Passer au contenu principal

Comprendre l’architecture de contrôle d’accès de Paradigm

Le modèle de sécurité de Paradigm repose sur une hiérarchie à trois niveaux qui contrôle qui peut accéder à quel contenu : 
👤 Utilisateurs (Identité)

👥 Groupes (Regroupement)

📁 Espaces de travail (Portée du contenu)

📄 Documents (Contenu réel)
Cette architecture garantit que le contrôle d’accès est :
  • Évolutif : Gérer des centaines d’utilisateurs par le biais de l’appartenance à un groupe
  • Sécurisé : Limites claires entre les différents contenus
  • Flexible : Contrôle précis, de l’accès à l’échelle de l’entreprise à l’accès privé
  • Auditable : Suivre qui a accès à quoi et quand

Les trois composantes essentielles

1. Utilisateurs - Votre couche d’identité

Les utilisateurs sont des comptes individuels dans Paradigm. Chaque utilisateur :
  • Possède une adresse électronique et une authentification uniques
  • Appartient à une seule entreprise
  • Peut se voir attribuer plusieurs rôles qui définissent ses autorisations
  • Obtient automatiquement un groupe privé pour l’accès à l’espace de travail personnel
Concept clé : Les utilisateurs n’accèdent jamais directement aux documents. L’accès est toujours médiatisé par l’appartenance à un groupe et les associations d’espaces de travail.
En savoir plus : Gestion des utilisateurs →

2. Les groupes - votre couche de regroupement

Les groupes sont le mécanisme central d’organisation des utilisateurs et de contrôle de l’accès. Il en existe trois types :

Groupe d’entreprise (automatique)

  • Créé automatiquement pour chaque entreprise
  • Tous les utilisateurs de l’entreprise en sont automatiquement membres
  • Contrôle l’accès aux espaces de travail de l’entreprise
  • Ne peut être ni supprimé ni modifié

Groupes personnalisés

  • Créés manuellement par les administrateurs
  • Utilisés pour les départements, les projets ou tout autre regroupement dont vous avez besoin
  • Les membres sont explicitement assignés
  • Exemple : “Groupe Ingénierie”, “Ventes EMEA”, “Projet Phoenix”

Groupes privés (automatique)

  • Créés automatiquement pour chaque utilisateur
  • Seul cet utilisateur en est membre
  • Contrôle l’accès à l’espace de travail privé de l’utilisateur
  • Ne peuvent être ni supprimés ni modifiés
Compréhension essentielle : Les groupes permettent de contrôler l’accès à l’espace de travail. Lorsque vous ajoutez un groupe à un espace de travail, tous les membres du groupe ont accès aux documents de cet espace de travail.
En savoir plus : Gestion des groupes →

3. Espaces de travail - Votre couche de contenu

Les espaces de travail sont des conteneurs qui organisent les documents et en contrôlent l’accès par l’intermédiaire des membres du groupe. Chaque espace de travail :
  • Contient une collection de documents
  • Compte un ou plusieurs groupes parmi ses membres
  • Définit l’étendue de l’ accessibilité des documents
  • Peut être relié à des sources de données externes
Il existe trois types d’espaces de travail qui reflètent les trois types de groupes :
Type d’espace de travailGroupe liéNiveau d’accèsCas d’utilisation
EntrepriseGroupe de l’entrepriseTous les utilisateurs de l’entreprisePolitiques RH, documents généraux
PersonnaliséGroupe(s) personnalisé(s)Membres spécifiques du groupeProjets, départements
PrivéGroupe privéUniquement pour l’utilisateur individuelNotes personnelles, brouillons
La relation clé : L’accès à l’espace de travail est déterminé par l’appartenance à un groupe. Si vous êtes membre d’un groupe associé à un espace de travail, vous pouvez accéder aux documents de cet espace.
En savoir plus : Principes de base de l’espace de travail →

Le contrôle d’accès en pratique

Exemple 1 : Accès par département

Scénario : Le groupe d'ingénierie a besoin d'accéder à la documentation technique

1. Créer un groupe personnalisé : "Groupe Ingénierie"
2. Ajouter les ingénieurs comme membres du groupe
3. Créer un espace de travail personnalisé : "Ingénierie - Documentation technique"
4. Associer le "Groupe Ingénierie" à l'espace de travail
5. Télécharger les documents dans l'espace de travail

Résultat : Tous les membres du groupe d'ingénierie peuvent maintenant accéder à ces documents

Exemple 2 : Accès par projet

Scénario : Un projet interfonctionnel nécessite un accès temporaire

1. Créer un groupe personnalisé : "Projet Phoenix"
2. Ajouter des membres de différents départements
3. Créer un espace de travail personnalisé : "Projet Phoenix - Documentation"
4. Associer le groupe "Projet Phoenix" à l'espace de travail
5. Lorsque le projet se termine, retirer les membres du groupe

Résultat : Seuls les membres du groupe du projet ont accès pendant le cycle de vie du projet

Exemple 3 : Politique à l’échelle de l’entreprise

Scénario : Les politiques RH doivent être accessibles à tous

1. Utiliser le groupe d'entreprise existant (automatique)
2. Utiliser l'espace de travail d'entreprise existant (ou créer un nouvel espace de travail d'entreprise)
3. Télécharger les documents RH dans l'espace de travail de l'entreprise

Résultat : Tous les employés de l'entreprise ont automatiquement accès

Modèle de permission

Les rôles d’utilisateur définissent les actions

Les rôles d’utilisateur déterminent les actions qu’un utilisateur peut effectuer :
RôleCréer des espaces de travailTélécharger des documentsGérer les membresAfficher tous les documents
Administration✅ Toutes les entreprises✅ Tous les espaces de travail✅ Toutes les entreprises✅ Toutes les entreprises
SysAdmin✅ Toutes les entreprises✅ Toutes les entreprises✅ Lorsque membre
Gestionnaire de compte✅ Toutes les entreprises✅ Toutes les entreprises✅ Lorsque membre
Administration de l’entreprise✅ Propre entreprise✅ Propre entreprise✅ Lorsque membre
Gestionnaire de documents✅ Membre de l’entreprise
Utilisateur standard

L’appartenance à un groupe définit le champ d’application

L’appartenance à un groupe détermine le contenu auquel un utilisateur peut accéder : 
Documents accessibles de l'utilisateur =
  Documents dans les espaces de travail dont les groupes membres incluent l'utilisateur
Important : Tous les rôles ne peuvent voir que les documents des espaces de travail dont ils sont membres (directement ou par l’intermédiaire de groupes), à moins qu’ils n’aient explicitement un accès inter-entreprises.

Principes de sécurité

1. Principe du moindre privilège

Les utilisateurs ne doivent avoir accès qu’à :
  • Le rôle minimum nécessaire à l’accomplissement de leur travail
  • Aux membres du groupe minimal nécessaire à leur travail
  • Aux espaces de travail minimaux nécessaires à leurs projets

2. Séparation des tâches

Des rôles différents ont des capacités différentes :
  • Les administrateurs gèrent la structure (utilisateurs, groupes, espaces de travail)
  • Les gestionnaires de documents gèrent le contenu (téléchargement, suppression de documents)
  • Les utilisateurs consomment le contenu (lecture, recherche de documents)

3. Piste d’audit

Tous les événements liés à l’accès sont enregistrés :
  • La création d’utilisateurs et les changements de rôle
  • Modifications de l’appartenance à un groupe
  • Tentatives d’accès à l’espace de travail
  • Chargements et suppressions de documents

Modèles d’accès courants

Modèle 1 : Structure départementale

Marketing (Groupe personnalisé)
  └── Espace de travail Marketing
      └── Documents de campagne, ressources de marque

Ventes (Groupe personnalisé)
  └── Espace de travail Ventes
      └── Playbooks, propositions

Ingénierie (Groupe personnalisé)
  └── Espace de travail Ingénierie
      └── Documentation technique, spécifications

Modèle 2 : Structure basée sur des projets

Groupe Projet Alpha (Groupe personnalisé)
  └── Espace de travail Projet Alpha
      └── Toute la documentation du projet

Groupe Projet Beta (Groupe personnalisé)
  └── Espace de travail Projet Beta
      └── Toute la documentation du projet

Modèle 3 : Structure mixte (recommandé)

Groupe d'entreprise
  └── Espace de travail d'entreprise → Politiques RH, informations générales

Groupe Ingénierie
  └── Espace de travail Ingénierie → Documentation technique partagée

Groupe Projet Phoenix
  └── Espace de travail Projet Phoenix → Documents spécifiques au projet

Groupe privé de chaque utilisateur
  └── Espace de travail privé de chaque utilisateur → Brouillons personnels

Cadre décisionnel

Quand créer un nouveau groupe

Créez un nouveau groupe personnalisé lorsque :
  • Un groupe distinct a besoin d’accéder à un contenu spécifique
  • Le groupe persistera dans le temps
  • Les membres ont besoin de collaborer sur des documents partagés
❌ Ne créez pas de groupe si :
  • Il s’agit d’un partage ponctuel de documents (utiliser un groupe existant)
  • Une seule personne a besoin d’y accéder (utiliser l’espace de travail privé)
  • Tout le monde dans l’entreprise a besoin d’un accès (utiliser le groupe de l’entreprise)

Quand créer un nouvel espace de travail

✅ Créez un nouvel espace de travail dans les cas suivants :
  • Le contenu a des exigences d’accès différentes
  • Les documents forment un domaine de connaissances cohérent
  • Vous avez besoin d’isoler des informations sensibles
❌ Ne pas créer d’espace de travail si :
  • Les documents peuvent s’insérer dans l’espace de travail existant
  • Le même groupe a besoin d’un accès
  • C’est juste pour l’organisation (utilisez plutôt des dossiers)

Prochaines étapes

Maintenant que vous comprenez l’architecture, plongez dans chaque composant :

Gestion des utilisateurs

Créer des utilisateurs, attribuer des rôles et gérer les autorisations

Gestion des groupes

Organiser les utilisateurs en groupes pour contrôler l’accès

Gestion des espaces de travail

Créer et gérer des conteneurs de contenu

Contrôle d'accès aux documents

Comprendre comment les documents sont sécurisés

Référence rapide

Flux du contrôle d’accès

Relations clés

  • 1 utilisateur1 entreprise (fixe)
  • 1 utilisateurplusieurs groupes (flexible)
  • 1 groupeplusieurs espaces de travail (flexible)
  • 1 espace de travailplusieurs groupes (flexible)
  • 1 espace de travail1 collection (fixe)
  • 1 collectionplusieurs documents (flexible)