27 juin 2019

La gestion des utilisateurs est une des fonctionnalités fondamentales des systèmes de gestion de contenu. Et Drupal n’est pas en reste en intégrant une gestion avancée des rôles et des droits des utilisateurs. Pour synthétiser, sous Drupal : un ou plusieurs rôles peuvent être assignés à un utilisateur et à chaque rôle il est possible d’affecter un ou plusieurs droits.

Sommaire de cet article

Les utilisateurs

Pour Drupal, les utilisateurs inscrits vont avoir un ou des rôles qui leur seront assignés. Ces rôles leur ouvriront certains droits. Par exemple : l’utilisateur « Drupal-Admin » aura comme rôle « Administrateur ». Par défaut, ce rôle a tous les droits.

liste-utilisateurs-personnes-drupal.png

Les rôles

Pour Drupal, tout internaute naviguant sur un site internet est un utilisateur avec un statut qui lui est propre : visiteur anonyme, visiteur identifié ou administrateur. Dans l’administration d’un site Drupal, ces statuts correspondent à des rôles. Ces trois rôles sont créés à l’installation de Drupal.

roles-drupal.png

L’utilisateur anonyme

L’utilisateur anonyme (anonymous user) correspond au visiteur qui n’est pas connecté au back-end. De base, les droits de l’utilisateur anonyme sont très limités et la modification du contenu et des paramètres n’est pas autorisée. Ils peuvent seulement voir les commentaires, utiliser le formulaire de contact général, voir le contenu publié et utiliser la recherche.

L’utilisateur authentifié

L’utilisateur authentifié (authenticated user) se rapporte au visiteur possédant un compte sur le site. Initialement, il a plus de droits que l’internaute anonyme. De base, en plus des droits « anonymes », il peut poster des commentaires et « sauter l’approbation des commentaires ». C’est-à-dire que les commentaires peuvent apparaitre sur le site directement, sans vérification d’un administrateur. Il est vivement recommandé de décocher cette option.

La soumission de commentaires sans approbation peut nuire au référencement naturel du site à cause de commentaires « spammy », contenant des liens vers d’autres sites. La stratégie de netlinking (liens entrants et sortants) peut être dégradée, à cause d’un nombre de liens sortants trop élevé ou à cause de liens vers des sites douteux.

L’administrateur

Par défaut, toutes les autorisations sont activées pour l’administrateur. Il a de ce fait tous les droits sur le site. Ce rôle ne doit être disponible que pour l’administrateur afin d’éviter tout risque de piratage ou de plantage du site. Les accès doivent être sûrs et ne doivent être communiqués qu’à un nombre de personnes restreint et de confiance.

L’idéal est de créer des rôles intermédiaires sur mesure, entre l’utilisateur authentifié et l’administrateur afin de mettre en place des mesures de sécurité préventives.

Les rôles sur mesure

En attribuant des droits aux rôles, cela évite de définir des autorisations individuelles à chaque utilisateur. C’est un gain de temps considérable pour les administrateurs et la gestion est facilitée : les rôles peuvent être créés, modifiés ou supprimés sur une seule page.

Le principe de ce fonctionnement est de donner à chaque utilisateur un rôle qui lui est approprié, sans que celui-ci n’ait accès à des fonctionnalités qui pourraient être sensibles si elles ne sont pas maitrisées. En définissant un périmètre d’action pour chaque groupe d’utilisateurs, le but est aussi de réduire les risques d’actions malveillantes.

Il peut être prudent par exemple de créer un rôle « contributeur » pour les rédacteurs et « webmaster » pour l’utilisateur en charge de certaines configurations et de la mise à jour de certains contenus.

À noter que lors de l’installation et de l’activation de modules, les rôles sont à définir pour les différents rôles configurés.

 

Les droits

Les droits correspondent à des « privilèges » accordés aux rôles, correspondant généralement à des types d’actions :


Administration : Ce type de permission est à accorder aux utilisateurs de confiance. Les utilisateurs qui bénéficieront de ce privilège auront un contrôle très étendu du module concerné par l’option. Pour ce type de permission, un message préventif est affiché : « Attention : ne l'attribuer qu'à des rôles de confiance ; cette permission touche à la sécurité. »

Accès : Ce type d’autorisation permet d’accorder aux utilisateurs des droits tels que la lecture seule, ou l’utilisation de modules, sans bénéficier de privilèges trop élevés concernant leur configuration. D’une manière générale, ce type de droit n’autorise pas la création de contenu. La plupart de ces privilèges sont le plus souvent rendus accessibles à des rôles de type utilisateur connecté, voire anonyme (exemple : « Node - voir le contenu publié »).

Créer, modifier, supprimer : Ces types d’autorisations permettent aux utilisateurs, pour un type de contenu ou de nœud spécifique, de créer, modifier ou supprimer du contenu (exemple : « Node - Article : Créer un nouveau contenu »).

droits-drupal.png

Les autres articles traitant des concepts fondamentaux de Drupal :