Le modèle en une phrase
Roster est auto-hébergé et ne communique aucune donnée vers l'extérieur. Il lit votre annuaire, résout le qui, et écrit une piste d'audit — entièrement à l'intérieur de votre réseau. Il n'y a pas de cloud Roster qui conserve vos données, pas de télémétrie d'usage qui quitte votre périmètre, et rien à compromettre de notre côté puisque vos données n'y ont jamais été.
Résidence et isolation des données
- Auto-hébergé, toujours. Roster est livré sous forme d'un conteneur unique (
advantys/roster) avec stockage embarqué. Il fonctionne sur site, dans votre cloud privé ou dans votre compte de cloud public — votre choix, votre infrastructure. - Vos données restent chez vous. Enregistrements d'annuaire, résolutions, historique d'audit et configuration résident dans votre propre volume monté. Rien n'est répliqué vers un cloud fournisseur.
- Pas d'appel sortant. Roster ne transmet ni données d'usage, ni télémétrie, ni données d'annuaire à Advantys. La capacité sous licence est comptée localement dans votre déploiement.
- Compatible air-gap. Roster peut s'exécuter entièrement déconnecté d'Internet, associé à un point d'accès au modèle, interne à votre réseau.
Comment Roster traite les données d'annuaire
- Lecture seule à la source. Les connecteurs (Microsoft Entra ID, Okta, Google Workspace, Workday, LDAP/LDAPS, CSV) lisent votre annuaire. Roster ne modifie jamais les comptes en amont.
- Minimal par défaut. Les charges utiles brutes des fournisseurs ne sont pas stockées. Roster ne conserve que les champs canoniques nécessaires — nom affiché, e-mail principal, identifiant source, et métadonnées explicitement autorisées.
- Synchronisation du cache uniquement. Le rafraîchissement planifié met à jour les enregistrements déjà attachés ; il n'explore pas et ne matérialise pas votre annuaire complet.
- Secrets de connecteur chiffrés. Les identifiants sortants sont stockés chiffrés, sous une clé que vous contrôlez.
Authentification et contrôle d'accès
- SSO via votre IdP. Microsoft Entra ID, Google, Okta, OAuth générique (OIDC) et SAML — la connexion humaine passe par votre fournisseur d'identité.
- Clés à portée et privilège minimal. Les clés API portent des portées explicites
api:/mcp:. L'accès d'exécution est l'intersection de portées clé ∩ droits du propriétaire ∩ règles de ressource — une portée ne peut jamais élever le détenteur au-delà de ses propres permissions. - Authentifié par défaut. La production refuse tout accès MCP non authentifié ; l'administrateur d'amorçage doit remplacer le mot de passe par défaut par un mot de passe fort avant utilisation.
- Rôles et propriété. Rôles d'administrateur, de propriétaire de projet et de membre ; les propriétaires de projet gèrent leurs propres participants et délégations sans goulot d'étranglement IT.
Audit et observabilité
- Journal d'audit en ajout seul. Connexions, changements de clés et d'identités, événements de projet, participant, délégation, connecteur et paramètres — un historique durable, réservé aux administrateurs, de qui a fait quoi.
- Observabilité des exécutions de modèle. Chaque résolution enregistre son fournisseur, son modèle, ses jetons, son coût et sa latence — pas de décisions opaques.
- Conçu pour la preuve. Des identifiants stables d'acteur, de ressource, de propriétaire et de requête rendent la piste explicable pour la conformité, par conception.
Confidentialité et minimisation des données
- Minimisation à l'écriture. Quand une option PII est désactivée, les nouveaux enregistrements ne stockent simplement pas ce champ — pas « stocker puis masquer ».
- Contrôles PII au niveau du champ. Choisissez ce qui est conservé dans les résultats de résolution, les métadonnées d'audit, les diagnostics de modèle et les journaux des processus (workers) ; masquez l'IP, l'agent utilisateur et les champs personnels.
- Rétention configurable. Fenêtres de rétention indépendantes pour les événements d'audit, les requêtes de résolution, les exécutions de modèle et les journaux — fixez les durées qui correspondent à votre politique.
- Prise en charge de l'effacement. Un chemin d'effacement documenté couvre les enregistrements sources, le JSON de réponse, les métadonnées d'audit, les diagnostics et les journaux pour les demandes de suppression.
Déploiement et sécurité opérationnelle
- Vous contrôlez le périmètre. Assurez la terminaison TLS au niveau de votre répartiteur de charge (load balancer) ou ingress ; stockez les secrets dans le gestionnaire de votre fournisseur ; sauvegardez votre volume de données selon votre calendrier.
- Apportez votre modèle. Roster utilise le LLM que vous configurez (OpenAI, Anthropic, Mistral ou une passerelle). Les jetons sont facturés par votre fournisseur et jamais majorés ; une liste d'autorisation limite les modèles utilisables.
- Limitation de débit. Des limites intégrées sur les requêtes et les appels de modèle protègent le déploiement.
- Erreurs standard. Réponses « problem » RFC 9457 dans toute l'API.
Conformité
- Votre gouvernance, votre environnement. Parce que Roster s'exécute dans votre infrastructure sous votre IdP, il s'intègre aux contrôles, à la rétention et aux exigences de résidence que vous exploitez déjà.
- SOC 2. Roster poursuit la certification SOC 2 pour répondre aux exigences des clients Enterprise. Si votre processus d'achat l'exige, parlez-nous — nous nous accorderons sur la portée et le calendrier.
- Conçu par Advantys, créateurs de WorkflowGen — automatisation de processus en production depuis 2003.
Signaler une vulnérabilité
Vous avez trouvé quelque chose ? Écrivez à security@advantys.com. Nous accueillons la divulgation responsable et accuserons réception de votre rapport.
Déployez-le dans votre propre environnement.
La revue de sécurité la plus sûre, c'est de l'exécuter vous-même. Lire la documentation ou contacter l'équipe.