Documentation issueshttps://git.tedomum.net/tedomum/documentation/-/issues2023-12-03T09:00:23Zhttps://git.tedomum.net/tedomum/documentation/-/issues/111Réflexion sur les comptes d'administration2023-12-03T09:00:23Zkaiyoupierre@jaury.euRéflexion sur les comptes d'administrationAux débuts de TeDomum, nous utilisions un compte `admin` par service, distinct des comptes personnels. Et comme j'étais globalement seul administrateur, je conservais le mot de passe séparément.
Puis nous avons multiplié les administrat...Aux débuts de TeDomum, nous utilisions un compte `admin` par service, distinct des comptes personnels. Et comme j'étais globalement seul administrateur, je conservais le mot de passe séparément.
Puis nous avons multiplié les administrateurs (:smiley_cat:), et basculé dans un mode où les comptes personnels de ces administrateurs se voient ajouter des droits d'administration sur les services.
Au quotidien, cela devient progressivement dangereux, surtout pour les services où nous multiplions les clients, dont des clients mobiles, etc. Typiquement, le mdp de mon compte Mailu est stocké dans mon téléphone, un token admin de synapse aussi, ainsi que sur une tablette où je consulte mes messages, etc.
Les pistes possibles pour évoluer sont vraisemblablement :
1. distinguer l'accès utilisateur des opérations d'administration sur les comptes existants, en exigeant une authentification supplémentaire pour l'administration (probablement pas supporté par beaucoup de services, donc des développements) ;
2. blinder les comptes des administrateurs avec du Hiboo et du 2FA, et obliger à ne les utiliser que sur une machine, et employer des tokens applicatifs restreints sur les autres devices (mieux supporté, mais pas par toutes les applications, donc quelques développements) ;
3. disposer sur chaque service d'un compte `admin` qu'on partage, idéalement via Hiboo, et qui est seul administrateur du service (principal inconvénient de devoir recouper avec les logs Hiboo pour savoir qui a fait quoi en tant qu'administrateur) ;
4. disposer chacun d'un compte administrateur distinct sur les services où nous en avons besoin, idéalement nommé en fonction (principal inconvénient de devoir gérer beaucoup de comptes).
J'ai personnellement une préférence pour (3) ou (4), avec quelques hésitations.
(3) est séduisant, et globalement je pense qu'on a suffisamment confiance les uns dans les autres pour autoriser l'usage d'une unique compte administrateur et perdre l'imputabilité nominale de certaines actions. Par contre, on perdra potentiellement le côté personnel dans certaines actions d'administration ; peut-être peut-on le coupler avec des comptes individuels qui conservent leurs droits de modération pour interagir avec les utilisateurs.
(4) est possiblement gérable si on nomme les comptes de manière standard, j'ai toutefois peur de la confusion que ça engendrerait chez certains utilisateurs, à ne pas contacter le bon compte pour discuter avec l'admin, etc.
A vos débats :)kaiyoupierre@jaury.eukaiyoupierre@jaury.eu