Commit graph

3 commits

Author SHA1 Message Date
5968e854d6 docs(grafana): clarifie le modèle d'accès à deux étages
lab-admins → Admin ; tout autre compte Authentik → Viewer. App laissée
ouverte (sans binding) = visible par tous les users (bbarthe…) ; binding
réservé aux accès sensibles (ex. portail consoles = groupe guacamole).

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-07-07 12:20:44 +02:00
fa2e7402a0 feat(grafana): SSO OIDC via Authentik + admin par groupe lab-admins
- values.yaml monitoring : auth.generic_oauth (auth_url navigateur,
  token/api sur le Service interne), root_url, mapping lab-admins→Admin /
  sinon Viewer. Login local conservé (break-glass).
- vault : vault_grafana_oauth_client_secret (= secret k8s
  monitoring/grafana-oauth-secret, déjà créé)
- doc : runbook « ajouter une app » complété (exemple Grafana concret +
  groupe lab-admins) et procédure SQL pour promouvoir un compte SSO admin
  Guacamole (appliquée à Alkatrazz)

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-07-07 12:09:05 +02:00
dc9fc884ac
docs(portal): doc d'administration + guide utilisateur (#83)
- admin/k8s/auth-portal-admin.md : exploitation au quotidien — cycle de
  vie utilisateur (créer/groupe guacamole/assigner/révoquer), gestion des
  machines et des apps du hub, durcissement (MFA), table de débogage
- docs/portail-guide-utilisateur.md : guide grand public à envoyer aux
  utilisateurs (connexion, console, presse-papiers, règles, dépannage)
- renvois croisés depuis auth-portal.md et CLAUDE.md

Co-authored-by: Claude Fable 5 <noreply@anthropic.com>
2026-07-07 11:37:10 +02:00