Hub ops · La Suite DINUM

Services opérationnels de la démo prod (OVH, sao.laurentprosperi.fr). Chaque tuile pointe sur la console du service ; le badge indique le mode d'authentification effectif derrière Traefik.

Observabilité

Grafana

SSO
grafana.sao.laurentprosperi.fr

Dashboards Prometheus (disponibilité, SLO, ressources du nœud k3s). OIDC natif via Keycloak (realm lasuite).

Uptime (Grafana)

SSO
grafana.sao.laurentprosperi.fr/d/lasuite-uptime

Dashboard disponibilité des services via blackbox_exporter + Prometheus (probes HTTP/TLS, statut, expiration des certificats, budget d'erreur SLO).

Prometheus

Interne
prometheus-server.monitoring.svc

Collecte des métriques (blackbox, kube-state-metrics, node-exporter, cAdvisor) et règles SLO. Non exposé publiquement : accès via kubectl port-forward.

Alertmanager

Interne
monitoring.svc.cluster.local

Routage et déduplication des alertes Prometheus. Non exposé publiquement : accès via kubectl port-forward.

Identité

Keycloak

Portail IdP
auth.sao.laurentprosperi.fr

Fournisseur d'identité OIDC (realm lasuite). Point d'entrée SSO unique pour toutes les apps de la suite ; console admin et self-service.

Applications de la suite

Docs

Gate oauth2-proxy
docs.sao.laurentprosperi.fr

Éditeur collaboratif de documents. Login Keycloak forcé par un sidecar oauth2-proxy placé devant l'app.

Drive

Gate oauth2-proxy
drive.sao.laurentprosperi.fr

Stockage et partage de fichiers, édition bureautique via Collabora. Login Keycloak forcé par un sidecar oauth2-proxy.

Calendars

Gate oauth2-proxy
calendars.sao.laurentprosperi.fr

Agendas et réservation de salles (CalDAV). Login Keycloak forcé par un sidecar oauth2-proxy.

Hub

Gate oauth2-proxy
hub.sao.laurentprosperi.fr

Portail d'accueil de la suite : widgets agenda, recherche transverse, lanceur d'applications. Login Keycloak forcé par un sidecar oauth2-proxy.

Projects

Gate oauth2-proxy
projects.sao.laurentprosperi.fr

Gestion de projets et tâches collaboratives. Login Keycloak forcé par un sidecar oauth2-proxy.

People

SSO
people.sao.laurentprosperi.fr

Annuaire et gestion des équipes / contacts. OIDC natif Django : consomme directement les claims Keycloak.

Find

SSO
find.sao.laurentprosperi.fr

Recherche unifiée sur les documents et contenus de la suite (OpenSearch). OIDC natif Django.

Grist

SSO
grist.sao.laurentprosperi.fr

Tableur-base de données collaboratif. OIDC natif : login direct via Keycloak.

France Transfert

SSO
transfert.sao.laurentprosperi.fr

Envoi sécurisé de fichiers volumineux (self-hosté, MinIO). OIDC natif via Keycloak.

Démarches & rendez-vous

RDV

SSO Rails
rdv.sao.laurentprosperi.fr

Prise de rendez-vous en ligne. App Rails, login via omniauth Keycloak (:openid_connect).

Démarches

SSO Rails
demarches.sao.laurentprosperi.fr

Création et suivi de démarches administratives en ligne. App Rails, login via omniauth Keycloak.

Navigation isolée

GRBI

RBI
grbi.sao.laurentprosperi.fr

Navigation isolée à distance (Remote Browser Isolation) via Guacamole : le poste externe ne reçoit que des pixels. Déploiement manuel (hors sync ArgoCD).

Légende des badges

SSO
OIDC natif : l'app consomme directement les claims Keycloak (login, email, groups) pour ouvrir une session applicative. Concerne People, Find, Grist, France Transfert.
Gate oauth2-proxy
L'app est protégée par un sidecar oauth2-proxy : Traefik route vers le proxy, qui force le login Keycloak avant de relayer vers l'upstream applicatif. Concerne Docs, Drive, Calendars, Hub, Projects.
SSO Rails
App Rails authentifiée par omniauth Keycloak (provider :openid_connect). Concerne RDV et Démarches.
Portail IdP
C'est l'IdP lui-même (Keycloak). Le login passe par l'écran natif du service ; ce hub ne fait que pointer dessus.
Interne
Service non exposé publiquement. Accès opérateur uniquement via kubectl port-forward. Concerne Prometheus et Alertmanager.
RBI
Navigation isolée à distance (Remote Browser Isolation) : la session navigateur tourne dans un bac à sable côté serveur, seuls les pixels transitent vers le poste.