GoFAST: Administration

Introduction

This part of the documentation is intended for users with the “Super-Administrator” role. For the administration of Collaborative Spaces, please refer to the “Collaborative Spaces Management” section.

Note

The “Super-Administrator” role provides access to GoFAST configuration functionality, but in no case this role allows access to default Collaborative Spaces and documents. The aim here is to guarantee the confidentiality of the data. To have access to the contents of a Collaborative Space it is necessary to be a member of this Space whose access is given only by the administrators of the Space (in general, business managers).

Visibility configuration of Users and Spaces

There are two available options :

  • Visibility between users
  • Visibility of Collaborative Spaces

Note

This configuration is not related to the roles given in the Collaborative Spaces, but to global roles on GoFAST, namely: Standard or Extranet users.

Note

Partitioning applies only to users having no common Collaborative Space. If two users are members of the same space, in any case they will be able to see each other.

Visibility between users

It allows users to see each other in the users directory and to view their profiles.

GoFAST allows you to select visibility or partitioning according to the role of users:
  • Users with the “Extranet” role (global role on the platform) can or can not see each other.
  • All users independent of their role on Gofast can or can not see each other.

Partitioning between extranet users prevents partners and providers from seeing each other.

Visibility of Collaborative Spaces

It allows users to see or not to see the tree structure of the different Collaborative Spaces of which they are not members.

GoFAST allows you to select visibility or partitioning according to the role of users:
  • Users with the “Extranet” role (global role on the platform) can or can not see the whole tree structure of Collaborative Spaces.
  • All users independent of their role on GoFAST can or can not see the whole tree structure of Collaborative Spaces.

This partitioning prevents users from being able to see the Spaces of which they are not members, in the Spaces directory. For users with Extranet role, it prevents partners and service providers from being able to see the Internal Spaces tree structure (e.g.: Organisations and Groups), as well as the Spaces for other partners or service providers. This is important if there are Extranet Spaces dedicated to competitors.

Visibilité des utilisateurs ayant quittés l’organisation ( Désactivés )

Pour des raisons de traçabilité, les utilisateurs ayant quittés l’organisation seront uniquement désactivés sur la plate-forme GoFAST et non supprimés définitivement.

Leurs profils seront inaccessibles et anonymisés pour les utilisateurs classiques. Ils seront invisibles dans l’annuaire, dans tous les espaces ainsi que dans la recherche. Seuls les administrateurs de la plate-forme auront accès à une interface spécifique pour les retrouver et les ré-activer si besoin.

Désactiver un utilisateur

Pour désactiver un utilisateur, connectez-vous en tant qu’administrateur de plate-forme puis afficher son profil à partir du menu «Annuaire» ou directement via la barre de recherche en tapant son nom. Cliquer sur le bouton qui se trouve à droite des «Paramètres du compte» ensuite appuyer sur «Désactiver cet utilisateur» puis «Confirmer».

Tous les utilisateurs désactivés sont listés dans la page du menu «Utilisateurs bloqués» de l’annuaire.

Réactiver un utilisateur

Pour réactiver un utilisateur, survoler le menu «Annuaires», puis cliquer sur le sous-menu «Utilisateurs bloqués». Aller sur la vignette de l’utilisateur concerné puis appuyer sur le lien «Réactiver cet utilisateur».

Ce dernier regagne la liste des utilisateurs actifs, récupère toutes ses données et sera visible sur toute la plate-forme (Espaces, recherche, …).

Note

Notez qu’il y a une différence entre les utilisateurs «Inactifs» et les utilisateurs bloqués «Désactivés». Les utilisateurs inactifs ne sont pas bloqués, ce sont des utilisateurs qui se connectent rarement sur la plate-forme.

Single Sign-On (SSO)

Protocol used by the application

GoFAST uses the Security Assertion Markup Language Version 2.0 (SAML 2.0) protocol. This standard is based on the structuring of data in XML format.

Its operation involves an identity provider (Identity Provider or IdP) which corresponds to the application providing the identification of a person as well as a service provider (Service Provider or SP) which corresponds to the application on which we want to identify. In our case, GoFAST is the service provider (SP).

Identity provider configuration

The identity provider settings will allow GoFAST to be told how and / or request verification of an identity. This configuration also makes it possible to secure the exchange by means of certificate (s).

The parameters to be filled are:

  • Name: The name of the identity provider. This is the name that will be displayed to users on the login form.
  • Identifier (ID) of the entity: The “entityID” field which identifies the identity provider. It is usually a URL.
  • Application name: The name of the application passed to the identity provider to identify the origin of the request.
  • IDP login URL: The login URL of the identity provider.
  • IDP logout URL : The identity provider logout URL.

A certificate must be provided by the identity provider. This certificate will be used to identify with certainty the correct identity provider.

Service Provider Configuration

The settings of the service provider allow the application to transmit the right information to the identity provider in the right format and with the right level of security.

It is possible to define technical contacts and support to be transmitted to our identity provider:

We can also send information about the organization of the service provider to the identity provider

And finally, we access the security parameters which will allow us to adapt to our identity provider and to be able to communicate with him. The available parameters are:

Caution: The following 3 parameters require GoFAST to know the private key which will allow the information to be decrypted on the IdP side. Check with support.

  • Encrypted “NameID” field : Enables encryption of identity information that is transmitted between applications in a particular format
  • Signed “Authn” requests : Request to the SP (GoFAST) to sign its requests to the IdP
  • Encrypted disconnection requests: Enables encryption of connection requests to the IdP
  • Encrypted disconnection responses : Enables encryption of disconnection requests to the IdP

  • Signed messages required: Allow to ask the IdP to sign its messages
  • Signed assertions required : Allow to ask the IdP to sign its authentication validations
  • Encrypted “NameID” field: Allows you to ask the IdP to encrypt the NameID field in the return of the request
  • Metadata signature : Apply our signature and ask the IdP to apply its signature on the metadata

Once the configuration is complete, a metadata tab will be generated and will contain the metadata to be entered in the IdP to register the SP application (GoFAST) as being valid.

On the login page, the user can now connect by clicking on the “Connect with XXX” button.

Synchronisation automatique des comptes GOFAST avec AD/LDAP

GoFAST offre une nouvelle fonctionnalité qui permet de synchroniser automatiquement les utilisateurs depuis l’Annuaire de l’entreprise vers votre plate-forme collaborative.

La synchronisation se fait uniquement avec des comptes qui possèdent des délégations d’authentification activées.

Les utilisateurs qui n’existent pas dans GoFAST mais qui sont présents sur l’Annuaire, au moment de la synchronisation ils seront crées et activés sur la plate-forme.

Dans le cas de suppression d’un utilisateur synchronisé coté Annuaire, ce dernier sera « Bloqué» sur GoFAST. Ce mécanisme permet de conserver la traçabilité des actions de cet utilisateur et de lui réaffecter ces informations dans certaines circonstances.

Note

Veuillez noter que les comptes ne disposant pas de délégations d’authentification seront hors cycle de synchronisation. Ils ne seront pas automatiquement bloqués ou débloqués de la plate-forme.

Connexion au Serveur LDAP / AD

Pour établir la connexion avec votre Serveur LDAP e, vous devez vous connecter à GoFAST en tant Administrateur technique.

Cliquer sur l’icône Burger qui se trouve à gauche du menu principal, ensuite aller dans « Administration » puis appuyer sur « GoFAST Configuration ».

Une fois la page affichée, dans la barre latérale gauche appuyer sur la rubrique « Serveur LDAP /AD ». Renseigner les paramètres de votre Serveur en respectant les préconisations indiquées ci-dessous :

Name: Choisissez un nom unique pour cette configuration serveur.

Type de serveur LDAP : Quatre types sont disponible, Active Directory, Open LDAP, Apple Open Directory, Novell. Ce champ est informatif. Son but est d’aider les valeurs par défaut et de donner des alertes de validation.

Serveur LDAP : Le nom de domaine ou l’adresse IP de votre serveur LDAP tel que « ad.unm.edu ». Pour SSL utilisez le format ldaps://DOMAIN tel que « ldaps://ad.unm.edu ».

Port LDAP : Le port TCP/IP sur le serveur ci-dessus qui accepte les connexions LDAP. Ceci doit être un entier.

Utiliser Start-TLS : Cette option permet de sécuriser la communication entre les serveurs Drupal et LDAP à l’aide de TLS ( Pour utliser Start-TLS vous devez définir le port LDAP à 389 ).

Suivre les références LDAP : Le client LDAP suit les références (dans les réponses du serveur LDAP) vers d’autres serveurs LDAP. Cela nécessite que les paramètres de liaison indiqués sont également valides sur ces autres serveurs.

Compte Service : Certaines configurations LDAP interdisent ou restreignent les résultats des recherches anonymes. Ces LDAP requièrent une paire “DN/mot de passe” pour faire la liaison. Pour des raisons de sécurité, cette paire doit appartenir à un compte LDAP avec des permissions désactivées. Ceci est également nécessaire pour l’approvisionnement des comptes Drupal.

  • DN pour les recherches non anonymes.
  • Mot de passe pour les recherches non anonymes.
  • Base DNs pour les utilisateurs LDAP, les groupes et autres entrées : Quels DNs ont des entrées appropriées pour cette configuration ? ex: ou=campus accounts,dc=ad,dc=uiuc,dc=edu. Gardez à l’esprit que chaque base supplémentaire double probablement le nombre de requêtes. Placez le plus utilisé en première position et préférez utiliser un DN de base élevée plutôt que deux DN de base faible. Entrez un DN par ligne dans le cas où plusieurs sont nécessaires.

Une fois toutes les informations correctement renseignées, un bouton est mis à disposition à la fin du formulaire « Test de connexion », celui-ci permet de tester la connexion entre GoFAST et le serveur LDAP. Un message d’information sera affiché à droite du bouton indiquant le succès ou l’échec de cette connexion. En cas d’échec, il est impératif de vérifier les paramètres et recommencer le test. Si le test est réussi, appuyer sur le bouton «Enregistrer» pour sauvegarder cette configuration.

Note

Il est possible d’effectuer des modifications ou mettre en place une nouvelle configuration, seulement n’oubliez pas de tester la connexion ensuite enregistrer les changements uniquement en cas de réussite.

Activation de l’authentification déléguée SASL

Une fois la connexion établie avec le Serveur LDAP, aller dans la section «Authentification SASL» qui se trouve en bas du formulaire de paramètres, cocher la case «Déléguer l’authentification au serveur LDAP». N’oubliez d’enregistrer pour lancer l’opération de délégation. Cette opération peut prendre quelques minutes selon le nombre d’utilisateurs actifs sur GoFAST.

L’activation de l’authentification déléguée SASL permet aux utilisateurs de se connecter à GoFAST en utilisant les informations d’identification de l’entreprise (Active Directory, OpenLDAP…).

Note

L’authentification SASL ne fonctionne qu’avec les utilisateurs qui sont enregistrés dans l’annuaire de l’entreprise. En tant qu’administrateur, vous pouvez également activer/désactiver l’authentification déléguée pour un utilisateur spécifique directement à partir du formulaire de modification de compte. Assurez-vous que les paramètres LDAP sont appropriés pour que cette fonctionnalité puisse être activée.

Configuration de la synchronisation

Après avoir activé la délégation, une nouvelle section «Synchronisation d’annuaires» est visible en bas de la page, celle-ci est dédiée à la configuration de la synchronisation des comptes de la plate-forme avec l’annuaire distant paramétré plus haut.

Pour configurer la synchronisation, commencer par cocher la case «Synchroniser GoFast avec l’annuaire configuré». Ensuite aller dans la sous-section « Configuration » et choisissez la fréquence de synchronisation.

Deux autres sous-sections importantes sont à renseigner :

  • Association de champs ( Obligatoire ) : Vous devez au moins renseigner les champs «Nom utilisateur» et «Adresse mail» par leurs attributs respectifs dans l’annuaire ( Exemple : Nom utilisateur -> uid, Adresse mail -> mail ). Les autres champs sont facultatifs.

Note

L’identifiant unique de l’utilisateur, généralement associé au samAccountName pour un Active Directory.

  • Filtres ( Facultatif ) : Ici vous pouvez effectuer des filtres spécifiques pour votre requête de synchronisation. Il est recommandé de séparer chaque liste de filtres par des retours à la ligne.

Une fois la configuration de synchronisation est terminée, cliquer sur le bouton «Enregistrer» pour exécuter l’opération.

Si toute fois, vous souhaitez effectuer une synchronisation avant la prochaine date définie, il suffit de cliquer sur le bouton «Synchronisation».

Audit d’un Document

Cette fonctionnalité est accessible uniquement aux administrateurs de la plate-forme. Elle permet de lister toutes les actions effectuées sur un document : Connexions, Consultations du document, Mise à jour, Suppression d’espace, Document télécharger, … etc.

Un aperçu est disponible en bas de la barre latérale droite du document dans le section «Audit». Vous pouvez voir les derniers événements effectués sur ce document, la date et l’heure des actions ainsi que les utilisateurs intervenants.

Un bouton «Aller à la page d’audit» est mis à disposition afin de vous permettre d’accéder au détail complet de l’audit de ce document.

À partir de cette page vous pouvez : * Filtrer les événements par date, par nom d’utilisateur, par type d’événement ainsi que par termes de taxonomie associés à ce document. * Exporter l’audit en fichier Excel dans la limite de 5 000 résultats maximum. * Il est possible également de d’accéder aux audits d’autres documents en saisissant le nom de ce dernier dans le champ « Titre du document».

Rapports & statistiques

Seuls les administrateurs de la plateforme sont habilités à voir les activités de l’Espace. Dans la rubrique Statistiques, vous pouvez choisir les informations que vous souhaitez retrouver graphiquement et sur une période sélectionnée. Vous avez également la possibilité d’exporter les données qui concernent les membres des espaces, les documents d’un espace sélectionné ou encore la liste de tous les espaces présents sur la plateforme.

Pour y accéder, cliquer sur l’icône Burger qui se trouve à gauche du menu principal, ensuite aller dans « Administration » puis appuyer sur « Statistiques ».

Trois sous-onglets sont disponibles :

  1. Sous-onglet « Statistique des membres » permet de visualiser les informations relatives aux membres actifs et inactifs, les nouveaux membres et membres connectés.
  1. Sous-onglet « Statistique documentaires », permet de visualiser toutes les informations relatives aux documents par sa catégorie, son état et son importance.
  1. Sous-onglet « Statistiques des espaces », permet de visualiser toutes informations relatives aux espaces, leurs évolutions par période, les plus actifs, les plus remplis et les plus peuplés.

Exporter les données

Export des membres des espaces

Dans l’onglet Statistiques utilisateurs une nouvelle fonctionnalité a été implémentée afin de permettre aux administrateurs de réaliser un export des membres des espaces. Il est possible personnaliser les données extraites dans l’export en appliquant un filtre sur un ou plusieurs espaces.

Export des listes de documents

L’onglet Statistiques documentaires a la fonction supplémentaire de pouvoir effectuer une liste de documents d’un espace sélectionne. Pour plus d’informations, voir le paragraphe “Exportation des listes de documents” dans le Guide Utilisateurs : http://gofast-docs.readthedocs.io/fr/latest/docs-gofast-users/doc-gofast-guide-utilisateurs.html#exportation-des-listes-de-documents .

Export complet des espaces

GoFAST met à votre disposition une nouvelle fonctionnalité qui vous permet d’exporter la liste des espaces créés sur la plate-forme. Cet export prendra forme sous fichier EXCEL (XLSX), il contient éventuellement d’autres informations importantes telles que : les administrateurs des espaces, leurs emplacements, les membres ainsi que le type de groupe de chaque espace.

Dans le sous-onglet Statistiques des espaces, sur la première ligne de cette section appuyer sur le bouton avec l’icône Excel.

Une petite fenêtre s’ouvre et vous informe que votre export est en cours de génération. Dès que le téléchargement est lancé cette dernière se fermera automatiquement.

Configurer une DUA (Durée de l’Utilité Administrative)

Pour gérer des DUA, il faut être administrateur de plateforme. À partir du menu « Burger », aller dans « Administration » puis « GoFAST configuration ».

À gauche de votre page, défiler vers le bas puis cliquer sur « DUA (Durée d’Utilité Administrative) ». Deux sections sont disponibles :

  • Liste des destinataires du mail de notification : dans cette section vous pouvez ajouter des utilisateurs GoFAST qui souhaitent être notifiés à la fin de la DUA.
  • Liste des DUA actuelles : dans cette partie, vous trouvez la liste des DUA déjà existantes. À partir de cet emplacement, vous pouvez également créer une nouvelle DUA.

Créer ou modifier une DUA

Pour créer une nouvelle DUA, cliquer sur le bouton « + Créer », une nouvelle section s’affiche « Ajouter / Editer des DUA existantes ». Renseigner les champs du formulaire :

  • Catégorie : plusieurs catégories sont disponibles par défaut (Contrat, Facture, Information, procédure, …). Il est possible de créer des catégories personnalisées adaptées aux besoins de l’entreprise.
  • DUA : Nombre de jours ou mois ou années.
  • Unité : Jour, Mois, Année.
  • Action (Le sort final) : Archiver, Trier, Détruire.

Ensuite appuyer sur « Enregistrer » pour valider.

Vous pouvez également apporter des changements à une DUA existante. Dans la liste, choisissez celle que vous souhaitez modifier et cliquer sur l’icône éditer. Il est possible de modifier seulement les champs suivants : DUA, Unité et Action. N’oubliez pas d’enregistrer pour valider.

Note

Pour supprimer une DUA, il suffit de laisser le champs DUA (Durée d’Utilité Administrative) vide puis Enregistrer.

Filtrer les catégories sur les espaces

Si vous souhaitez affecter une catégorie à un ou plusieurs espace(s) spécifique(s), aller dans le menu de « GoFAST Configuration » dans l’onglet « Catégories ».

Dans la section « Filtrer les catégories par Espace(s) Collaboratif(s) », taper le nom de l’espace dans le champ de la catégorie correspondante à votre choix puis cliquer sur Enregistrer pour valider.

Note

Vous pouvez filtrer les catégories sur les espaces spécifiés. Cela signifie que seuls les documents dans au moins un de ces espaces peuvent être marqués avec cette catégorie. Laisser vide pour autoriser la catégorie pour chaque espace.