test(technique) : couvrir RG-3.x PHPUnit + capturer le contrat JSON (ERP-139) (#100)

Ticket Lesstime #139 (M3 — Répertoire prestataires, position 1.9). DoD back avant le front : suite PHPUnit consolidée sur la matrice § 8.1 + captures JSON réelles dans la spec § 4.0.bis. ## Contenu - **Fix réfs comptables** : `provider:read:accounting` ajouté sur `TvaMode`/`PaymentDelay`/`PaymentType`/`Bank` — sans ça elles sortaient en IRI nu dans le détail prestataire (réplique du fix ERP-92 du M2, piège #1 § 4.0.bis). - **`ProviderSerializationContractTest`** (13 tests) : gating RIB/scalaires par omission, réfs compta en objet `{id,code,label}`, `isArchived`, embed categories/sites liste+détail, sous-collections, enveloppe AP4 ; `testDodReferenceJsonShape` dumpe le JSON réel (`PROVIDER_DOD_DUMP=1`). - **`ProviderAuditTest`** (5 tests) : create/update/archive (`technique.Provider`), iban/bic dans le diff (`technique.ProviderRib`, pas dAuditIgnore), trace M2M `sites`. - **`ProviderListTest`** étendu : `?pagination=false`, anti-N+1, filtre `?typeCode=PRESTATAIRE`. - **`ProviderRbacGatingTest`** étendu : restauration en conflit de nom → 409 (RG-3.14). - **`ProviderFixtures`** (§ 8.4) : démo idempotente (complet VIREMENT+banque+RIB, LCR+RIB, CHEQUE multi-cat, minimal, archivé) répartie sur sites 86/17/82 ; skip en env `test`. - Helper `seedCompleteProvider` ; spec § 4.0.bis : gabarits remplacés par les captures réelles (liste + détail avec/sans accounting.view). ## Vérifications - `make php-cs-fixer-allow-risky` → 0 fichier - `make test` → OK, 677 tests, 3328 assertions (garde-fous globaux verts) ## Notes - MR stackée sur ERP-138 (base = sa branche). - Fixtures démo exercées en dev via `make fixtures` (autowiring vérifié). --------- Co-authored-by: Matthieu <contact@malio.fr> Reviewed-on: #100
2026-06-12 14:44:43 +00:00
parent d5462bcf42
commit 3fe0f676f6
41 changed files with 5725 additions and 100 deletions
@@ -50,11 +50,19 @@ final class RbacSeeder
    /**
     * Definition unique des 4 roles + matrice § 2.7. La cle est le code du role,
     * `label` le libelle FR affichable, `permissions` la liste des codes RBAC a
-     * attacher (vide pour usine : aucun acces ; admin n'apparait pas car il
-     * bypass tout via isAdmin ; `commercial.clients.archive` et
-     * `commercial.suppliers.archive` ne sont attaches a aucun role metier —
+     * attacher (admin n'apparait pas car il bypass tout via isAdmin ;
+     * `commercial.clients.archive`, `commercial.suppliers.archive` et
+     * `technique.providers.archive` ne sont attaches a aucun role metier —
     * admin seul).
     *
+     * Cloisonnement par site des prestataires (M3 § 2.13) : la permission
+     * `sites.bypass_scope` est attribuee par defaut a Bureau / Compta /
+     * Commerciale (ils voient « Tout », d'apres le docx) ; Usine ne l'a PAS et
+     * reste cloisonnee a son site courant. Admin a le bypass total via isAdmin.
+     * C'est un cloisonnement pilote par user/permission, pas par code de role :
+     * pour cloisonner Bureau/Commerciale, il suffit de retirer la permission
+     * ici, aucun autre code a changer.
+     *
     * @var array<string, array{label: string, permissions: list<string>}>
     */
    private const array MATRIX = [
@@ -66,6 +74,11 @@ final class RbacSeeder
                // Fournisseurs (M2 § 2.9, ERP-90) : view + manage (hors Comptabilite).
                'commercial.suppliers.view',
                'commercial.suppliers.manage',
+                // Prestataires (M3 § 2.9, ERP-138) : view + manage (hors Comptabilite).
+                'technique.providers.view',
+                'technique.providers.manage',
+                // Visibilite multi-site des prestataires (M3 § 2.13) : voit tous les sites.
+                'sites.bypass_scope',
                // Lecture des referentiels transverses pour les selects client (ERP-102).
                'catalog.categories.read_ref',
                'sites.read_ref',
@@ -82,6 +95,13 @@ final class RbacSeeder
                'commercial.suppliers.view',
                'commercial.suppliers.accounting.view',
                'commercial.suppliers.accounting.manage',
+                // Prestataires (M3 § 2.9, ERP-138) : view + onglet Comptabilite uniquement
+                // (pas de manage global -> ne peut pas creer un prestataire).
+                'technique.providers.view',
+                'technique.providers.accounting.view',
+                'technique.providers.accounting.manage',
+                // Visibilite multi-site des prestataires (M3 § 2.13) : voit tous les sites.
+                'sites.bypass_scope',
                // Lecture des referentiels transverses pour les selects client (ERP-102).
                'catalog.categories.read_ref',
                'sites.read_ref',
@@ -96,14 +116,25 @@ final class RbacSeeder
                // (onglet Comptabilite masque/filtre pour la Commerciale).
                'commercial.suppliers.view',
                'commercial.suppliers.manage',
+                // Prestataires (M3 § 2.9, ERP-138) : view + manage, sans accounting
+                // (onglet Comptabilite masque/filtre pour la Commerciale).
+                'technique.providers.view',
+                'technique.providers.manage',
+                // Visibilite multi-site des prestataires (M3 § 2.13) : voit tous les sites.
+                'sites.bypass_scope',
                // Lecture des referentiels transverses pour les selects client (ERP-102).
                'catalog.categories.read_ref',
                'sites.read_ref',
            ],
        ],
        self::ROLE_USINE => [
-            'label'       => 'Usine',
-            'permissions' => [],
+            'label' => 'Usine',
+            // Prestataires (M3 § 2.9 + § 2.13, ERP-138) : view en lecture seule,
+            // SANS `sites.bypass_scope` -> cloisonne aux prestataires de son site
+            // courant. Aucun autre acces metier.
+            'permissions' => [
+                'technique.providers.view',
+            ],
        ],
    ];