03 — Première connexion et les 5 personas¶
Durée : 5 min · Persona : tout le monde · Voie : A ou B
AKKO embarque cinq personas pré-injectés, un par rôle de realm. Les parcourir un à un donne un ressenti immédiat de l'expérience role-based.
Pré-requis
- Cockpit joignable sur
DEMO_HOST(démo live ouhttps://demo.akko.local). - Cinq personas injectés (la démo live et
helm/scripts/seed-keycloak-personas.shle font automatiquement).
Placeholder DEMO_HOST. Remplacez-le par
https://demo.akko-ai.com(bac à sable) ouhttps://demo.akko.local(k3d local).
Les 5 personas en un coup d'œil¶
| Persona | Utilisateur | Mot de passe | Rôle realm | Vocation |
|---|---|---|---|---|
| Alice | alice |
alice123 |
akko-admin |
Administratrice plateforme — voit tout, gère tout. |
| Bob | bob |
bob123 |
akko-engineer |
Data engineer — compute, lab, catalogs, ADEN. |
| Carol | carol |
carol123 |
akko-analyst |
Analyste — ADEN, BI, lecture catalog. |
| Dave | dave |
dave123 |
akko-viewer |
Viewer — home + dashboards en lecture seule. |
| Eve | eve |
eve123 |
akko-steward |
Data steward — revue catalogue, file NORA, audit. |
Les mots de passe sont des défauts de dev qui correspondent au seed realm dans
helm/examples/realm-akko-k3d.json. Le bac à sable live les rotate ; reportez-vous à la carte persona sur l'écran de login du cockpit.
Walkthrough¶
Pour chaque persona, les étapes sont identiques : ouvrir DEMO_HOST, se connecter, regarder la sidebar, se déconnecter, passer au suivant.
Alice — akko-admin (l'opératrice)¶
- Ouvrez
DEMO_HOST, connectez-vous commealice/alice123. - Badge dans l'en-tête :
akko-admin(violet). - Sidebar : toutes les pages sont visibles.
| Peut | Ne peut pas |
|---|---|
| Créer / éditer des catalogues | — |
| Gérer les attributions de rôles | — |
| Consulter la piste d'audit | — |
| Stopper ou redémarrer des services | — |
Résultat attendu : la page Governance montre les deux onglets Platform Access et Data Access, tous deux avec les contrôles d'édition actifs.
Déconnectez-vous (menu utilisateur en haut à droite).
Bob — akko-engineer (il construit les pipelines)¶
- Connectez-vous comme
bob/bob123. - Badge :
akko-engineer(bleu). - Sidebar : Home, ADEN, Logs, Platform Status, AI Models, DevHub.
| Peut | Ne peut pas |
|---|---|
| Exécuter des notebooks dans Lab | Éditer les attributions de rôles |
| Déclencher des jobs compute | Modifier les scopes data |
| Parcourir tous les catalogues | Approuver les revues steward |
| Utiliser ADEN avec scope engineering | — |
Résultat attendu : les pages Catalogs et Usage sont masquées. L'onglet Governance est en lecture seule.
Déconnectez-vous.
Carol — akko-analyst (elle pose les questions)¶
- Connectez-vous comme
carol/carol123. - Badge :
akko-analyst(cyan). - Sidebar : Home, ADEN, Alerts.
| Peut | Ne peut pas |
|---|---|
| Poser à ADEN toute question autorisée par son scope | Gérer les pages admin |
| Ouvrir les dashboards BI | Créer des catalogues |
| Lire les tables curated | Écrire dans les tables curated |
Résultat attendu : ADEN fonctionne normalement. Catalogs / Usage / Logs n'apparaissent pas dans la sidebar.
Déconnectez-vous.
Dave — akko-viewer (il lit les dashboards)¶
- Connectez-vous comme
dave/dave123. - Badge :
akko-viewer(gris). - Sidebar : Home uniquement.
| Peut | Ne peut pas |
|---|---|
| Ouvrir l'aperçu Home | Quoi que ce soit d'autre |
| Ouvrir des dashboards partagés (lecture seule) | Lancer ADEN |
Résultat attendu : toutes les entrées admin-only sont masquées. Aller directement sur DEMO_HOST/#admin affiche un bandeau « RBAC tip — ask your administrator ».
Déconnectez-vous.
Eve — akko-steward (elle cure le catalogue)¶
- Connectez-vous comme
eve/eve123. - Badge :
akko-steward(vert). - Sidebar : Home, Catalogs (read + classify), NORA, Audit.
| Peut | Ne peut pas |
|---|---|
| Approuver / rejeter les tags catalogue suggérés par l'IA | Lancer des jobs compute |
| Éditer le glossaire et l'ownership | Gérer les attributions de rôles |
| Lire les logs d'accès PII | Éditer les attributions de rôles |
Résultat attendu : NORA affiche une file de revue avec les enrichissements IA en attente. Approuver un les bascule dans le catalogue curated.
Déconnectez-vous.
Matrice récapitulative¶
| Page | alice | bob | carol | dave | eve |
|---|---|---|---|---|---|
| Home | ✓ | ✓ | ✓ | ✓ | ✓ |
| ADEN | ✓ | ✓ | ✓ | ✗ | ✗ |
| Catalogs | ✓ | ✗ | ✗ | ✗ | ✓ (lecture) |
| NORA | ✓ | ✗ | ✗ | ✗ | ✓ |
| Governance | ✓ | ✗ (lecture) | ✗ | ✗ | ✗ |
| AI Models | ✓ | ✓ | ✗ | ✗ | ✗ |
| Architecture | ✓ | ✓ | ✗ | ✗ | ✗ |
| Logs | ✓ | ✓ | ✗ | ✗ | ✓ (audit) |
| Alerts | ✓ | ✓ | ✓ | ✗ | ✗ |
Pourquoi rôle par rôle. AKKO impose le RBAC à trois niveaux : visibilité sidebar, autorisation API, filtrage SQL ligne/colonne. Masquer une page est la première couche de défense — le backend refusera quand même une requête forgée.
Dépannage¶
| Symptôme | Cause probable | Fix |
|---|---|---|
| Le sign-in dit « Invalid credentials » | Persona non injecté | Lancer bash helm/scripts/seed-keycloak-personas.sh. |
| Mauvaises entrées sidebar pour ce persona | Cookies d'une session précédente | Ouvrir une fenêtre Privée / Incognito. |
| Badge en-tête absent | Premier chargement, thème pas encore appliqué | Rafraîchir la page. |
| Carol voit « Catalogs » mais ne peut pas éditer | Attendu (tuile catalogue en lecture seule) | C'est par design. |
| Dave reçoit un 200 sur les pages admin via URL directe | Bug RBAC backend — à signaler | Voir Dépannage. |
Ce que vous venez d'apprendre¶
- Le RBAC AKKO se voit depuis la sidebar — ce que vous voyez est ce que vous pouvez faire.
- Cinq personas couvrent tous les parcours classiques : admin, engineer, analyst, viewer, steward.
- Les personas restreints sont filtrés à la fois côté client (UI) et côté serveur (API).
Suivant : 04 — Première requête (SQL en langage naturel via ADEN).