/******************************************************************************
 * Programme : CAS-Superuser-Benennung
 * Reference : CASSUP3992
 * Source    : https://www.wearecas.eu/en/sampleCode/CASSUP3992
 ******************************************************************************/

/* --- BLOC 1 --- */
/* Exemple 1: Vérification des rôles CAS de l'utilisateur */
/* Cet exemple montre comment un utilisateur peut lister les rôles auxquels il appartient dans une session CAS. */

proc cas;
   action access.showRolesIn / target='_SELF_';
   run;
quit;

/* Explication: L'action access.showRolesIn avec target='_SELF_' permet à l'utilisateur de voir
   les rôles qui lui sont attribués, y compris les rôles privilégiés si présents dans son contexte. */

/* --- BLOC 2 --- */
/* Exemple 2: Octroi de privilèges de gestion de caslib à un utilisateur */
/* Cet exemple simule l'octroi de droits étendus à un utilisateur sur une caslib spécifique. */
/* NOTE: La création de caslibs et la gestion des identités est souvent faite via SAS Environment Manager.
   Cet exemple utilise des actions génériques d'accès pour simuler l'octroi de droits. */

proc cas;
   /* Créer une caslib temporaire pour la démonstration (si elle n'existe pas) */
   action caslib.addCaslib /
      caslib='mytestcaslib'
      dataSource={srctype='path', path='/tmp/mytestcaslib'}
      subdirs=true;
   run;

   /* Octroyer à l'utilisateur 'sasdemo' des droits de lecture et d'écriture sur 'mytestcaslib' */
   /* (Remplacer 'sasdemo' par un nom d'utilisateur existant et 'mytestcaslib' par une caslib valide) */
   action access.addGrant /
      caslib='mytestcaslib'
      identity='sasdemo'
      identityType='user'
      permissions={'read', 'write', 'delete', 'promote', 'manageAccess'}
      target='mytestcaslib';
   run;

   /* Afficher les permissions de la caslib pour vérifier */
   action access.listAcsCaslib /
      caslib='mytestcaslib';
   run;
quit;

/* Explication: Cette action accorde des permissions étendues (lecture, écriture, suppression,
   promotion, gestion des accès) à l'utilisateur 'sasdemo' sur la caslib 'mytestcaslib'.
   Pour désigner un 'superuser' complet, des permissions sur toutes les ressources
   et des rôles spécifiques (ex: CASHostAccountRequired) seraient nécessaires, 
   souvent gérés par SAS Environment Manager. */

/* --- BLOC 3 --- */
/* Exemple 3: Révoquer des privilèges spécifiques et lister les contrôles d'accès */
/* Cet exemple montre comment révoquer des permissions spécifiques et vérifier les accès restants. */

proc cas;
   /* Révoquer la permission 'manageAccess' pour 'sasdemo' sur 'mytestcaslib' */
   action access.deleteGrant /
      caslib='mytestcaslib'
      identity='sasdemo'
      identityType='user'
      permissions={'manageAccess'}
      target='mytestcaslib';
   run;

   /* Lister tous les contrôles d'accès pour la caslib 'mytestcaslib' après la révocation */
   action access.listAcsCaslib /
      caslib='mytestcaslib';
   run;

   /* Supprimer la caslib temporaire */
   action caslib.dropCaslib / caslib='mytestcaslib';
   run;
quit;

/* Explication: L'action access.deleteGrant retire les permissions spécifiées. 
   L'action access.listAcsCaslib permet de vérifier les contrôles d'accès définis pour une caslib. */

/* --- BLOC 4 --- */
/* Exemple 4: Assumer temporairement un rôle de superutilisateur (si autorisé) */
/* Cet exemple montre comment un utilisateur déjà configuré avec la capacité
   d'assumer un rôle de superutilisateur peut le faire temporairement, 
   exécuter des tâches administratives, puis le relâcher. */
/* NOTE: L'utilisateur exécutant ce code doit avoir la capacité d'assumer le rôle
   'CASHostAccountRequired' (souvent configuré via SAS Environment Manager). */

proc cas;
   /* Assumer temporairement le rôle 'CASHostAccountRequired' */
   action access.assumeRole / role='CASHostAccountRequired';
   run;

   /* Exécuter des actions nécessitant des privilèges élevés */
   /* Par exemple, lister toutes les caslibs du serveur (incluant celles qui seraient normalement masquées) */
   action caslib.listCaslibs;
   run;

   /* Relâcher le rôle assumé pour revenir aux privilèges précédents */
   action access.dropRole;
   run;

   /* Vérifier que le rôle a été relâché en listant les caslibs avec les privilèges normaux */
   action caslib.listCaslibs;
   run;
quit;

/* Explication: access.assumeRole permet une élévation temporaire des privilèges pour des tâches spécifiques.
   access.dropRole permet de revenir aux privilèges d'origine. Ceci est une pratique de sécurité essentielle
   pour limiter l'exposition aux privilèges élevés. */