Discussion :

[Sankasssss]

Bonjour,

Suite à cette discussion on m'a conseillé de poster ici afin d'améliorer ma base de données.

Je dois mettre en place une gestion des droits d'accès à nos applications.
(Actuellement tout le monde fait à sa mode et sa devient ingérable, entre fichier XML / base de donnée propre a chaque application et active directory)

Au début j'avais proposé l'Active Directory mais l'idée a été rejetée car celui-ci ne permet pas de garder un historique des employés ayant eu un droit dans le passé.

L'idée serait qu'un utilisateur puisse avoir des droit sur une application ou qu'il fasse partie de groupe qui peuvent avoir aussi des droit sur les applications.
Il faudrait aussi qu'un groupe puisse faire partie d'autres groupes et que tous les droit de chaque groupe soit cumulé.

Voici ma première idée :


Mais je trouvais que mélanger les groupes et les utilisateurs dans une seul table n'était pas propre.
J'ai donc pensé à celle-ci :


Je la trouve plus propre comme ça mais aussi plus difficile à utiliser et à maintenir.

Je suis ouvert à toutes propositions / remarque afin d'améliorer le concept.
Merci pour votre lecture.

[CinePhil]

Je suggégerais une piste avec la première solution modifiée en considérant qu'un groupe ou un utilisateur sont des "ayants-droits" et donc en faisant une spécialisation des ces ayants droits en user et en groupe.

user -(1,1)----être----0,1- ayant_droit -0,n----avoir----0,n- droit -(1,1)----autoriser----0,n- application
groupe -(1,1)----être----0,1-----|

Et en plus l'association entre les users et les groupes :
user -0,n----appartenir----0,n- groupe

Ce qui donnerait les tables suivantes :
application (app_id, app_nom...)
droit (drt_id_application, drt_numero, drt_nom...)
ayant_droit (ayd_id, ayd_nom, [colonnes communes aux users et aux groupes])
user (usr_id_ayant_droit, [colonnes spécifiques aux users])
groupe (grp_id_ayant_droit, [colonnes spécifiques aux groupes])
ayd_avoir_drt (aad_id_ayant_droit, aad_id_droit...)

[Sankasssss]

J'oublie toujours que l'on peut faire de l'héritage en BD...
Dans ce cas, il faudrait encore une table supplémentaire pour dire qu'un groupe peut faire partie d'un ou plusieurs autre groupe.

Ce qui me donnerais en vous reprenant :
application (app_id, app_nom...)
droit (drt_id_application, drt_numero, drt_nom...)
ayant_droit (ayd_id, ayd_nom, [colonnes communes aux users et aux groupes])
user (usr_id_ayant_droit, [colonnes spécifiques aux users])
groupe (grp_id_ayant_droit, [colonnes spécifiques aux groupes])
ayd_avoir_drt (aad_id_ayant_droit, aad_id_droit...)
+
user_appartenir_groupe (usr_id_ayant_droit, grp_id_ayant_droit ...)
groupe_appartenir_groupe (grp_id_ayant_droit_parent, grp_id_ayant_droit_enfant ...)

Je trouve cette approche pas trop mal, j'en discuterai avec mes collègues demain.

Merci pour votre réponse constructive , j'étais prêt à mettre en oeuvre la deuxième solution...