Tableau de bord/Chapter 3/1.3 — Créer et gérer les Security Groups

Chapter 3 · leçon 3 sur 12

Progression de la leçon

25 % · leçon 3/12

Créer et gérer les Security GroupsHD · sous-titres FR/EN

Créer et gérer les Security Groups

Section 26% ~2-3 questions RBAC

Illustration de la leçon 3.3 — Chaîne de sécurité Person → User → Security Group → Start Center

📚 Leçon🎯 Scénarios d'examen

📋 Objectifs IBM

Décrire comment les records User et Person sont créés et la relation obligatoire User → Person.
Identifier où configurer les default security groups (assignation automatique aux nouveaux users).
Identifier les permissions nécessaires pour ajouter un user à un security group (séparation des duties).
Décrire comment les Start Centers sont assignés aux users via les Security Groups.
Décrire comment l'accès aux applications est accordé et lister les 4 permissions object-level par défaut.
Identifier les 3 types d'Optional Data Restrictions (ODR) et leur portée respective.
Décrire comment l'accès multi-site est accordé via Security Groups.

💡 Points clés

Chaîne de sécurité — Person (identité) → User (login) → Security Group (autorisations) → Start Center (UI personnalisée). Ordre strict, FK NOT NULL à chaque maillon.
4 permissions object-level par défaut — READ (consulter), INSERT (créer), SAVE (modifier), DELETE (supprimer). Granularité par business object.
3 types ODR — Qualified (clause WHERE row-level), Conditional (expression runtime-évaluée), Hidden (attribut retiré de l'UI column-level).
Multi-site access — exclusivement via l'onglet Sites du Security Group. Une seule modification de group = mise à jour automatique de tous les users assignés.
Application-level vs Object-level — 2 grants indépendants. Application access = ouvrir l'app dans le menu ; Object permissions = manipuler les business objects. Sans Object permission, l'app est une coquille vide.
Default Security Groups — configurés dans Security Groups app (flag Default cochet sur le record group). Auto-assignation aux nouveaux users.
Privilèges de menu — quels modules / apps un Security Group peut voir dans le menu (tickboxes par application). Configuré dans tab Applications.
Authorize Group Reassignment — fenêtre dédiée dans Security Groups app pour permettre à un group de gérer l'assignation des users à d'autres groups (séparation des duties).

📐 Chaîne de sécurité Maximo

L'architecture de sécurité Maximo Manage repose sur une chaîne hiérarchique stricte de 4 entités. Chaque maillon est une étape obligatoire avant la suivante, validée par des contraintes FK au niveau base de données. Cette séparation est volontaire : elle permet de gérer indépendamment les identités (Person), les logins (User), les autorisations (Security Group) et l'UI (Start Center).

La logique métier sous-jacente : un Person représente une personne physique réelle (un humain dans l'organigramme), un User représente son compte d'accès aux systèmes, un Security Group regroupe les autorisations communes à un rôle métier (technicien, planner, controller), un Start Center personnalise l'UI selon ce rôle. Cette granularité permet de gérer 1 000 users avec ~10-20 Security Groups sans dupliquer les configurations individuellement.

Chaque entité est gérée dans une app dédiée. La création se fait dans cet ordre uniquement : People → Users → Security Groups → Start Centers. Inverser l'ordre est impossible (FK NOT NULL bloquent). Cette séparation permet d'auditer chaque couche indépendamment et de respecter les principes SOC2 / ISO 27001 de moindre privilège.

🔑 Les 4 permissions object-level par défaut

Maximo applique strictement 4 permissions primitives sur chaque business object (WORKORDER, ASSET, LOCATION, PO, INVENTORY, etc.). Ces 4 verbes forment le CRUD basique et chaque permission peut être accordée ou refusée indépendamment. L'examen IBM teste systématiquement ces 4 noms — c'est un piège classique avec des distracteurs comme « UPDATE », « MODIFY », « VIEW », « CREATE » qui n'existent PAS dans Maximo.

Les 4 permissions object-level par défaut
Permission	Verbe SQL	Action UI Maximo	Exemple révocation
`READ`	SELECT	Voir / lister / rechercher les records	WO confidentiels masqués pour group « stagiaires »
`INSERT`	INSERT	Créer un nouveau record (button New)	Group « consultation » ne peut pas créer de WO
`SAVE`	UPDATE	Modifier un record existant (button Save)	Read-only group peut consulter sans modifier
`DELETE`	DELETE	Supprimer un record (button Delete)	Personne ne peut supprimer hors administrateur

4 permissions, point final. Pas de permission MODIFY (= SAVE), VIEW (= READ), CREATE (= INSERT), UPDATE (= SAVE) dans Maximo. Au-delà des 4 défauts, certains objets exposent des signature options (sigoption) spécifiques (ex: APPR sur WORKORDER pour l'approbation workflow) — ce sont des permissions étendues, pas object-level standard.

🛡️ Les 3 types d'Optional Data Restrictions (ODR)

Les ODRs permettent de filtrer dynamiquement les données visibles ou éditables par un Security Group, sans modifier le schéma sous-jacent. Les autres groups voient toujours les données complètes. Maximo offre exactement 3 types, avec des portées de filtrage différentes : 2 row-level (Qualified, Conditional) et 1 column/attribute-level (Hidden).

Les 3 types d'Optional Data Restrictions (ODR)
Type ODR	Portée	Mécanisme	Exemple concret
`Qualified`	Row-level	Clause SQL WHERE ajoutée à toutes les queries	« STATUS IN ('WAPPR','APPR') » pour cacher les WO terminés
`Conditional`	Row ou field	Expression évaluée au runtime via Conditional Expression Manager	« :user = assignedto » pour ne voir que ses propres WOs
`Hidden`	Field-level	Retire l'attribut de l'UI pour ce Security Group	Cacher SALARY pour groups non-HR

Les 3 ODRs se cumulent : un même Security Group peut avoir une Qualified sur la table, une Conditional sur un field, et un Hidden sur un autre field. Les ODRs ne modifient pas la base de données — elles filtrent dynamiquement selon le user authentifié. Les autres Security Groups voient les données complètes sans aucune restriction.

🌐 Multi-site access via Security Groups

L'accès multi-Sites se gère exclusivement via l'onglet Sites d'un Security Group. Cette approche est scalable : un admin sélectionne le group, ouvre l'onglet Sites, ajoute chaque Site autorisé (BEDFORD, NASHUA, etc.) ou coche « Authorize All Sites » pour accès global. Tous les users assignés héritent automatiquement de l'accès — aucune config per-user requise.

Avantage majeur : quand un Site s'ajoute ou se retire, on modifie le group une fois au lieu de mettre à jour 200 users individuellement. Anti-pattern à éviter : créer un user par Site et faire switcher les logins (multiplie la gestion, brise l'audit trail). Une autre erreur courante : tenter d'ajouter les Sites au record Person — le Person porte l'identité (email, phone, supervisor) mais pas les autorisations Site.

⚠️ Pièges IBM

Les 5 confusions les plus fréquentes sur la sécurité à l'examen :

Piège 1 — penser que les permissions sont CREATE / UPDATE / VIEW / MODIFY. Faux : les 4 permissions sont READ, INSERT, SAVE, DELETE. IBM utilise systématiquement les autres noms comme distracteurs.
Piège 2 — placer une ODR sur un User. Faux : les ODRs se définissent exclusivement sur les Security Groups, jamais sur les Users individuels.
Piège 3 — penser qu'Application access = Object access. Faux : ce sont 2 grants indépendants. Sans object permission, l'app est une coquille vide (pas de records visibles, boutons grisés).
Piège 4 — confondre Hidden ODR (retire un field) avec Conditional read-only (rend un field grisé). Hidden = absent de l'UI ; Conditional read-only = visible mais non éditable.
Piège 5 — assigner un user à un Security Group sans Person préalable. Faux : la chaîne FK exige Person → User → Group, sinon erreur de validation.

🎯 Cartes mémoire

Q. Quelles sont les 4 permissions object-level par défaut dans Maximo Security Groups ?

Afficher la réponse

READ, INSERT, SAVE, DELETE. Pas CREATE, pas UPDATE, pas MODIFY, pas VIEW.

Q. Quels sont les 3 types d'Optional Data Restrictions (ODR) ?

Afficher la réponse

Qualified (clause WHERE row-level), Conditional (expression runtime row ou field), Hidden (attribut retiré UI column-level). 2 row-level + 1 column-level.

Q. Comment accorde-t-on l'accès multi-site à un user ?

Afficher la réponse

Via l'onglet Sites d'un Security Group dans Security Groups app. Ajouter les Sites souhaités ou cocher Authorize All Sites. Tous les users assignés au group héritent automatiquement.

Q. Quelle est la chaîne de création complète pour qu'un nouveau user puisse se connecter ?

Afficher la réponse

1. Person record (People app) → 2. User record (Users app, lié au Person via PERSONID) → 3. Assignation à ≥1 Security Group → 4. Start Center template associé au group. Ordre inverse impossible.

Q1 · Sous-rubrique 3.3 · Type 1A T1 · Simple

Question : How can a user account be unlocked if the user has exceeded the number of failed login attempts?

AIn the Manage People application change the Person status from BLOCKED to ACTIVE
BIn MAS Suite administration - turn off Compliance enforcement
CIn MAS Suite administration - Users - use action Unlock
DIn the Manage Users application change status from BLOCKED to ACTIVE

Vérifier ma réponse Réessayer

Bonne réponse : C

Bonne réponse : C

Pourquoi cette question existe — STU §3.3 — la question vérifie que le déverrouillage d'un compte verrouillé pour échecs de connexion se fait au niveau Suite (MAS), pas dans Manage. Les distracteurs proposent des changements de statut plausibles mais inexistants ou mal localisés. En pratique, chercher ce déverrouillage dans Manage People fait perdre du temps support.

Le contexte théorique d'abord — Lorsque le nombre de tentatives de connexion échouées dépasse le seuil configuré (Account lockout), le compte utilisateur est verrouillé au niveau Suite. Le déverrouillage se fait via MAS Suite administration > Users > action Unlock, et non via un changement de statut de Person dans Manage.

Ce que Maximo en fait — version opérationnelle — Dans Suite Administration > Users, l'administrateur sélectionne l'utilisateur verrouillé et applique l'action Unlock, qui réinitialise le compteur de tentatives échouées sans toucher au statut Person/User dans Manage.

Exemple chiffré — Avec un seuil configuré à 5 tentatives échouées, un utilisateur bloqué après sa 6ᵉ tentative reste verrouillé jusqu'à l'action Unlock, indépendamment des 0 changements de statut effectués côté Manage.

Analogie quotidienne — C'est comme un digicode qui se bloque après plusieurs codes erronés : seul le gestionnaire de l'immeuble (Suite administration), pas le locataire (Manage People), peut le réarmer.

Pourquoi A est faux — Pattern D6 mauvaise-app : le statut Person dans Manage People ne pilote pas le verrouillage de compte lié aux tentatives de connexion Suite.

Pourquoi B est faux — Pattern D2 inventé : désactiver le « Compliance enforcement » ne déverrouille pas un compte, et ce réglage n'a pas cette fonction.

Pourquoi D est faux — Pattern D6 mauvaise-app : Manage Users ne porte pas de statut BLOCKED/ACTIVE pilotant ce verrouillage ; le mécanisme est géré côté Suite.

Concept de cours associé

Account lockout — verrouillage après dépassement du seuil de tentatives échouées.
Suite Administration > Users — emplacement de l'action Unlock.
Action Unlock — réinitialise le compteur d'échecs de connexion.
Person status (Manage) — distinct du verrouillage Suite.
Seuil de tentatives — paramètre configurable du lockout.

Ce qu'il faut retenir (flashcard)

Déverrouillage = Suite Administration > Users > Unlock.
Le statut Person dans Manage ne déverrouille rien.
Le verrouillage suit un seuil configurable de tentatives échouées.

Sources :

STU sub-objective §3.3 — Suite Administration, déverrouillage de compte
[EOTRAG] Query — « Suite Administration Users action Unlock user locked out failed password attempts » (confidence 0.6, recoupé avec connaissance générale MAS)
MAS documlentation.pdf — IBM Docs IBM Maximo Application Suite (MAS) Documentation

Q2 · Sous-rubrique 3.3 · Type 1B T1 · Simple

Question : In the Security Groups application, how can the correct access be granted if a user receives the error READ is not allowed on object MXAPIxxxxxx?

AOn the Data Restrictions tab filter the object and remove the restriction
BOn the Applications tab, filter the object and grant READ access
COn the Object Structures tab, filter the object and grant READ access
DIn action Global Data Restrictions, filter the object and remove the restriction

Vérifier ma réponse Réessayer

Bonne réponse : C

Bonne réponse : C

Pourquoi cette question existe — STU §3.3 — cette question teste la capacité à diagnostiquer une erreur d'API REST (MXAPIxxxxxx) et à la résoudre au bon endroit : l'onglet Object Structures, pas l'onglet Applications ou Data Restrictions qui gèrent d'autres couches de sécurité. En pratique, cette erreur est l'une des plus fréquentes lors de l'intégration via REST API.

Le contexte théorique d'abord — Les objets MXAPIxxxxxx (ex. MXAPIASSET, MXAPIINVENTORY) sont des Object Structures exposées via API REST. L'accès à ces structures est contrôlé séparément de l'accès aux applications classiques, via l'onglet Object Structures du Security Group, où l'on accorde explicitement les droits READ/INSERT/SAVE par structure.

Ce que Maximo en fait — version opérationnelle — Dans Security Groups > sélectionner le groupe > onglet Object Structures > filtrer sur MXAPIASSET > cocher READ (et INSERT/SAVE si besoin pour les écritures). Sans ce droit, toute requête API échoue avec l'erreur citée, même si l'utilisateur a accès à l'application correspondante.

Exemple chiffré — Une intégration consommant 3 object structures (MXAPIASSET, MXAPIWO, MXAPIINVENTORY) nécessite 3 lignes d'autorisation distinctes dans l'onglet Object Structures, indépendamment des droits applicatifs déjà accordés sur les 3 applications correspondantes.

Analogie quotidienne — C'est comme avoir la clé de la porte d'entrée (l'application) mais pas celle du coffre-fort intérieur (l'object structure exposée en API) : il faut une autorisation distincte pour chaque niveau.

Pourquoi A est faux — Pattern D5 champ-frère : Data Restrictions filtre des lignes/colonnes selon condition, mais ne résout pas une absence totale de droit READ sur l'object structure.

Pourquoi B est faux — Pattern D6 mauvaise-app : l'onglet Applications gère les droits sur les applications classiques, pas sur les Object Structures exposées en API.

Pourquoi D est faux — Pattern D5 champ-frère : Global Data Restrictions s'applique transversalement à plusieurs groupes mais cible aussi des restrictions de données, pas l'octroi initial de READ sur un object structure.

Concept de cours associé

Object Structures (Security Groups) — onglet dédié à l'autorisation API REST.
MXAPIxxxxxx — nommage des object structures exposées en API.
READ/INSERT/SAVE — droits granulaires par object structure.
Data Restrictions — couche de filtrage distincte, pas d'octroi de droit de base.
Applications tab — gère les droits applicatifs classiques, pas l'API.

Ce qu'il faut retenir (flashcard)

Erreur READ MXAPIxxxxxx = droit manquant sur l'onglet Object Structures.
Les droits API sont distincts des droits applicatifs classiques.
Granularité : READ/INSERT/SAVE par object structure.

Sources :

STU sub-objective §3.3 — Security Groups, onglet Object Structures
[EOTRAG] Query — « Maximo Security Groups Object Structures tab grant READ access MXAPI error » (confidence 0.98)
Maximo manage 9.pdf — IBM Docs IBM Maximo Manage 9

Q3 · Sous-rubrique 3.3 · Type 1C T1 · Simple

Question : In which application can an API Key be generated for a user?

ASecurity Groups
BAdministration Work Center
CAPI Keys
DUsers

Vérifier ma réponse Réessayer

Bonne réponse : C

Bonne réponse : C

Pourquoi cette question existe — STU §3.3 — la question identifie précisément l'application dédiée à la génération de clés API, distincte des applications de gestion des utilisateurs ou des groupes de sécurité. En pratique, confondre Users et API Keys retarde la mise en place d'intégrations REST sécurisées.

Le contexte théorique d'abord — L'application API Keys permet à un administrateur de générer une clé d'authentification pour un utilisateur Maximo préexistant, afin que des clients externes puissent s'authentifier aux API Maximo Application Suite sans utiliser le mot de passe de l'utilisateur.

Ce que Maximo en fait — version opérationnelle — L'administrateur se connecte avec un compte membre du groupe d'administration (ex. MAXADMIN), ouvre API Keys, sélectionne l'utilisateur cible (préalablement créé dans Users) et génère la clé. Les permissions de la clé héritent des droits déjà configurés pour cet utilisateur via ses Security Groups.

Exemple chiffré — Une intégration externe utilisant 1 clé API par système tiers (ex. 3 systèmes ERP/IoT connectés) nécessite 3 utilisateurs Maximo distincts, chacun avec sa propre clé générée dans API Keys.

Analogie quotidienne — C'est comme un badge magnétique distinct du trousseau de clés physique : le badge (clé API) permet d'entrer sans jamais connaître le mot de passe (les clés) du titulaire du compte.

Pourquoi A est faux — Pattern D5 champ-frère : Security Groups définit les droits d'accès, mais ne génère pas la clé d'authentification elle-même.

Pourquoi B est faux — Pattern D2 inventé : « Administration Work Center » n'est pas une application standard de génération de clé API dans MAS.

Pourquoi D est faux — Pattern D4 demi-vérité : Users sert à créer le compte cible, prérequis nécessaire, mais la génération de la clé se fait dans l'application API Keys.

Concept de cours associé

API Keys — application de génération de clés d'authentification REST.
Users — prérequis : l'utilisateur doit déjà exister.
MAXADMIN — groupe administrateur par défaut requis pour générer des clés.
Authentification API — alternative au mot de passe pour les clients externes.
Security Groups — définissent les droits hérités par la clé, pas sa génération.

Ce qu'il faut retenir (flashcard)

API Keys = application dédiée à la génération de clés.
L'utilisateur doit déjà exister dans Users avant de générer sa clé.
La clé hérite des droits Security Groups de l'utilisateur.

Sources :

STU sub-objective §3.3 — Application API Keys
[EOTRAG] Query — « Maximo API Keys application generate user » (confidence 0.98)
MAS documlentation.pdf — IBM Docs IBM Maximo Application Suite (MAS) Documentation

Q4 · Sous-rubrique 3.3 · Type 1D T1 · Simple

Question : When a user belongs to two or more Security Groups that grant different levels of access to the same data, which access level applies to the user?

AThe highest (most permissive) privilege across all the groups
BThe access level of the group created most recently
CThe most restrictive privilege across all the groups
DThe access level of the user's default insert group only

Vérifier ma réponse Réessayer

Bonne réponse : A

Bonne réponse : A

Pourquoi cette question existe — STU §3.3 — cette question vérifie la compréhension du mécanisme général de cumul des droits dans Maximo lorsqu'un utilisateur appartient à plusieurs Security Groups, un point fondamental souvent mal interprété (croyance erronée que les restrictions s'additionnent au lieu des privilèges). Les distracteurs proposent des règles plausibles mais inversées ou inventées. En pratique, mal comprendre ce cumul mène à des audits de sécurité erronés.

Le contexte théorique d'abord — Le security profile d'un utilisateur est la liste cumulée des droits qu'il tire de tous les Security Groups auxquels il appartient. Lorsque des Data Restrictions diffèrent entre groupes pour la même donnée, Maximo accorde à l'utilisateur le privilège le plus élevé parmi tous les groupes — les droits se cumulent, ils ne se restreignent pas mutuellement.

Ce que Maximo en fait — version opérationnelle — Dans Security Groups > onglet Applications ou Data Restrictions, chaque groupe définit ses propres droits CRUD et restrictions par attribut/condition. L'utilisateur appartenant à plusieurs groupes (ex. Managers + Maintenance) reçoit l'union de ces droits via son Security Profile dans Users.

Exemple chiffré — Un utilisateur membre des groupes Managers (accès lecture/écriture sur le taux de paye) et Maintenance (pas d'accès au taux de paye) verra son accès final inclure la lecture/écriture du taux de paye : 2 groupes combinés → 1 droit final, le plus permissif des deux, sur les 3 attributs sensibles évalués (taux de paye, coût standard, marge).

Analogie quotidienne — C'est comme posséder deux badges d'accès dans un immeuble : si l'un ouvre la salle des serveurs et l'autre non, posséder les deux badges donne quand même accès à la salle des serveurs.

Pourquoi B est faux — Pattern D2 inventé : la date de création d'un groupe n'a aucune influence sur le cumul des droits dans Maximo.

Pourquoi C est faux — Pattern D3 inverse : c'est l'exact opposé de la règle réelle — Maximo retient le privilège le plus permissif, pas le plus restrictif.

Pourquoi D est faux — Pattern D4 demi-vérité : le groupe d'insertion par défaut (Default Insert Group) définit certaines valeurs par défaut à la création d'enregistrements, mais ne limite pas le cumul des droits d'accès des autres groupes.

Concept de cours associé

Security Profile — liste cumulée des droits d'un utilisateur dérivée de tous ses groupes.
Cumul des privilèges — le droit le plus permissif s'applique en cas de conflit entre groupes.
Data Restrictions — règles fines de sécurité au-delà du simple CRUD applicatif.
Default Insert Group — groupe utilisé pour les valeurs par défaut à la création.
Security Groups — unité de base d'attribution des droits dans Maximo.

Ce qu'il faut retenir (flashcard)

Appartenance à plusieurs groupes = cumul, pas restriction, des droits.
En cas de conflit, le privilège le plus permissif s'applique toujours.
Le Default Insert Group ne limite pas ce cumul d'accès.

Sources :

STU sub-objective §3.3 — Cumul des droits entre Security Groups
[EOTRAG] Query — « Maximo Security Groups how access rights combine multiple groups independent group » (confidence 0.98)
pdf_mbs_sysadmin.pdf — IBM Docs IBM Maximo Business Solutions - System Administration Guide

Marquer comme étudiée

← Précédent3.2 Configurer les options Organization (Site) Suivant →3.4 Calendars et Shifts