diff --git a/admin/k8s/auth-portal-admin.md b/admin/k8s/auth-portal-admin.md index c4d18e6..a6b4e9c 100644 --- a/admin/k8s/auth-portal-admin.md +++ b/admin/k8s/auth-portal-admin.md @@ -87,11 +87,22 @@ Pour chaque nouvelle app (Grafana, n8n…) : La tuile apparaît automatiquement sur le hub des membres du groupe. -### Le groupe `lab-admins` (admin partout) +### Modèle d'accès — deux étages -Groupe transverse : ses membres reçoivent le **rôle admin dans chaque app** intégrée -(mapping fait côté app, ex. Grafana `role_attribute_path`). `Alkatrazz` en fait partie. -Créer si absent : *Directory → Groups → Create* `lab-admins`, y ajouter les admins. +| Qui | Accès | +|---|---| +| Membres de **`lab-admins`** | rôle **Admin** dans chaque app (mapping côté app, ex. Grafana `role_attribute_path`). `Alkatrazz` en fait partie. | +| **Tout autre compte Authentik** (bbarthe…) | rôle **Viewer / utilisateur normal** — automatique dès qu'il se connecte | + +Deux façons de doser la **visibilité** d'une app (onglet *Bindings*) : + +- **App ouverte** (aucun binding) → **tous** les comptes Authentik voient la tuile. + C'est le défaut pour « la plupart des services » (Grafana, monitoring en lecture…). +- **App restreinte** (binding à un groupe) → seuls ses membres la voient. Réservé aux + accès sensibles — ex. le **portail consoles** est lié au groupe `guacamole` (accès SSH). + +Créer `lab-admins` si absent : *Directory → Groups → Create* `lab-admins`, y ajouter les +admins. Les utilisateurs normaux n'ont **rien à rejoindre** pour un service ouvert. ### Exemple concret : Grafana (SSO OIDC) @@ -108,8 +119,9 @@ config Authentik (UI)** : - **Signing Key** : le certificat self-signed 2. *Applications → Create* : Name `Grafana`, **slug `grafana`**, provider `grafana`, Launch URL `http://grafana.lab.local`, une icône si tu veux -3. *Bindings* → lier un groupe (ou laisser ouvert). Pour être admin : être dans - `lab-admins` (mappé → rôle Grafana **Admin** ; les autres → **Viewer**) +3. *Bindings* → **laisser ouvert** (aucun binding) pour que tous les users (bbarthe…) + voient la tuile et entrent en **Viewer** ; membres de `lab-admins` → **Admin**. + (Binder un groupe seulement si tu veux restreindre l'accès à Grafana.) 4. Tester : hub → tuile Grafana → connecté en Admin. **Break-glass** si le SSO casse : `http://grafana.lab.local/login` en `admin` / `adminPassword` (values.yaml).