add iam architecture documentation

Signed-off-by: William Phetsinorath <william.phetsinorath@shikanime.studio>

Author: shikanime

docs/.vitepress/sidebar.json

@@ -45,6 +45,10 @@
         "text": "Compatibilité",
         "link": "/platform/compatibility"
       },
+      {
+        "text": "Architecture IAM",
+        "link": "/platform/iam"
+      },
       {
         "text": "Matrice de compétences",
         "link": "/platform/skills-matrix"
@@ -244,6 +248,10 @@
         "text": "Utilisateurs",
         "link": "/administration/utilisateurs"
       },
+      {
+        "text": "Rôles",
+        "link": "/administration/roles"
+      },
       {
         "text": "Organisations",
         "link": "/administration/organisations"

docs/administration/roles.md

@@ -0,0 +1,41 @@
+# Rôles plateforme
+
+Les rôles plateforme pilotent les permissions globales de la Console (scope Console). Ils sont distincts des rôles projet, qui ne s’appliquent qu’à un projet.
+
+Si un utilisateur est associé à plusieurs rôles plateforme, ses permissions sont cumulées : il obtient l’ensemble des permissions de tous ses rôles.
+
+Certains rôles plateforme sont préconfigurés (rôles “système”) et sont en lecture seule : leurs permissions, leur type et leur groupe OIDC ne sont pas modifiables depuis l’interface. La gestion des membres reste possible.
+
+## Accéder à la gestion des rôles
+
+Chemin : `Administration` → `Rôles`.
+
+![Liste des rôles plateforme](/img/iam/admin-roles-list.png)
+
+## Paramétrer un rôle
+
+L’onglet `Général` permet de :
+
+- nommer le rôle ;
+- choisir ses permissions (globales) ;
+- définir le type ;
+- associer le groupe OIDC.
+
+![Paramétrage d’un rôle plateforme](/img/iam/admin-role-general.png)
+
+## Gérer les membres d’un rôle
+
+L’onglet `Membres` permet d’ajouter ou retirer des utilisateurs.
+
+![Membres d’un rôle plateforme](/img/iam/admin-role-members.png)
+
+## Effet sur GitLab
+
+Selon l’intégration et le niveau de synchronisation, l’affectation à un rôle plateforme se traduit par des droits visibles côté GitLab (ex. via l’appartenance à des groupes synchronisés).
+
+![GitLab - membres du groupe](/img/iam/gitlab-group-members.png)
+
+## Voir aussi
+
+- [Gestion des rôles (projet)](/guide/roles)
+- [Utilisateurs](/administration/utilisateurs)

docs/administration/utilisateurs.md

@@ -1,6 +1,6 @@
 # Utilisateurs
 
-Dans le menu Administration > Utilisateurs il est possible de retrouver tous les utilisateurs inscrits sur la plateforme, ainsi que leur statut (utilisateur simple ou administrateur).
+Dans le menu `Administration` → `Utilisateurs`, il est possible de retrouver tous les utilisateurs inscrits sur la plateforme, ainsi que des informations d’administration associées.
 
 > La création et la suppresion des utilisateurs est à faire directement dans keycloak.
 
@@ -18,3 +18,7 @@ Une fonction de recherche est disponible sur les champs suivants:
 ## Devenir administrateur
 
 En cochant la case **Administrateur**, la personne choisie devient administrateur de la console DSO.
+
+Selon la configuration, les permissions globales peuvent aussi être gérées via les rôles plateforme (recommandé).
+
+Voir : [Rôles plateforme](/administration/roles).

docs/guide/roles.md

@@ -1,33 +1,44 @@
 # Gestion des rôles
 
-Les rôles permettent d'augmenter ou diminuer les droits de chaque membre de votre équipe.
+Cette page explique la gestion des rôles au niveau projet.
 
-Si un membre de l'équipe est associé à plusieurs rôles, il prendra les permissions de tous les rôles associés.
+Pour les rôles plateforme (scope Console), voir : [Rôles plateforme](/administration/roles).
 
-Cliquez sur l'onglet **roles**
-![menu-projet-depot](/img/guide/roles/onglets-projet-v9-roles.png)
+## Accéder aux onglets Équipe et Rôles
 
-## Rôles du projet
+Chemin : sélectionner un projet → onglets `Équipe` / `Rôles`.
 
-La page Rôles présente la liste des rôles du projet :
+![Onglets du projet](/img/guide/roles/onglets-projet-v9-roles.png)
+
+## Consulter qui a quoi (onglet Équipe)
+
+L’onglet `Équipe` affiche les membres du projet et les rôles qui leur sont associés.
+
+![Membres du projet et rôles](/img/iam/project-members.png)
+
+La capture ci-dessus illustre un exemple avec un utilisateur de test.
+
+## Gérer les rôles (onglet Rôles)
+
+L’onglet `Rôles` présente la liste des rôles du projet.
 
 ![default](/img/guide/roles/default.png)
 
-Par défaut le rôle `Tout le monde` regroupe tous les membres de l'équipe avec les permissions suivantes :
+Par défaut, le rôle `Tout le monde` regroupe tous les membres de l'équipe avec les permissions suivantes :
 
 - Reprovisionner le projet
 - Voir les environnements
 - Voir les dépôts
 
-## Créer un rôle
+## Créer ou modifier un rôle
 
 Cliquer sur le bouton `Ajouter un rôle`.
 
 ![add_role](/img/guide/roles/add.png)
 
-Le champ de texte `Nom du rôle` permet de choisir le nom du rôle à créer.
+Le champ `Nom du rôle` permet de choisir le nom du rôle à créer.
 
-Détail des permissions :
+### Permissions disponibles
 
 - Projet
   - Gérer le projet : Permet de gérer tout le projet et ses ressources associées
@@ -44,31 +55,39 @@ Détail des permissions :
   - Gérer les dépôts : Permet de créer, éditer, supprimer des dépôts
   - Voir les dépôts : Permet de visualiser tous les dépôts et leurs configurations
 
-Cliquer sur le bouton `Enregistrer` pour créer le rôle.
+Cliquer sur `Enregistrer` pour créer le rôle.
 
-## Assigner/Retirer un membre à un rôle
+### Ajouter/retirer des membres à un rôle
 
-Cliquer sur le rôle voulu et aller dans l'onglet `Membres`
+Après création, sélectionner le rôle puis ouvrir l’onglet `Membres` pour ajouter/retirer des utilisateurs. Les modifications sont sauvegardées automatiquement.
 
-![Menu](/img/guide/roles/membres.png)
+![Membres d’un rôle projet](/img/iam/project-role-members.png)
 
-Dans l'exemple, Aurahan est associé au rôle Dev.
+## Supprimer un rôle
 
-Les modifications concernant les membres d'un rôle sont sauvegardées automatiquement.
+Pour supprimer un rôle, sélectionner celui-ci dans la liste des rôles puis cliquer sur `Supprimer`.
 
-Il est possible de retrouver un récapitulatif des rôles associés aux membres du projet sur la page `Equipes` :
+## Règles importantes
 
-![Menu](/img/guide/roles/recap_membres_projet.png)
+### Cumul des rôles
 
-Ici :
+Les permissions sont cumulatives : un utilisateur obtient l’ensemble des permissions de tous les rôles qui lui sont assignés. Il n’y a pas de mécanisme de “refus” qui viendrait retirer des droits.
 
-- Baptiste est le créateur du projet
-- Pierre a le rôle ops
-- Aurahan a les rôles dev et PO
+Exemple : si un rôle donne `Voir les dépôts` et un autre donne `Gérer les dépôts`, l’utilisateur pourra `Gérer les dépôts`.
 
-## Supprimer un rôle
+### Rôles préconfigurés (lecture seule)
+
+Certains rôles sont fournis par la plateforme (rôles “système”). Ils sont en lecture seule : vous ne pouvez pas modifier leurs permissions ni leur nom, mais vous pouvez ajouter/retirer des membres.
+
+Pour les identifier, vérifier que les champs de paramétrage sont non modifiables (grisés) dans l’interface.
+
+![Paramétrage d’un rôle lecture seule](/img/iam/project-role-readonly.png)
+
+## Vérification GitLab (si synchronisation active)
+
+Selon l’intégration et le niveau de synchronisation, l’affectation à un rôle peut se traduire par une appartenance visible côté GitLab (groupe synchronisé).
 
-Pour supprimer un rôle, sélectionner celui-ci dans la liste des rôles et cliquer sur le bouton `Supprimer`
+![GitLab - membres du groupe](/img/iam/gitlab-group-members.png)
 
 ## Exemple de rôle
 

docs/platform/iam.md

@@ -0,0 +1,50 @@
+# IAM Console
+
+Cette page présente l’IAM de la Console (Identity & Access Management) : authentification, autorisations et principes de synchronisation des groupes.
+
+## Architecture fonctionnelle
+
+L’IAM repose sur Keycloak pour l’identité (OIDC), une authentification backend via session ou jeton API, et une autorisation calculée côté serveur avec des bitmasks BigInt.
+
+L’authentification navigateur passe par `fastify-keycloak-adapter`, qui extrait l’identité (`sub`, `email`, `given_name`, `family_name`, `groups`) et la stocke en session. Un mode jeton API (`x-dso-token`) existe aussi pour des usages non interactifs.
+
+L’autorisation combine des permissions globales (`ADMIN_PERMS`) et projet (`PROJECT_PERMS`) via OR bitwise, puis applique les décisions avec `AdminAuthorized.*` et `ProjectAuthorized.*`.
+
+## Groupes et rôles
+
+La Console maintient une hiérarchie de groupes Keycloak par projet pour matérialiser les rôles et la séparation RO/RW des environnements :
+
+```txt
+/<projectSlug>
+  /console
+    /<role-group-path...>
+    /<environmentName>
+      /RO
+      /RW
+```
+
+La réconciliation est faite par `KeycloakService` (événements projet + cron), qui crée les groupes manquants, ajuste les memberships et purge les orphelins.
+
+Certains rôles affichés dans la Console sont préconfigurés (rôles “système”) et sont en lecture seule. Dans ce cas, l’interface permet typiquement de gérer les membres, mais pas de modifier le contenu du rôle.
+
+## Parcours (captures)
+
+- Rôles plateforme (scope Console) : [Rôles plateforme](/administration/roles)
+- Rôles projet (scope projet) : [Gestion des rôles](/guide/roles)
+
+### Corroboration externe (GitLab)
+
+Selon l’intégration et le niveau de synchronisation, on peut corroborer les accès via GitLab (projets et memberships). Voir des exemples de captures dans [Gestion des rôles](/guide/roles) et [Rôles plateforme](/administration/roles).
+
+## Pour aller plus loin
+
+- [Rôles plateforme](/administration/roles)
+- [Gestion des rôles (projet)](/guide/roles)
+- [Gestion des équipes](/guide/team)
+- [Gestion des projets](/guide/projects-management)
+- [Administration : utilisateurs](/administration/utilisateurs)
+- [Administration : projets](/administration/projets)
+
+## Sécurité
+
+Ne pas renuméroter les bits de `ADMIN_PERMS`/`PROJECT_PERMS` sans migration contrôlée. Les cookies de session doivent rester `httpOnly` + `secure` en production (HTTPS). Les jetons API sont stockés hashés et doivent être traités comme des secrets.