Avant de commencer
Un rôle est un ensemble de droits qui détermine, pour le ou les utilisateurs auquel il est attribué, ce qu'ils peuvent voir et/ou faire lorsqu'ils se connectent à Lucca. Cela répond aux questions : à quelles applications les utilisateurs qui ont ce rôle auront-ils accès ? Et que pourront-ils voir et faire dessus ?
Les rôles que l'on retrouve par défaut sont : "utilisateur", "manager" ou "administrateur", mais il est possible d'en personnaliser d'autres (autant que nécessaire), comme "comptable", "utilisateur Timmi Absences seul", "mandataire de l'entreprise" ou autre en fonction de l'organisation au sein de l'entreprise.
Sur Lucca, on retrouve deux types de rôles :
- Le rôle principal qui représente les droits d'accès principaux d'un utilisateur. Un utilisateur ne possède qu'un seul rôle principal. De plus, un utilisateur doit obligatoirement avoir un rôle principal, c'est une propriété obligatoire.
- Le rôle secondaire qui permet de donner accès, en plus du rôle principal, à d'autres fonctionnalités. Un utilisateur peut avoir plusieurs rôles secondaires. On utilise généralement les rôles secondaires pour compléter le rôle principal sur une fonctionnalité précise destinée à un nombre de collaborateurs dédiés.
Nous verrons dans cette fiche comment sont catégoriser les rôles et les permissions. Si vous souhaitez faire le paramétrage de vos rôles, nous le détaillons dans une seconde fiche : Paramétrer les rôles sur Lucca.
Catégories de rôle et de permission
Chaque rôle a une catégorie. La catégorie indique le niveau d'habilitation du rôle.
La catégorie du rôle n'est pas une propriété qui peut être définie : la catégorie est héritée des permissions du rôle. Ainsi le rôle porte la même catégorie que sa permission la plus haute.
Les permissions sont ainsi classées en cinq catégories.
Du plus haut niveau d'habilitation au plus faible, les catégories sont :
Administrateur global 🟣
Niveau de nuisance : Permet de compromettre un environnement Lucca
C'est le niveau d'habilitation le plus critique et correspond à un rôle qui permet potentiellement de compromettre une instance (i.e. altérer son fonctionnement global, à l'échelle de tous les utilisateurs).
On y retrouve des permissions permettant des actions majeures ayant un impact sur toute l’instance :
-
Exemples : gestions des imports, gestions des API Key, gestion de l’authentification, administration des rôles, installer/désinstaller une application, gestion des rôles.
Administrateur métier🔴
Niveau de nuisance : Permet de compromettre une application et sa configuration
L’Administrateur métier a un accès en lecture et en écriture sur tous les processus métier ainsi que sur les ressources de paramétrage.
Il agit dans le cadre que l’Administrateur global lui accorde.
On y retrouve :
- Permission sur une action structurante au niveau applicatif, et/ou potentiellement pour plusieurs applications
- Exemples : gérer les départements, gérer les cycles de travail, gérer les sections analytiques, supprimer une nature comptable
- Permission de configurer l’ensemble d’une solution Lucca pour lui permettre de la mettre en production :
- Exemples : Gérer les FTP, Configurer le connecteur Assistant Paie, Gérer les champs de données utilisateur dans le Dossier RH.
Responsable métier 🟡
Niveau de nuisance : Permet d’extraire la quasi-totalité des données d’une application et compromettre sa logique fonctionnelle.
Le Responsable métier contrôle la bonne exécution des processus métier dans l’application, consolide les données métier à des fins d’analyse, est l'agent de dernier recours dans les processus métiers, assure la synchronisation avec l’extérieur.
Exemples de "processus métiers" : procédure de validation des absences, procédure de validation des notes de frais, gestion des campagnes d'entretiens etc.
Il a un accès en lecture étendu, et un accès en écriture sur les processus métier sur son périmètre. Il ne doit pas pouvoir compromettre l’utilisation de l’application.
Il agit dans le cadre que l’Administrateur métier lui accorde.
On y retrouve :
- Permission sur une action structurante au niveau métier :
- Exemple : ajouter une nature comptable, ajouter un utilisateur
- Permission de visualisation de données confidentielles propres à métier et/ou sur une population élargie :
- Exemple : Consulter les rémunérations de mes départements et des départements sous-jacents, générer un rapport utilisateurs
- Permission de manipuler des entités métiers et/ou techniques particulières.
- Exemple : contrôler des notes de frais, gérer les campagnes
Manager 🔵
Niveau de nuisance : Permet d’extraire des données sur un périmètre définit et de compromettre le processus hiérarchique
Ce rôle permet d’extraire des données sur un périmètre défini et de compromettre le processus hiérarchique. Il est responsable opérationnel plus ou moins élevé d’un sous-ensemble d’utilisateurs (manager, responsable de département, directeur) et de l’aboutissement des processus métiers modélisés dans nos applications. À ce titre :
- Il est l’agent principal des workflows d’approbation sur les demandes des utilisateurs dont il a la responsabilité.
- Il dispose d’un droit d’accès en lecture étendu sur les ressources des utilisateurs dont il a la responsabilité.
On y retrouve :
- Permissions liées à une action hiérarchique :
- Exemple : approuver une demande d’absence pour les collaborateurs supervisés.
- Permissions liées à la visualisation de données standard sur population élargie :
- Exemple : consulter le planning pour les collaborateurs supervisés, consulter les objectifs des collaborateurs supervisés, gérer les projets des collaborateurs supervisés.
Utilisateur 🟢
Niveau de nuisance : Permet des actions de base sur un périmètre personnel
Ce rôle permet des actions de base sur un périmètre personnel.
On retrouve les permissions sur des actions de base, d'utilisation standard de l’application : déclarer une absence pour moi-même, télécharger mon bulletin de paie, déclarer mes temps et mes notes de frais etc.
Remarques :
- il existe en réalité une 6ème catégorie "Pas de catégorie " qui est associée à des permissions ne pouvant être classées pour raison technique. Elle fait office d'exception.
- Un code couleur et iconographique permet d'identifier facilement les catégories des rôles et permissions dans l'interface :