Gestion des utilisateurs
Ajoutez, modifiez et supprimez des utilisateurs de votre organisation. Gérez les rôles, les affectations d'équipe et surveillez la progression individuelle.
Liste des utilisateurs
La page Utilisateurs affiche tous les membres de l'organisation dans un tableau triable et consultable. Chaque ligne affiche le nom, l'e-mail, l'équipe, le rôle et la dernière connexion de l'utilisateur. Les utilisateurs désactivés sont signalés en ligne avec une petite pastille DISABLED — il n'y a pas de colonne de statut distincte. Un bouton Exporter CSV en haut de la page télécharge la liste complète des utilisateurs avec les totaux de progression.
| Colonne | Description |
|---|---|
| Nom | Champ de nom d'affichage unique (non divisé en prénom / nom). |
| Adresse e-mail de connexion — utilisée pour la connexion par code magique. | |
| Équipe | Équipe à laquelle l'utilisateur appartient (vide si non attribué). |
| Rôle | org_admin ou learner. |
| Dernière connexion | Date et heure de la connexion la plus récente de l'utilisateur. Vide pour les utilisateurs qui ne se sont pas encore connectés. |
Ajout d'utilisateurs
Il existe deux façons d'ajouter des utilisateurs à votre organisation :
Manuel
Cliquez sur + Ajouter un utilisateur et saisissez le nom, l'e-mail, le rôle (learner ou org_admin) et éventuellement une équipe de l'utilisateur. Aucun e-mail d'invitation n'est envoyé. Partagez vous-même l'URL de connexion avec l'utilisateur ; il demande un code magique sur la page de connexion et se connecte avec le code à six chiffres que nous lui envoyons par e-mail.
Provisionnement SCIM
Configurez SCIM pour synchroniser automatiquement les utilisateurs depuis votre fournisseur d'identité (Okta, Azure AD). Les utilisateurs sont créés et désactivés automatiquement à mesure que votre annuaire change.
Limites de sièges
Votre organisation a un nombre maximum de sièges basé sur votre plan. Ajouter un utilisateur au-delà de ce plafond échoue avec l'erreur Seat limit reached (N). Contact support to increase. — la page Utilisateurs elle-même n'affiche pas de compteur de sièges en direct aujourd'hui ; utilisez la page Rapports ou l'API publique GET /api/public/v1/org pour lire maxSeats par rapport au nombre d'utilisateurs actuel.
Modification des utilisateurs
Cliquez sur une ligne utilisateur pour ouvrir la page de détail utilisateur ; le bouton Modifier ouvre une fenêtre modale qui permet aux administrateurs d'organisation de modifier les quatre propriétés suivantes. Chaque champ est obligatoire et la modification fait un remplacement complet — pour conserver un champ inchangé, laissez la valeur actuelle en place.
| Champ | Modifiable |
|---|---|
| Nom | Oui — champ de nom d'affichage unique. |
| Oui — le modifier ne renvoie aucun e-mail. | |
| Rôle | Oui — learner ↔ org_admin. |
| Équipe | Oui — choisissez une équipe ou laissez non attribué. |
| Mot de passe | Non — il n'y a pas de champ mot de passe. Les utilisateurs se connectent avec un code magique ou SSO ; rien à définir ou réinitialiser pour les administrateurs. |
Suppression des utilisateurs
L'action Supprimer sur la page de détail utilisateur supprime l'enregistrement utilisateur lui-même. Une fois supprimée, la personne ne peut plus se connecter. Supprimer un utilisateur libère un siège par rapport à votre plafond maxSeats.
Les données historiques de l'utilisateur — résultats des challenges de pratique, progression des scénarios d'apprentissage, complétions d'affectations, certificats obtenus — ne sont pas effacées de la base de données, car ces tables ne suppriment pas en cascade avec l'enregistrement utilisateur. En pratique, cependant, ces données cessent d'être visibles : chaque rapport, classement, vérification de certificat et page de détail utilisateur passe par l'enregistrement utilisateur pour les afficher, donc une fois la ligne utilisateur partie, les lignes restent comme des orphelines que l'interface ne fait pas apparaître.
Réajouter le même e-mail après une suppression crée un tout nouvel utilisateur avec un nouvel id interne. Les anciennes lignes orphelines ne sont pas rattachées — il n'y a pas de chemin de « restauration » dans l'interface admin.
Si vous voulez garder visible l'historique de formation de l'utilisateur pour la rétention de preuves, les audits de conformité ou les scénarios de réembauche, n'utilisez pas Supprimer. Soit déprovisionnez l'utilisateur en amont via SCIM (qui les met inactifs mais garde la ligne utilisateur en place), soit laissez simplement le compte tranquille — ils ne peuvent pas se connecter si leur boîte mail ne reçoit plus le code magique.
Rôles
SecureCodingHub prend en charge deux rôles au niveau de l'organisation :
| Rôle | Peut faire |
|---|---|
| Administrateur de l'organisation | Gérer les utilisateurs, équipes, affectations, consulter le tableau de bord, configurer SSO/SCIM/SCORM |
| Apprenant | Terminer les challenges, voir sa propre progression, gérer les préférences |
Gestion des sièges
Votre organisation a une limite maxSeats déterminée par votre plan d'abonnement. Il n'y a pas de compteur de sièges en direct sur l'en-tête de la page Utilisateurs aujourd'hui ; si vous avez besoin de surveiller l'utilisation, lisez-le depuis l'API publique (GET /api/public/v1/org renvoie maxSeats) et comparez au nombre d'utilisateurs actuel. Contactez votre responsable de compte pour augmenter le plafond si vous avez besoin de sièges supplémentaires.
Interface de liste des utilisateurs
Voici à quoi ressemble la page de gestion des utilisateurs :
Fenêtre modale d'ajout d'utilisateur
Cliquer sur + Ajouter un utilisateur ouvre le formulaire suivant. Le sélecteur de rôle utilise deux cartes côte à côte au lieu d'une liste déroulante :
Pourquoi une gestion réfléchie des utilisateurs compte
La plupart des organisations ne remarquent pas la dispersion des sièges avant qu'elle n'apparaisse sur la facture de renouvellement. Une poignée de contractants terminent un projet et restent dans l'annuaire. Une équipe se réorganise et l'ancienne appartenance d'équipe n'est jamais nettoyée. Deux ingénieurs quittent l'entreprise mais le ticket de désinscription a oublié la plateforme de formation. En un an, vingt pour cent des sièges que votre équipe finance paie appartiennent à des personnes qui ne se connectent pas, et les comptes qui restent ne reflètent pas qui est réellement dans l'équipe aujourd'hui.
La dispersion des sièges est aussi un problème de sécurité. Chaque compte inactif est un identifiant qu'un attaquant peut cibler via la réutilisation de mots de passe, le phishing ou le détournement de session. Le même SSO qui accorde l'accès à votre plateforme de revue de code peut accorder l'accès ici, et un compte que personne ne surveille est le plus facile à compromettre discrètement. Traiter la liste des utilisateurs comme un artefact vivant, non un backlog, ferme cet écart avant qu'il ne devienne un incident.
Audit du mappage utilisateur-équipe trimestriellement
Une simple revue trimestrielle garde la liste honnête. Exportez la liste des utilisateurs, filtrez sur la dernière connexion de plus de quatre-vingt-dix jours et demandez au responsable hiérarchique si chaque personne doit rester. Croisez la colonne Équipe avec votre système RH ou organigramme — toute personne dont l'appartenance d'équipe ne correspond plus à son rôle réel est candidate à la réaffectation. Faites particulièrement attention aux utilisateurs sans équipe définie, car ils passent généralement à travers les affectations au niveau de l'équipe et faussent les taux de complétion à la baisse sans que personne ne s'en aperçoive.
Si vous utilisez le provisionnement SCIM, la plupart de ce travail se fait automatiquement. L'appartenance à un groupe dans Okta ou Azure AD se propage au mappage d'équipe, et désinscrire un utilisateur dans le fournisseur d'identité les désactive dans SecureCodingHub au prochain cycle de synchronisation. L'audit devient alors une vérification de cohérence plutôt qu'une réconciliation manuelle.
Pourquoi la désinscription compte pour les preuves de conformité
PCI DSS 8.1.3 et le contrôle ISO 27001 A.9.2.6 exigent tous deux que l'accès des utilisateurs licenciés soit révoqué rapidement. Les auditeurs cherchent des preuves — un événement horodaté indiquant quand le compte a cessé de pouvoir se connecter, idéalement lié à la date de désinscription dans les RH. Le bouton Supprimer satisfait la révocation d'accès, mais il supprime aussi l'enregistrement utilisateur, ce qui signifie que leur formation terminée cesse d'être visible dans les rapports — les lignes existent toujours comme orphelines mais aucune interface ne les fait apparaître. Si votre audit a besoin que cet historique continue d'apparaître comme preuve, désinscrivez via SCIM (qui met le compte inactif tout en gardant l'enregistrement utilisateur en place) plutôt que d'utiliser Supprimer. Le journal d'audit enregistre l'une ou l'autre action.
Pour les équipes qui exécutent la formation au codage sécurisé dans le cadre de leur dossier de preuves PCI DSS 6.2.2, la liste des utilisateurs sert également de preuve de qui était dans le périmètre pendant la période d'audit. Prenez un instantané au moment de l'audit — soit depuis le bouton Exporter CSV, soit via l'API publique — et gardez-le aux côtés du reste de votre dossier de preuves.