Réduire son temps de gestion des permissions tout en protégeant efficacement ses utilisateurs et utilisatrices, c’est possible !

En 2019, n’importe quel·le utilisateur ou utilisatrice du site Ameli pouvait lire les messages d’autres utilisateurs·ices et les pièces jointes contenant des informations confidentielles en modifiant de façon triviale un paramètre dans l’URL. Malheureusement, cette faille est beaucoup plus courante qu’on ne le pense et c’est pourquoi le contrôle d’accès a été inscrit au Top 1 des failles selon l’OWASP.

Historiquement, les développeurs·ices gèrent les permissions à la main conduisant le contrôle d’accès à être catalogué comme la faille la plus fréquente sur le web. C’est aussi l’une des plus complexes à gérer et il est facile pour un·e développeur·euse d’oublier une condition dans son API et d’ouvrir l’accès à des données sensibles à n’importe qui.

Sur un site de gestion de fonds utilisant django-admin, nous avons eu besoin d’une gestion très fine des permissions verticales (niveaux de permission) et horizontales (compartimentation entre les utilisateurs·ices) avec une nécessité pour certains·es administrateurs·ices de gérer leur propre équipe de manière indépendante.

Nous avons pu mettre en place un système extrêmement simple d’utilisation et très maniable en utilisant à la fois la gestion interne des permissions de Django et un SaaS: Okta.

Pendant ce talk, je couvrirai les sujets suivants:

– Les permissions avec django-admin
– L’ajout d’un SaaS pour la connexion et les permissions
– Les avantages et les inconvénients d’Okta

À la fin de cette conférence talk, vous connaîtrez les bonnes pratiques pour implémenter et utiliser les permissions sur django-admin. Vous aurez également une compréhension des avantages et des inconvénients de l’utilisation d’un SaaS pour externaliser la gestion des permissions et la simplifier pour vos administrateurs et administratrices.