DECIS Application KGBEditor Document de release de la version 4.0 Date : 17/10/2013
BETA 4.0.0.0 Résumé : paramétrisation centralisée via nouvelle table KGB_PARAMS Type : Amélioration Importance (1..3) : 3 Numéro : 1 Une nouvelle table KGB_PARAMS sert à centraliser la configuration partagée entre STP, KgbServer et KgbEditor. En particulier, c'est désormais cette table qui détermine si les utilisateurs Active Directory sont inclus dans KGB ou non (et comment). Cette table a deux champs : ParamKey : le nom du paramètre ; ParamValue : sa valeur. Les paramètres reconnus à ce jour sont: ParamKey (nom) AD_DOMAINS AD_USERID_KIND KGBDB_VER ParamValue (valeur) Optionnel; uniquement si Active Directory. Nom du ou des domaines (séparés par des virgules) où chercher les utilisateurs. Une astérisque (*) à la place d'un nom de domaine fait chercher dans tous les domaines accessibles. Voir point 3 de ce document pour plus de détails. '-' (un simple tiret) s'il ne faut pas lire les utilisateurs d'active Directory. Sinon, ce paramètre décrit quelle valeur utiliser comme UserId dans KGB pour un utilisateur AD: 'LOGIN' = Domain/UserName (comme dans les versions précédentes de KGB); 'SID' = SID (voir point 2 de ce document pour plus de détails). Le numéro de version de la structure des tables KGB_* de la base de données. Fixé par DECIS. Permet à KgbEditor et KgbServer de refuser de travailler avec une version trop ancienne de la BD. Les versions 4.0 de KgbEditor et 6.0 de KgbServer exigeront au moins KGBDB_VER >= 4.0. MIN_KGBEDITOR_VER Le plus petit n de version de KgbEditor accepté (fixé normalement par DECIS). KgbEditor version 4.0.0.0 et ultérieures comparera son numéro de version à MIN_KGBEDITOR_VER et refusera de fonctionner s'il est inférieur à MIN_KGBEDITOR_VER. MIN_KGBSERVER_VER Le plus petit n de version de KgbServer accepté (fixé normalement par DECIS). KgbServer versions 6.0.0.0 et ultérieures comparera son numéro de version à MIN_KGBSERVER_VER et refusera de fonctionner s'il est inférieur à MIN_KGBSERVER_VER. La valeur du registry Sotfware\Decis\KgbDb\1.0\KgbActiveDirUsers qui servait à inclure ou exclure les utilisateurs A.D. est préservée, mais est ignorée.
Un numéro de version doit consister en une suite de nombre entiers (éventuellement négatifs) séparés par des points (et éventuellement des espaces); la comparaison des numéros de versions se fait nombre par nombre en ordre lexicographique; un numéro de version est équivalent au même numéro suivi d'un nombre quelconque de zéros. (À l'initiative de DECIS) Résumé : (uniquement si Active Directory) le UserId des utilisateurs lus de l'active Directory peut être le SID au lieu de Domain\UserName. Type : Amélioration Importance (1..3) : 3 Numéro : 2 Dans les versions précédentes de KGB (KgbEditor jusque les versions 3.3, KgbServer jusque les version 5.8), un utilisateur importé d'active Directory avait «Domain/UserName» comme UserId dans les tables KGB. Désormais, il est possible d'utiliser le SID (Security ID) comme UserId dans les tables KGB. Cela permet de rendre KGB moins sensible aux changements de noms des utilisateurs et surtout des groupes. Cette option n'impacte que les données en base de données. Elle n'impacte pas l'utilisation de KgbEditor ou KgbServer : notamment, dans l'appel à KgbServer, c'est toujours le «Domain/UserName» qui doit être utilisé pour identifier l'utilisateur AD voulu. La paramétrisation de cette option se fait via le paramètre «AD_USERID_KIND» de la table KGB_PARAMS, décrit au point 1 précédent. La migration des utilisateurs AD (changement de leur UserId en SID dans les tables KGB) se fait comme suit : taper Ctrl+Shift+F11 pour faire apparaître le menu «Maintenance» ; menu «Maintenance» --> «Migrate all AD users to use SID as UserId» ; est alors affiché la liste des utilisateurs et groupes AD ayant des droits enregistrés dans KGB sous leur ancien UserId = Domain/UserName ; vous avez la possibilité d'éditer cette liste avant de lancer la migration. Enfin, via le menu «Groups» --> «Disabled and deleted users with rights», vous avez la possibilité de supprimer les droits pour les utilisateurs inconnus (c'est-à-dire ni Active Directory ni enregistré dans KGB_USERS) et donc non convertis. (NB. ce menu tient bien sûr compte du paramètre AD_USERID_KIND pour déterminer quel doit être le UserId d'un utilisateur ou groupe AD ; si AD_USERID_KIND = 'SID', les UserId de la forme Domain/UserName seront considérés comme «utilisateurs inconnus» sauf s'ils sont enregistrés en table KGB_USERS.) Dans KgbEditor, c'est le Domain/UserName qui reste partout affiché comme avant (pour les utilisateurs AD). Le UserId, quand il est différent de Domain/UserName, est affiché dans KgbEditor parallèlement au Domain/UserName dans certaines circonstances : dans la forme principale, sous le Domain/UserName de l'utilisateur ou groupe sélectionné ;
dans le résultat de «Test HasAccess» et dans le résultat de «Get Access», est ainsi affiché le UserId du groupe ou de l'utilisateur qui attribue le droit trouvé. (Demande ARP) Résumé : (uniquement si Active Directory) configuration des domaines où chercher les utilisateurs Type : Amélioration Importance (1..3) : 2 Numéro : 3 (Ce point s'applique uniquement si on importe les utilisateurs d'active Directory.) En table KGB_PARAMS, le paramètre nommé 'AD_DOMAINS' donne la liste des domaines où chercher les utilisateurs ; chaque nom de domaine y est séparé par une virgule. Une astérisque (*) à la place d'un nom de domaine demande la détection automatique des domaines. C'est la méthode utilisée dans les versions précédentes de KgbEditor et KgbServer. Les domaines explicitement nommés ailleurs dans la liste ne sont pas réexplorés par l'astérisque. Cette détection automatique des domaines n'est pas recommandée car sa fiabilité n'est pas absolue. L'ancien comportement du programme peut être obtenu en mettant une simple astérisque dans AD_DOMAINS. (Repéré par DECIS) 4.0.0.1 Résumé : retour des droits des qualifications (colonnes) inconnues Type : Correction Importance (1..3) : 3 Numéro : 4 Lorsqu'une qualification est inconnue (non définie), elle hérite à nouveau des droits de la qualification de base. (Ce point s'applique surtout à la version 6.0.0.1 de KgbServer mise à jour en parallèle. Dans KgbEditor, seul le «Test Has Access» est affecté.) (ARP)
4.0.0.2 Résumé : on peut de nouveau éditer l'appartenance aux groupes relatifs d'un utilisateur d'active Directory lorsque les UserId des utilisateurs et groupes AD ne sont plus les logins. Type : Correction Importance (1..3) : 3 Numéro : 5 Depuis la version 4, pour les utilisateurs Active Directory lorsque AD_USERID_KIND <> 'LOGIN', l'onglet «relative groups» n'était plus visible.cela est corrigé. (DECIS + ARP) Résumé : on peut de nouveau éditer l'appartenance aux groupes relatifs d'un utilisateur d'active Directory lorsque les UserId des utilisateurs et groupes AD ne sont plus les logins. Type : Amélioration Importance (1..3) : 1 Numéro : 6 C'est la description et non plus le UserId qui est affiché dans la forme principale sous le sélecteur d'utilisateur. (DECIS + ARP) Résumé : on peut de nouveau éditer l'appartenance aux groupes relatifs d'un utilisateur d'active Directory lorsque les UserId des utilisateurs et groupes AD ne sont plus les logins. Type : Correction Importance (1..3) : 1 Numéro : 7 L'éditeur de date de péremption de l'appartenance à un groupe relatif n'affiche rien (au lieu de '30/12/1899') lorsque la date de péremption est vide (= pas de péremption). (DECIS)
ADAPTATIONS DATABASE Ajout de la table KGB_PARAMS (pour passer des versions 3.X aux versionx 4.X de KgbEditor.) Toutes bases CREATE TABLE KGB_PARAMS ( ParamKey char(50) PRIMARY KEY, ParamValue varchar(1000) ) insert into KGB_PARAMS (ParamKey, ParamValue) values ('KGBDB_VER', '4.0'); insert into KGB_PARAMS (ParamKey, ParamValue) values ('MIN_KGBSERVER_VER', '6.0.0.0'); insert into KGB_PARAMS (ParamKey, ParamValue) values ('MIN_KGBEDITOR_VER', '4.0.0.0'); -- ATTENTION le ParamValue varie selon votre situation: voir point 3 insert into KGB_PARAMS (ParamKey, ParamValue) values ('AD_USERID_KIND', 'LOGIN'); insert into KGB_PARAMS (ParamKey, ParamValue) values ('AD_DOMAINS', '*');
4.0.0.3 (14/12/2011) Résumé : (si Active Directory) affichage du nom du groupe hérité dans les reportings Type : Correction Importance (1..3) : 1 Numéro : 8 Correction du problème suivant : Dans certains reportings, le nom du groupe qui donne les droits était affiché incorrectement comme : on mettait l'userid (privé) au lieu du Login (public). (Problème uniquement sous Active Directory avec AD_USERID_KIND <> 'LOGIN') (DECIS) Résumé : corrections au reporting «Groups and Members» (surtout si A.D.) Type : Correction Importance (1..3) : 1 Numéro : 9 Reporting «Groups and members» : correction de divers problèmes pour les groupes et utilisateurs Active Directory : traitement des droits relatifs ; recherche par «domain\username» au lieu de simplement «username» ; tri pour garder ensemble les groupes frères ; amélioration de l'affichage. (DECIS)
4.0.0.4 (23/1/2012) Résumé : mise en majuscules des noms de la table KGB_PARAMS et de ses champs Type : Correction Importance (1..3) : 2 Numéro : 10 (ST-LUC => Sybase) Résumé : corrigé : trop de groupes dans l'onglet relatif Type : Correction Importance (1..3) : 1 Numéro : 11 Retour à la situation normale (avant versions 4.0.0.X?) : dans l'onglet groupe relatif, au lieu d'afficher tous les groupes dont fait partie l'utilisateur, on n'affiche plus que les groupes avec des accès dans l'application en cours. (DECIS)
4.0.0.5 (2/2/2012) Résumé : (si Active Directory) correction du traitement d'ad_domains Type : Correction Importance (1..3) : 2 Numéro : 12 Correction du problème suivant: les domaines autres que «*» dans AD_DOMAINS (cf points 3 et 1 de la version 4.0.0.0) n'étaient pas pris en compte correctement. (DECIS)
4.0.0.6 (16/3/2012) Résumé : correction de confusion entre majuscules et minuscules dans le UserId Type : Correction Importance (1..3) : 2 Numéro : 13 Correction du problème suivant: certains droits n'étaient parfois pas calculés correctement suite à confusion entre majuscules et minuscules dans le UserId. (DECIS) Résumé : correction problème sous ORACLE de lecture de la table KGB_PARAMS Type : Correction Importance (1..3) : 2 Numéro : 14 Correction du problème suivant: Les données de la table KGB_PARAMS pouvaient ne pas être lues correctement (sous ORACLE).
4.0.0.7 (24/4/2013) Correction de multiple memory leaks Type : Correction Importance (1..3) : 1 Numéro : 15 Résumé : correction : utilisateurs/groupes manquants dans le reporting «Groups and Members» Type : Correction Importance (1..3) : 2 Numéro : 16 Correction du problème suivant: Dans certaines circonstances, certaines personnes et certains groupes n'apparaissaient pas dans le reporting Members, lequel était parfois totalement vide (page blanche). (ST-LUC) Résumé : amélioration performance Type : performance Importance (1..3) : 1 Numéro : 17 Lorsqu'on ferme la fenêtre d'édition des utilisateurs et groupes KGB sans avoir rien changé, le programme ne perd plus de temps à remettre à jour ses données.
4.0.0.8 (02/10/2013) Lecture de l active directory revue Type : Adaptation Importance (1..3) : 1 Numéro : 18 Restructuration de la lecture de l activedirectory (by Emmanuel). Il y avait le message : «KGBEditor failed to initialize correctly. EOleExcpetion : Accès refusé. Cette lecture résiste maintenant aux refus d accès (sur certains objets) et passe au user suivant. (CHR-Citadelle)