Que les groupes LDAP importés puisse avoir plus qu'un parent

Je vous écris suite à notre rencontre avec Oussama et Samuel concernant ce sujet.

Les bonne pratiques en matière de sécurité nous imposent de gérer nos Active Directory par profils.

Exemple, chaque poste doit avoir un ensemble de groupes dans différentes applications. La logique est que si une personne change de poste on la change simplement de profil.

Nous avions posé la question à Marilyn Tucker Perron à savoir si Constellio pouvait gérer les groupes de cette façon. Elle nous a répondu que oui.

Nous avons testé et finalement on peut importer le groupe de profil mais un groupe parent lui est automatiquement attribué. Selon ce que Samuel nous a confirmé, ce groupe ne peut posséder qu'un seul groupe parent.

Un usager dans Constellio a souvent plusieurs groupes d'accès.

Il faudrait que le groupe de profil puisse avoir plusieurs parents et ainsi en hériter les permissions.

Aussi je ne comprends pas dans quel cas la fonctionnalité telle qu'implémentée actuellement peut être utile. La synchronisation remonte un niveau dans la hiérarchie des groupes mais si un ad possède plusieurs niveaux c'est nécessairement dans le but de faire ce qu'on essaie de faire non ?

Je joins une image qui montre comment on souhaiterait que Constellio comprenne notre arborescence. Les groupes commençant par gl_ en haut sont les groupes ayant les accès dans les unités administratives dans Constellio.