Les 5 etapes
L'UI affiche aussi un statut explicite de decision d'acces avec quatre valeurs : ALLOWED, DENIED, NOT_REQUIRED, MISSING_REQUIRED.
1) Login reussi
Au moins un evenement auth reussi a ete trouve, par exemple LOGIN_SUCCESS, MFA_SUCCESS ou CLIENT_LOGIN.
Si cette etape manque, la chaine d'identite n'est pas fiable.
2) Consentement traite
Le consentement est evalue de facon semantique, pas seulement binaire.
GRANTED_IN_TRACE: accorde dans ce fluxALREADY_VALID: accorde auparavant et toujours valideNOT_REQUIRED: consentement non requis actuellementMISSING_REQUIRED: consentement requis mais manquant
L'absence d'un nouvel evenement consentement peut etre correcte si
ALREADY_VALID ou NOT_REQUIRED s'applique.3) Acces sensible
Le trace contient un acces a des zones sensibles (par ex. Vault/Admin Vault).
C'est un signal de priorisation, pas une erreur automatique.
4) Changement administratif
Des changements admin persistants ont ete detectes (par ex. USER_*, ROLE_*, TENANT_*, CLIENT_*, IDP_*).
Un changement est tracable quand correlation ID et evenements persistes correspondent.
5) Complete ou incomplete
La chaine est complete quand les signaux requis sont presents. Les signaux manquants sont listes explicitement.
missing_auth_successmissing_access_decisionmissing_audit_persisted
Exemple : "Incomplete (missing access decision)" signifie que le chemin de decision n'a pas pu etre prouve completement.
Interpretation pour equipes non-dev
- Vert signifie : des preuves existent pour cette etape.
- Orange signifie : etape securite sensible ou chaine incomplete.
- Incomplete n'est pas automatiquement un incident, mais exige un suivi forensique.
- Correlation ID est le lien entre UI, API et preuves d'audit.
Controle rapide pour questions support
- Copiez la correlation ID depuis le trace.
- Verifiez la timeline pour signaux requis manquants.
- Lisez le statut consentement de facon semantique (pas seulement le nombre d'evenements).
- Utilisez les flags sensible/admin pour prioriser.