Accès aux détails des fiches de réservation

Bonjour,

j'utilise la version 4.3.9 de GRR.
Pouvez vous me dire s'il existe une configuration à appliquer permettant de restreindre l'accès d'une fiche de réservation au bénéficiaire et aux admins / gestionnaires ?
En effet, à partir de l'url des fiches de réservation, si je modifie l'id, je peux consulter le détail de la réservation.
D'avance merci

Bonjour,
c'est une propriété globale, qui se règle en administration, Configuration générale > Accès et droits.
Cordialement,
YN

Bonjour,

je vous remercie pour votre réponse.S'agit il de la configuration à voir en pièce jointe svp ?
Si c'est bien le cas, sauf erreur ou incompréhension de ma part, ça ne fonctionne pas.
J'ai utilisé un compte sans privilège et étant avec le statut Usager.
En modifiant l'id dans l'url, j'ai pu accéder à la fiche de réservation qui n'est pas à mon nom ou que je n'ai pas ouvert non plus
D'avance merci 

C'est bien ce réglage que j'évoquais.
Ce que vous signalez ressemble fort à un bug.
J'essaie de reproduire et corriger si nécessaire dès que possible.
Cordialement,
YN

Bonjour,

Avez vous pu avancer sur la résolution de ce problème svp ?

Bonjour,
désolé, j'avais oublié de reprendre cette question.
Je viens de tester avec les derniers scripts de la branche master. En cochant le choix que vous indiquez, je ne peux pas accéder, en tant qu'utilisateur connecté sans droits, à une fiche de réservation.
Le hic éventuel est que je ne peux pas modifier une réservation dont je suis l'auteur...
Je poursuis les investigations pour voir si ce comportement est plus restrictif que dans les versions antérieures.
Cordialement,
YN
P.S.: dans les versions antérieures à 4.4.x, la violation des restrictions que vous avez remarquée est présente. Analyse en cours et correction à venir.

Voici une modification du code qui semble corriger ce problème d'accès non autorisé à une fiche de réservation : github.com/JeromeDevome/GRR/commit/76223...545e9d03e74795036314
Avec le réglage limitant l'accès aux fiches de réservation aux seuls gestionnaires de ressources, le lien depuis le planning est inactif pour les utilisateurs ayant moins de droits.
Le créateur de la réservation peut y accéder en passant par la page Gérer mon compte, puis Mes réservations. S'il n'est pas le créateur de cette réservation, il n'a pas accès à la fiche de visualisation.
Eventuellement, le code peut être modifié pour étendre l'accès au bénéficiaire.
Il existe un correctif pour la branche 3.5.2 : github.com/JeromeDevome/GRR/commit/e4adf...a702bc6a55685b8f8062 censé bloquer l'accès à une fiche de réservation dont l'utilisateur n'est pas le créateur - même problème qu'en v4.3.9 ;
et un correctif pour la branche master (future 4.5.0): github.com/JeromeDevome/GRR/commit/19c33...162926fcd697a74b7a7f qui rétablit l'accès inconditionnel à la fiche de réservation pour son créateur.
Espérant que tout ceci sera utile, cordialement,
YN

Bonjour,

merci pour votre retour.
Nous faisons les modifications et tests et revenons vers vous.

reBonjour,

Le correctif permet effectivement de ne limiter l'accès à la fiche de réservation qu'au créateur, merci.
Comme suggéré, serait il possible de modifier le code pour étendre l'accès à la fiche au bénéficiaire de la réservation svp ?

Vous remerciant par avance.

Bonjour,
il suffit de modifier le code de la ligne 349 du fichier reservation/controleurs/vuereservation.php : en pour donner l'accès au bénéficiaire ou en pour donner l'accès au créateur et au bénéficiaire.
Cordialement,
YN