Passer au contenu principal

Comprendre l’architecture de contrôle d’accès de Paradigm

Le modèle de sécurité de Paradigm repose sur une hiérarchie à trois niveaux qui contrôle qui peut accéder à quel contenu : 
👤 Users (Identity)

👥 Teams (Grouping)

📁 Workspaces (Content Scope)

📄 Documents (Actual Content)
Cette architecture garantit que le contrôle d’accès est :
  • Évolutif: Gérer des centaines d’utilisateurs par le biais de l’appartenance à une équipe
  • Sécurisé: Limites claires entre les différents contenus
  • flexible: Contrôle précis, de l’accès à l’échelle de l’entreprise à l’accès privé
  • Auditable: Suivre qui a accès à quoi et quand

Les trois composantes essentielles

1. Utilisateurs - Votre couche d’identité

Lesutilisateurs sont des comptes individuels dans Paradigm. Chaque utilisateur :
  • possède une adresse électronique et une authentification uniques
  • Appartient à une seule entreprise
  • Peut se voir attribuer plusieurs rôles qui définissent ses autorisations
  • Obtient automatiquement une équipe privée pour l’accès à l’espace de travail personnel.
Concept clé: Les utilisateurs n’accèdent jamais directement aux documents. L’accès est toujours médiatisé par l’appartenance à une équipe et les associations d’espaces de travail.
En savoir plus: Gestion des utilisateurs →

2. Les équipes - votre couche de regroupement

Les équipes sont le mécanisme central d’organisation des utilisateurs et de contrôle de l’accès. Il en existe trois types :

Équipe d’entreprise (automatique)

  • Créée automatiquement pour chaque entreprise
  • Tous les utilisateurs de l’entreprise en sont automatiquement membres.
  • Contrôle l’accès aux espaces de travail de l’entreprise
  • Ne peut être ni supprimée ni modifiée

Équipes personnalisées

  • Créées manuellement par les administrateurs
  • Utilisées pour les départements, les projets ou tout autre groupement dont vous avez besoin
  • Les membres sont explicitement assignés
  • Exemple : “Équipe d’ingénierie”, “Ventes EMEA”, “Projet Phoenix”.

Équipes privées (automatique)

  • Créées automatiquement pour chaque utilisateur
  • Seul cet utilisateur en est membre
  • Contrôle l’accès à l’espace de travail privé de l’utilisateur.
  • Ne peuvent être ni supprimées ni modifiées
Compréhension essentielle: Les équipes permettent de contrôler l’accès à l’espace de travail. Lorsque vous ajoutez une équipe à un espace de travail, tous les membres de l’équipe ont accès aux documents de cet espace de travail.
En savoir plus: Gestion de l’équipe → Gestion de l’espace de travail

3. Espaces de travail - Votre couche de contenu

Lesespaces de travail sont des conteneurs qui organisent les documents et en contrôlent l’accès par l’intermédiaire des membres de l’équipe. Chaque espace de travail
  • contient une collection de documents
  • compte une ou plusieurs équipes parmi ses membres
  • Définit l’étendue de l’ accessibilité des documents
  • peut être relié à des sources de données externes.
Il existe trois types d’espaces de travail qui reflètent les trois types d’équipes :
Type d’espace de travailÉquipe liéeNiveau d’accèsCas d’utilisation
EntrepriseÉquipe de l’entrepriseTous les utilisateurs de l’entreprisePolitiques RH, documents généraux
PersonnaliséÉquipe(s) personnalisée(s)Membres spécifiques de l’équipeProjets, départements
PrivéÉquipe privéeUniquement pour l’utilisateur individuelNotes personnelles, brouillons
La relation clé: L’accès à l’espace de travail est déterminé par l’appartenance à une équipe. Si vous êtes membre d’une équipe associée à un espace de travail, vous pouvez accéder aux documents de cet espace.
En savoir plus: Principes de base de l’espace de travail →

Le contrôle d’accès en pratique

Exemple 1 : Accès par département

Scenario: Engineering team needs access to technical documentation

1. Create Custom Team: "Engineering Team"
2. Add engineers as team members
3. Create Custom Workspace: "Engineering - Technical Docs"
4. Associate "Engineering Team" with the workspace
5. Upload documents to the workspace

Result: All engineering team members can now access these documents

Exemple 2 : Accès par projet

Scenario: Cross-functional project needs temporary access

1. Create Custom Team: "Project Phoenix"
2. Add members from different departments
3. Create Custom Workspace: "Project Phoenix - Documentation"
4. Associate "Project Phoenix" team with workspace
5. When project ends, remove team members

Result: Only project team members have access during project lifecycle

Exemple 3 : Politique à l’échelle de l’entreprise

Scenario: HR policies need to be accessible to everyone

1. Use existing Company Team (automatic)
2. Use existing Company Workspace (or create new company workspace)
3. Upload HR documents to company workspace

Result: All company employees automatically have access

Modèle de permission

Les rôles d’utilisateur définissent les actions

Les rôles d’utilisateur déterminent les actions qu’un utilisateur peut effectuer :
RôleCréer des espaces de travailTélécharger des documentsGérer les membresAfficher tous les documents
Administration✅ Toutes les entreprises✅ Tous les espaces de travail✅ Toutes les entreprises✅ Toutes les entreprises
SysAdmin✅ Toutes les entreprises✅ Toutes les entreprises✅ Lorsque le membre
Gestionnaire de compte✅ Toutes les entreprises✅ Toutes les entreprises✅ Où le membre
Administration de l’entreprise✅ Propre entreprise✅ Propre entreprise✅ Où le membre
Gestionnaire de documents✅ Membre de l’entreprise
Utilisateur standard

L’appartenance à une équipe définit le champ d’application

L’appartenance à une équipe détermine le contenu auquel un utilisateur peut accéder : 
User's Accessible Documents =
  Documents in workspaces whose member teams include the user
Important: tous les rôles ne peuvent voir que les documents des espaces de travail dont ils sont membres (directement ou par l’intermédiaire d’équipes), à moins qu’ils n’aient explicitement un accès inter-entreprises.

Principes de sécurité

1. Principe du moindre privilège

Les utilisateurs ne doivent avoir accès qu’à :
  • Le rôle minimum nécessaire à l’accomplissement de leur travail
  • aux membres de l’équipe minimale nécessaire à leur travail
  • aux espaces de travail minimaux nécessaires à leurs projets.

2. Séparation des tâches

Des rôles différents ont des capacités différentes :
  • Les administrateurs gèrent la structure (utilisateurs, équipes, espaces de travail).
  • Les gestionnaires de documents gèrent le contenu (téléchargement, suppression de documents).
  • Les utilisateurs consomment le contenu (lecture, recherche de documents).

3. Piste d’audit

Tous les événements liés à l’accès sont enregistrés :
  • la création d’utilisateurs et les changements de rôle
  • Modifications de l’appartenance à une équipe
  • Tentatives d’accès à l’espace de travail
  • Chargements et suppressions de documents

Modèles d’accès courants

Modèle 1 : Structure départementale

Marketing (Custom Team)
  └── Marketing Workspace
      └── Campaign docs, brand assets

Sales (Custom Team)
  └── Sales Workspace
      └── Playbooks, proposals

Engineering (Custom Team)
  └── Engineering Workspace
      └── Technical docs, specs

Schéma 2 : structure basée sur des projets

Project Alpha Team (Custom Team)
  └── Project Alpha Workspace
      └── All project documentation

Project Beta Team (Custom Team)
  └── Project Beta Workspace
      └── All project documentation

Schéma 3 : structure mixte (recommandé)

Company Team
  └── Company Workspace → HR policies, general info

Engineering Team
  └── Engineering Workspace → Shared technical docs

Project Phoenix Team
  └── Project Phoenix Workspace → Project-specific docs

Each User's Private Team
  └── Each User's Private Workspace → Personal drafts

Cadre décisionnel

Quand créer une nouvelle équipe

Créez une nouvelle équipe personnalisée lorsque :
  • Un groupe distinct a besoin d’accéder à un contenu spécifique.
  • Le groupe persistera dans le temps
  • Les membres ont besoin de collaborer sur des documents partagés
Ne créez pas d’équipe si :
  • Il s’agit d’un partage ponctuel de documents (utiliser une équipe existante).
  • Une seule personne a besoin d’y accéder (utiliser l’espace de travail privé)
  • Tout le monde dans l’entreprise a besoin d’un accès (utiliser l’équipe de l’entreprise)

Quand créer un nouvel espace de travail

Créez un nouvel espace de travail dans les cas suivants :
  • Le contenu a des exigences d’accès différentes
  • Les documents forment un domaine de connaissances cohérent
  • Vous avez besoin d’isoler des informations sensibles
❌ Ne pas créer d’espace de travail si :
  • Les documents peuvent s’insérer dans l’espace de travail existant
  • La même équipe a besoin d’un accès
  • C’est juste pour l’organisation (utilisez plutôt des dossiers)

Prochaines étapes

Maintenant que vous comprenez l’architecture, plongez dans chaque composant :

User Management

Créer des utilisateurs, attribuer des rôles et gérer les autorisations

Team Management

Organiser les utilisateurs en équipes pour contrôler l’accès

Workspace Management

Créer et gérer des conteneurs de contenu

Document Access Control

Comprendre comment les documents sont sécurisés

Référence rapide

Flux du contrôle d’accès

Relations clés

  • 1 utilisateur1 entreprise (fixe)
  • 1 utilisateurplusieurs équipes (flexible)
  • 1 équipeplusieurs espaces de travail (flexible)
  • 1 espace de travailplusieurs équipes (flexible)
  • 1 espace de travail1 collection (fixe)
  • 1 collectionplusieurs documents (flexible)