feat: Attribution de rôles multiples par utilisateur

Les utilisateurs Classeo étaient limités à un seul rôle, alors que
dans la réalité scolaire un directeur peut aussi être enseignant,
ou un parent peut avoir un rôle vie scolaire. Cette limitation
obligeait à créer des comptes distincts par fonction.

Le modèle User supporte désormais plusieurs rôles simultanés avec
basculement via le header. L'admin peut attribuer/retirer des rôles
depuis l'interface de gestion, avec des garde-fous : pas d'auto-
destitution, pas d'escalade de privilèges (seul SUPER_ADMIN peut
attribuer SUPER_ADMIN), vérification du statut actif pour le
switch de rôle, et TTL explicite sur le cache de rôle actif.

backend/config/packages/security.yaml

@@ -1,4 +1,14 @@
 security:
+    # Role hierarchy — Direction inherits read permissions on whole school (AC3, FR5)
+    role_hierarchy:
+        ROLE_SUPER_ADMIN: [ROLE_ADMIN]
+        ROLE_ADMIN: [ROLE_PROF, ROLE_VIE_SCOLAIRE, ROLE_SECRETARIAT]
+        ROLE_PROF: [ROLE_USER]
+        ROLE_VIE_SCOLAIRE: [ROLE_USER]
+        ROLE_SECRETARIAT: [ROLE_USER]
+        ROLE_PARENT: [ROLE_USER]
+        ROLE_ELEVE: [ROLE_USER]
+
     # https://symfony.com/doc/current/security.html#registering-the-user-hashing-passwords
     password_hashers:
         Symfony\Component\Security\Core\User\PasswordAuthenticatedUserInterface: 'auto'

backend/config/services.yaml

@@ -151,6 +151,10 @@ services:
     App\Administration\Application\Port\GradeExistenceChecker:
         alias: App\Administration\Infrastructure\Service\NoOpGradeExistenceChecker
 
+    # ActiveRoleStore (session-scoped cache for active role switching)
+    App\Administration\Application\Port\ActiveRoleStore:
+        alias: App\Administration\Infrastructure\Service\CacheActiveRoleStore
+
     # GeoLocation Service (null implementation - no geolocation)
     App\Administration\Application\Port\GeoLocationService:
         alias: App\Administration\Infrastructure\Service\NullGeoLocationService