enfant du groupe Enregistré, et que le groupe Enregistré n’a aucun droit par défaut excepté celui de se connecter en frontend. Puisque un Enregistré n’a aucun droit pour Configurer et Accès à l’administration, et puisque les droits d’un Auteur pour cette action sont “hérités”, alors un Auteur n’a pas non plus ces droits. Ces mêmes droits sont passés d’un Auteur vers un Rédacteur, et d’un Rédacteur vers un Editeur. Donc, par défaut aucun de ces groupes n’est autorisé à travailler avec les articles dans le backend du site.
Il est important de se rappeler que ces droits sont seulement des réglages par défaut pour les catégories et articles et pour tout groupe enfant créé. Il peuvent donc être surchargés pour un groupe enfant, pour une catégorie et pour des articles spécifiques.
Notez également qu’il n’y a pas de droit Refusé, pour aucune action, dans les réglages par défaut. Cela vous permet d’ajouter le droit Autorisé à n’importe quel niveau. Rappelez-vous, une fois que vous avez un droit réglé sur Refusé, cette action sera refusée sur tout les niveaux inférieurs de la hiérarchie. Par exemple, si vous réglez la connexion à l’administration sur Refusé pour le groupe Enregistré, (à la place de Hérité), vous ne pourrez pas régler cette action sur Autorisé pour les Rédacteurs. Gestionnaire d’articles & Diagramme des Actions
Le diagramme suivant montre comment chaque action, dans le formulaire des droits, concerne les différentes options sur l’écran du Gestionnaire d’articles.
Configurer permet de voir et de changer les paramètres du composant.
Accès à l’administration permet de naviguer dans le gestionnaire d’articles. Sans ces droits, aucune autre action n’est possible.
Créer permet de créer de nouveaux articles.
Supprimer permet de mettre les articles à la poubelle. Notez que l’icône corbeille n’apparait dans la barre d’outil que lorsque que vous avez le filtre “Sélectionner l’état” réglé sur corbeille.
Modifier permet de modifier les articles existants
Modifier le statut permet de Publier, Dé-publier, Archiver ou Placer les articles dans la corbeille.
Modifier ses éléments permet les mêmes actions que Editer mais ne s’applique que sur ses propres articles.