Authentification
Un seul écran pour gérer qui se connecte et ce qu'il peut faire : comptes (employés, administrateurs, clients), invitations par e-mail, double authentification, et rôles & permissions — le tout en deux onglets.
/accounts /api/accounts /roles /api/roles accounts.manage roles.manage
À quoi sert ce module
Le module Authentification centralise la gestion des accès à l'ERP. C'est ici qu'un administrateur crée les comptes du personnel, ouvre un accès au portail à un client, déclenche une réinitialisation de mot de passe, exige la double authentification, ou réinitialise une 2FA bloquée. Il regroupe aussi la gestion des rôles & permissions : la définition de ce que chaque rôle peut voir et faire.
Il s'adresse aux administrateurs et aux comptes porteurs de accounts.manage (gestion des comptes) et/ou roles.manage (gestion des rôles). L'onglet « Rôles & permissions » n'apparaît que si vous détenez roles.manage : un compte qui n'a que accounts.manage ne voit que l'onglet Comptes.
Vue d'ensemble de l'écran
| Nom | Type | Rôles | Statut | 2FA | Actions | |
|---|---|---|---|---|---|---|
| Jean Dupont | jean@entreprise.fr | Admin | Administrateur | Actif | Activée | ⋯ |
| Marie Leroy | marie@entreprise.fr | Employé | Comptable | Actif | Exigée | ⋯ |
| SARL Martin | contact@martin.fr | Client | Client | Invité | — | ⋯ |
L'onglet Comptes liste tous les accès, leur type, leurs rôles, leur statut et l'état de leur 2FA. Le bouton « Nouveau compte » ouvre la fenêtre de création.
Les types de compte
Chaque compte porte un type qui détermine son rôle par défaut et son accueil après connexion.
| Type | Pour qui | Rôle par défaut | Accueil |
|---|---|---|---|
| Employé | Le personnel interne | role_employee | L'application interne (tableau de bord) |
| Administrateur | Les gestionnaires de l'ERP | role_admin (toutes les permissions *) | L'application interne |
| Client | Vos clients, en libre-service | role_client | L'espace client (portail restreint) |
Un compte de type Client doit être rattaché à une fiche client (champ « Client lié ») : le nom et l'email sont alors préremplis depuis la fiche, et le portail ne lui montre que ses propres factures et devis.
* — exige que vous soyez vous-même super-administrateur (porteur de *). De même, vous ne pouvez attribuer qu'un rôle dont vous détenez vous-même toutes les permissions. C'est une protection contre l'escalade de privilèges.Inviter un utilisateur (créer un compte)
Aucun mot de passe ne se saisit à la création : l'utilisateur reçoit un e-mail d'activation et choisit lui-même son mot de passe.
- Onglet Comptes → bouton Nouveau compte.
- Renseignez le Nom complet et l'Email (un email déjà utilisé est refusé).
- Choisissez le Type (Employé, Administrateur, Client). Pour un client, sélectionnez le Client lié dans la liste — nom et email se préremplissent.
- Cochez un ou plusieurs Rôles. Sans sélection, le rôle par défaut du type est appliqué.
- Au besoin, cochez Exiger la double authentification (2FA) : l'utilisateur devra la configurer dès sa prochaine connexion.
- Enregistrer : le compte est créé au statut Invité et un e-mail d'activation part automatiquement.
/reset où l'utilisateur définit son mot de passe. Passé 48 heures, le jeton expire — déclenchez alors une nouvelle invitation via l'action « Réinitialiser le mot de passe » sur la fiche. L'envoi dépend du connecteur mail configuré dans Paramètres → Mail.Modifier un compte & statuts
Depuis la liste, ouvrez un compte pour ajuster son nom, son type, son statut, ses rôles ou son exigence de 2FA. Le statut contrôle l'accès :
| Statut | Signification |
|---|---|
| Actif | Le compte peut se connecter normalement. |
| Invité | Compte créé, en attente de la définition du mot de passe via le lien d'activation. |
| Suspendu | Connexion bloquée. Les sessions actives du compte sont immédiatement éjectées. |
Suspendre un compte ou modifier ses rôles invalide ses sessions ouvertes : l'utilisateur est déconnecté et doit se reconnecter avec ses droits à jour.
Double authentification (2FA / TOTP)
La 2FA ajoute un code à usage unique (généré par une application d'authentification type Google Authenticator, basée sur le standard TOTP) au mot de passe. Côté administration, vous pilotez deux choses :
- Exiger la 2FA
- Sur la fiche du compte, la case « Exiger la double authentification » force l'utilisateur à configurer une application TOTP à sa prochaine connexion. Tant qu'il ne l'a pas fait, il ne peut pas accéder à l'application.
- Réinitialiser la 2FA
- Action sur la fiche d'un compte dont la 2FA est activée. Elle efface le secret enregistré (l'utilisateur a perdu son téléphone, par exemple). Le compte devra réinscrire une application à la prochaine connexion.
L'activation proprement dite se fait par l'utilisateur lui-même : il scanne un QR code dans son application d'authentification, puis saisit un code à 6 chiffres pour confirmer l'enrôlement. Les comptes clients réalisent cette opération depuis l'espace client → Mon profil ; les comptes internes depuis leur écran de profil.
« Exiger la 2FA » → Connexion
QR + code à 6 chiffres → 2FA active
code requis à chaque login
Réinitialiser un mot de passe
Si un utilisateur a oublié son mot de passe, déclenchez la réinitialisation depuis sa fiche : un e-mail contenant un lien de réinitialisation (valable 48 heures) lui est envoyé. C'est la même mécanique que l'invitation initiale.
Rôles & permissions (onglet)
Le second onglet, visible avec roles.manage, gère les paquets de droits attribués aux comptes. La page /roles reste accessible en direct mais le point d'entrée naturel est cet onglet. Le modèle : des permissions atomiques (module.action) regroupées en rôles nommés, eux-mêmes attribués aux comptes — qui héritent de l'union de leurs permissions.
- Onglet Rôles & permissions → bouton Nouveau rôle.
- Donnez un Nom métier clair (ex. « Comptable », « Commercial »).
- Cochez les permissions par catégorie dans la grille. Préférez le strict nécessaire (moindre privilège).
- Enregistrer, puis attribuez le rôle aux comptes depuis l'onglet Comptes.
* n'est jamais octroyable via cet écran (elle est réservée au rôle administrateur). Un éditeur non super-admin ne peut conférer que des permissions qu'il détient lui-même. Le rôle Administrateur a toutes les permissions et n'est pas modifiable ; les rôles système ne sont pas supprimables.Le catalogue complet des permissions et des exemples de rôles types sont détaillés dans la page dédiée Rôles & permissions.
Champs du formulaire de compte
| Champ | Obligatoire | Description |
|---|---|---|
| Nom complet | Oui | Nom affiché de l'utilisateur. |
| Oui | Identifiant de connexion ; doit être valide et unique. | |
| Type | Oui | Employé, Administrateur ou Client. |
| Statut | Oui | Actif, Invité ou Suspendu. |
| Client lié | Si type = Client | Fiche client rattachée au compte (préremplit nom & email). |
| Rôles | Non | Un ou plusieurs rôles ; sinon rôle par défaut du type. |
| Exiger la 2FA | Non | Force la configuration d'une application TOTP à la connexion. |
Permissions
| Permission | Ce qu'elle ouvre |
|---|---|
accounts.manage | Voir et gérer les comptes (création, modification, suspension, suppression, réinitialisation mot de passe et 2FA). Donne accès à l'onglet Comptes. |
roles.manage | Voir et gérer les rôles & permissions. Affiche l'onglet « Rôles & permissions » et la route /roles. |
Liens utiles
Le catalogue détaillé des permissions est dans Rôles & permissions. L'envoi des invitations et réinitialisations dépend du connecteur configuré dans Paramètres. Les comptes clients accèdent à l'Espace client où ils gèrent leur profil et leur propre 2FA.