Livre blanc Self Help - SaaS
- Présentation
- Glossaire des produits
- Architecture globale
- Interopérabilité fonctionnelle
- Responsabilités pendant les phases d'implémentation
- Migration vers une version plus récente
- Maintenance technique des environnements
- Authentification des utilisateurs
- Gestion des autorisations
- Packs optionnels
- Engagements relatifs au service
Présentation
L'objectif de ce livre blanc est de vous aider à comprendre comment Self Help en SaaS pourra s'intégrer dans votre environnement technique.
Chaque infrastructure client étant unique par ses contraintes et choix technologiques, chaque projet fera l'objet d'une étude spécifique lors des phases d'avant-vente et/ou d'installation.
Glossaire des produits
Self Help repose sur trois fonctions principales :
- Une fonction de présentation des procédures et de l'agent virtuel.
- Une fonction d'édition des procédures et de l'agent virtuel.
- Un client lourd Self Help Studio installé sur les postes des rédacteurs des procédures.
En fonction de votre projet, les fonctions d'édition et de présentation peuvent être mutualisées sur une même machine ou réparties sur différentes machines. L'architecture cible et l'intégration dans votre infrastructure devra tenir compte de cette répartition.
Architecture globale
Accès à Self Help
Le service est accessible :
- Depuis une URL de type https://xxxxxx.ezvsaas.com.
- Par le biais de services web.
Aucun autre accès externe à la plate-forme n'est autorisé, en particulier :
- L'accès à la base de données.
- La prise de contrôle des serveurs qui composent l'architecture.
Composants des différents services
Une plate-forme Self Help peut être composée d'un ou plusieurs serveurs.
En fonction des besoins et contraintes d'exploitation du projet, l'architecture peut être impactées par les points suivants :
- Ségrégation des rôles (édition, présentation / test).
- Répartition de charge entre les serveurs de présentation ou entre les rôles des serveurs.
Chaque serveur de la plate-forme peut supporter les fonctions suivantes :
- Une fonction de présentation des procédures et de l'agent virtuel.
- Une fonction d'édition des procédures et de l'agent virtuel.
Plate-forme mono-serveur
L'ensemble des fonctionnalités sont supportées sur la même machine.
Plate-forme multi-serveur
La configuration suivante permet de dédier une machine de la plate-forme à :
- L'édition et test des procédures.
- La configuration et test de l'agent virtuel.
Cette machine sera en charge de publier les configurations sur les serveurs de présentation.
Adaptabilité à vos contraintes
Une mise à l'échelle progressive
L'architecture de Self Help est évolutive ; elle peut être revue et modifiée en fonction de l'évolution de vos besoins. Vous pourrez ainsi démarrer votre projet sur un premier niveau d'architecture, puis revoir cette dernière si le nombre d'utilisateurs simultanés augmente.
Le schéma ci-dessous présente quelques exemples des architectures possibles des serveurs de présentation.
Sécurité de vos données en transit
Pour des raisons de confidentialité et d'intégrité des échanges, nous installons systématiquement un certificat SSL sur votre plate-forme.
Si vous souhaitez utiliser votre propre nom de domaine, vous devrez nous fournir un certificat SSL adapté et conforme à nos contraintes de sécurité (pas de certificat auto-signé, durée équivalente a minima à la durée du contrat, etc.).
Sur les serveurs EasyVista, la couche SSL sera configurée suivant nos prérequis de sécurité, notamment pour ne pas accepter les protocoles, ciphers, etc., connus comme faillibles : SSL v2, SSL v3, TLS v1.0, TLS v1.1, RC4, 3DES, etc.
Besoin d'autres environnements
En plus de l'environnement de production, vous pouvez souscrire à des environnements complémentaires pour répondre à vos contraintes d'organisation.
Nous vous recommandons de monter et de maintenir au moins un environnement supplémentaire qui vous permettra de tester des changements avant de les appliquer sur votre environnement de production. Notamment :
- Les fix ou les évolutions majeures de nos produits.
- Les changements de configuration des composants des serveurs (Apache, Tomcat, SSL, etc.).
- Les montées de version ou les fix des systèmes d'exploitation ou des composants des serveurs.
Navigateurs
Fournisseurs
Le marché des navigateurs étant en constante évolution, merci de vous référer à notre page wiki Navigateurs web pris en charge pour obtenir la liste à jour des navigateurs compatibles.
Configuration
Pop-up et JavaScript doivent être activés et autorisés pour Self Help.
Le cache local et les fichiers temporaires doivent avoir une limite suffisante (>10MB).
Si vous utilisez le protocole SSL, vérifiez que le cache de la page sécurisé est autorisé.
Antivirus
Sur le poste (PC) client, l’antivirus local ne doit pas systématiquement vérifier les fichiers .JS (JavaScript) pour éviter des problèmes de performances durant l’affichage des pages.
Autres
Nos services ne requièrent pas d'APPLET ou d'ActiveX sur le navigateur client.
Cookies
Nos services utilisent des cookies dans le but d'améliorer les fonctionnalités du site et l'expérience des utilisateurs. Les cookies ne contiennent aucune donnée personnelle ou critique.
Le navigateur doit autoriser nos services à créer des cookies.
Configuration du poste client pour le studio de rédaction
Self Help Studio est une application Java/Eclipse RCP qui fonctionne en mode connecté en https (port 443) sur TCP/IP sur le serveur central d'édition. Elle nécessite comme unique infrastructure une machine virtuelle Java 1.8 fournie et installée avec le studio.
Configuration matérielle
Prérequis | ||
---|---|---|
Système | Windows 7 et supérieur | |
Processeur | Intel core i3 ou supérieur (ou équivalent AMD) | |
Navigateur Web | Pour les thèmes livrés en standard avec le logiciel, les navigateurs supportés sont les suivants :
|
|
Mémoire | 4 Go | |
Espace disque | 1 Go |
Le studio supporte de se connecter au serveur d'édition au travers d'un proxy d'entreprise.
Interopérabilité fonctionnelle
Schéma de principe
Le schéma ci-dessous présente les possibilités d'interopérabilité de Self Help.
Vue globale
EasyVista.com peut se connecter à votre architecture pour :
- La validation des identifiants et mots de passe de vos utilisateurs, sur la base de votre répertoire LDAP/AD.
- L'authentification automatique de vos utilisateurs, à partir du système SSO interne à votre entreprise.
- La diffusion d'e-mails directement depuis votre serveur de messagerie interne.
Si vos serveurs possèdent une adresse IP publique ou s'ils sont accessibles via votre plate-forme EasyVista.com en limitant l'accès public à cette dernière, ces fonctionnalités peuvent être implémentées selon les conditions du catalogue de service.
Si vos serveurs ne sont pas directement accessibles en dehors de votre réseau, vous devrez mettre en œuvre une liaison VPN pour pouvoir bénéficier de ces fonctionnalités.
Web services
Fournisseur REST
Nous produisons des services accessibles en REST.
Client REST et SOAP 1.2
Les services peuvent consommer des services REST ou SOAP 1.2 externes.
Messagerie
Self Help doit accéder à votre serveur de messagerie pour envoyer des e-mails à vos utilisateurs.
Les protocoles suivants sont supportés : SMTP / SMTPS / SMTPS with TLS.
Interopérabilité avec EasyVistaService Manager
Self Help communique avec Service Manager via des flux https/http pour les fonctionnalités suivantes :
- En fin de procédures Self Help, création de tickets via REST ou SOAP vers Service Manager.
- Self Help Extractor : de Service Manager vers Self Help en https pour la consolidation des procédures dans la base de connaissance.
- De Service Apps, pour la présentation des procédures Self Help en https.
Interopérabilité avec tout autre outil
Self Help communique avec votre outil via des flux https/http pour les fonctionnalités suivantes :
- En fin de procédures Self Help, création de tickets via REST ou SOAP vers votre outil.
Liaison VPN
Bande passante requise
La bande passante requise correspond au trafic généré par les fonctionnalités décrites ci-dessus.
Les chiffres donnés sont des estimations visant à vous donner une idée des ressources nécessaires.
- Traitement en temps réel
- Envoi d'e-mails = <1 ko
- Validation de l'authentification par identifiant/mot de passe = <1 ko
L'accès à Self Help s'effectue exclusivement par le biais d'une connexion Internet et ne doit pas passer par le VPN intégré en standard avec la plate-forme.
Si le client souhaite que l'accès se fasse par le VPN et non via la connexion Internet standard, la bande passante du VPN doit être dimensionnée en conséquence.
Une liaison VPN est requise si vous souhaitez que EasyVista.com s'intègre à votre infrastructure et que vos serveurs ne soient pas accessibles par le biais d'une adresse IP publique.
Pack de connectivité VPN
- Services d'implémentation inclus dans ce pack :
- Implémentation d'un VPN IPSec ou d'un VPN privé point à point selon les conditions de fonctionnalité et de responsabilité décrites dans ce document.
- Services pouvant être commandés en cas d'achat de ce pack :
- Authentification AD/LDAP.
- Utilisation de votre serveur de messagerie pour envoyer les données.
- Système SSO tridirectionnel (pour être déchiffrées, les informations d'identification de l'utilisateur envoyées à EasyVista.com requièrent un échange supplémentaire avec vos serveurs).
Disponibilité de la connexion VPN
La disponibilité et la responsabilité en cas de maintenance varient selon la technologie utilisée et les personnes impliquées.
Si vous souhaitez que la plate-forme de sauvegarde ait exactement le même service VPN que le site principal, vous devez configurer un second VPN. Sinon, dans le cas d'un basculement vers le site de sauvegarde, le fonctionnement de EasyVista s'adapte automatiquement à la nouvelle configuration (l'authentification ne se fait plus via votre infrastructure, mais par le biais du système intégré à EasyVista, etc.).
Choix entre VPN IpSec et VPN privé point à point
Indépendamment des restrictions relatives aux normes en vigueur dans votre société, voici quelques critères qui vous aideront à choisir entre les deux solutions possibles.
Type de VPN | Avantages | Inconvénients | ||
---|---|---|---|---|
IpSec |
|
Tunnel chiffré, mais les informations ne transitent pas par une ligne privée | ||
Privé point à point |
|
|
Matrice de flux externe
Source | Destination | Ports | UDP / TCP |
---|---|---|---|
Vos utilisateurs | Serveur de présentation | 443 (https) | TCP |
Vos administrateurs fonctionnels | Serveur d'édition | 443 (https) | TCP |
Serveur d'édition | Serveur de présentation | 443 (https) | TCP |
Serveur de présentation | Frontal WEB EV SE | 443 (https) | TCP |
Serveur de présentation | Frontal WEB EV SA | 443 (https) | TCP |
Frontal WEB EV SE | Serveur de présentation | 443 (https) | TCP |
Responsabilités pendant les phases d'implémentation
Phase d'implémentation | Description | |
---|---|---|
Installation |
|
|
Implémentation par le client |
|
|
Production |
|
Migration vers une version plus récente
La migration vers une version plus récente fait partie du service EasyVista.com.
Responsabilités
Les équipes d'exploitation CMC (Cloud Management Center) EasyVista effectuent la migration vers la nouvelle version d'après le processus de migration standard.
Un e-mail d'information vous est envoyé pour vous faire savoir qu'une mise à jour est disponible et pour vous fournir un document présentant les nouvelles fonctionnalités de la dernière version.
Vos équipes doivent se charger d'étudier les nouvelles fonctionnalités, de former les utilisateurs et, le cas échéant, d'effectuer les configurations inhérentes à cette nouvelle version.
Si nécessaire, nos conseillers ou partenaires agréés sont là pour vous apporter assistance et support technique.
Test de la nouvelle version
Si vous disposez d'un environnement de Qualification, nos équipes réaliseront dans un premier temps la mise à jour de cet environnement, ce qui vous permettra de le tester suivant vos procédures (non-régression, nouvelles fonctionnalités, etc.).
Une fois cette version validée par vos équipes, vous pourrez planifier avec nos équipes la migration de votre environnement de production.
Note : Il n'est pas possible de disposer de 2 versions de Self Help sur le même environnement.
Installation sur votre environnement de production
Phase de migration | Durée standard | Description | ||
---|---|---|---|---|
Disponibilité de la mise à jour | La disponibilité de la mise à jour d'une version Self Help en SaaS est habituellement identique à celle de la mise à jour pour les clients On Premise. | |||
Migration de votre environnement de Qualification | 1 jour |
|
||
Validation | Variable |
|
||
Planification de la migration de l'environnement de production | 1/2 jour |
|
||
Migration de l'environnement de production | Entre 2 et 4 heures |
|
Maintenance technique des environnements
Sécurité des plates-formes
Sécurité par défaut
Nos plates-formes sont configurées pour réduire au minimum les risques liés à la sécurité, avec notamment :
- Restriction systématique des accès (politique Rien par défaut).
- IPS/ IDS pour détecter les accès malveillants.
- Anti DDOS pour réduire les risques d'indisponibilité.
- Antivirus pour garantir l'intégrité des systèmes.
Tests de vulnérabilité
Des tests de vulnérabilité sont réalisés chaque semaine par notre partenaire QUALYS sur la totalité des plates-formes.
Maintien en conditions opérationnelles
Pour permettre à nos équipes de conserver en condition optimale vos plates-formes, trois heures de maintenance technique sont prévues chaque mois, afin notamment de mettre à jour les systèmes d'exploitation et les composants utilisés.
Note : Ces heures ne sont pas utilisées systématiquement, mais uniquement en fonction des besoins.
Ces heures n'entrent pas dans le calcul des arrêts de production non programmés de la plate-forme. Elles sont déterminées :
- Soit automatiquement par nos équipes sur la base de votre activité constatée, afin de réduire au minimum les impacts pour vos utilisateurs (de nuit, le samedi).
- Soit en liaison avec vous si vous souhaitez choisir une plage spécifique, dans les plages disponibles (nuit, samedi).
Lorsqu'une opération est planifiée, un e-mail d'information vous est envoyé, vous précisant la date et heure, ainsi que la durée de l'opération.
Période de gel annuelle
Une période de gel est activée systématiquement sur la dernière semaine de l'année calendaire N, et la première semaine de l'année calendaire N+1.
Durant cette période, le nombre et le type de changements autorisés sur les plates-formes en production est limité.
exemple
Authentification des utilisateurs
Répartition des rôles
Pour Self Help, on distingue :
- L'authentification : Confirmation de l'identité de la personne qui cherche à se connecter.
- L'autorisation : Quels sont les droits de la personne identifiée sur Self Help.
Authentification des utilisateurs dans Self Help couplé avec Service Engine
Self Help dispose des moyens d'authentification suivants :
- Authentification par la base des employés internes de l'application.
- Authentification à travers de Service Engine.
Les authentifications supportées par Service Manager sont :
- Authentification par la base des employés internes de l'application.
- Authentification reposant sur vos annuaires LDAP/AD.
- Authentification reposant sur un SSO compatible avec nos services.
Authentification des utilisateurs dans Self Help non couplé avec Service Engine
Self Help peut être connecté à tout autre outil sans l'application Service Engine.
Self Help dispose des moyens d'authentification suivants en natif :
- SSO SAML en tant que client de votre système de SSO.
- Authentification sur vos servers LDAP par bind.
- Authentification par la base des employés internes de l'application.
Self Help - Authentification interne
Les mots de passe sont stockés sous la forme d'un hash (non réversible).
Dans l'annuaire Self Help, les utilisateurs sont désignés par leur login qui sert d'identifiant de connexion. Par conséquent, chaque login ne peut être utilisé qu'une seule fois pour identifier un seul et même utilisateur.
Self Help - Trusted Provider reposant sur Service Engine
Self Help peut utiliser Service Engine pour authentifier l'utilisateur et faire un premier niveau d'autorisation.
Dans ce cas :
- L'authentification est gérée par Service Engine suivant les méthodes configurées (Interne, Multi LDAP/AD, SSO).
- Service Engine réalise également un premier niveau d'autorisation (l'utilisateur est connu et actif, il dispose d'une langue, etc.).
- Une fois l'utilisateur validé par Service Engine, Self Help accepte l'utilisateur et l'ajoute dans sa base locale si besoin.
Les informations suivantes sont transmises par Service Engine pour que Self Help puisse alimenter automatiquement son annuaire interne et sa gestion des droits :
- Nom complet de l'employé.
- Login de l'employé.
Un seul Trusted Provider peut-être associé à Self Help.
Gestion des autorisations
Self Help
Self Help est sécurisé par une gestion des accès au niveau global de l'application et au niveau de chaque projet.
Accès à l'application
Un compte sur le serveur Self Help est nécessaire. Ce compte doit être rattaché à au moins un domaine, soit directement, soit par l'appartenance à un groupe d'utilisateurs.
L'accès à l'application s'effectue ensuite via une boîte d'authentification.
Droits d'accès
Seul un administrateur peut accéder à l'ensemble des fonctionnalités de l'espace Administration.
Des droits d'accès sont définis au niveau de chaque projet (droits d'administration / modification / duplication / exécution) et sont propres à chaque rédacteur.
Agent virtuel
Les utilisateurs
Les habilitations des utilisateurs pour dialoguer avec l'agent virtuel (accès aux procédures des projets Self Help de l'agent) sont gérées au niveau des groupes auxquels ils appartiennent.
Les groupes d'utilisateurs peuvent être constitués à partir de différents critères : entité, localisation, niveau de compétences, etc.
Les rédacteurs
Les rédacteurs, le plus souvent experts métier, rédigent les procédures et les publient.
- Ils sont habilités à travailler sur les projets Self Help de l'agent virtuel en fonction de leurs droits d'accès en lecture / écriture / publication -
voir Gestion des droits d'accès
- Ils sont pilotés par le gestionnaire des connaissances (ou knowledge manager).
- Son rôle est de garantir l'homogénéité de la base de connaissance de l'agent virtuel, en s'assurant que chaque procédure est écrite de la même manière et respecte la charte graphique / rédactionnelle.
- Il est également garant que les thématiques abordées par l'agent virtuel font partie du périmètre fonctionnel.
Packs optionnels
Pack supplémentaire pour le stockage de documents
Ce pack vous permet d'étendre la capacité de stockage destinée aux documents joints aux procédures.
La taille de la base de données n'entre pas en compte dans le calcul.
Pack EasyVistasur site vers EasyVista.com
Services d'implémentation inclus dans ce pack :
- Migration de votre base de données actuelle vers la dernière version Service Engine.
- Une plate-forme EasyVista.com est fournie avec vos données afin de valider la migration.
- Une fois que vous avez évalué la plate-forme, la migration définitive de votre base de données vers EasyVista.com peut être planifiée et mise en œuvre.
Engagements relatifs au service
EasyVista.com
Disponibilité du service
Ce service est disponible 7 jours sur 7 et 24 heures sur 24, en dehors des périodes de maintenance définies ci-dessous.
Nous garantissons 99,9 % de disponibilité (calculée sur un trimestre, sans période de maintenance planifiée).
Les phases de maintenance planifiée ne doivent pas excéder 2 heures par mois.
Performances
Les serveurs EasyVista sont dimensionnés de sorte que les performances de production des pages web correspondent à nos standards.
En fonction des types de pages et des configurations effectuées, le délai de production peut varier. Dans 90 % des cas, il est de moins de 2 secondes.
Des mesures régulières sont également prises par les systèmes automatisés sur les plates-formes de référence, et les équipes EasyVista sont alertées en cas de problème.
Au besoin, le support technique peut vous faire parvenir une méthodologie à suivre pour, en premier lieu, vérifier les problèmes le plus fréquemment rencontrés :
- Utilisation différente de l'interface (trop de lignes affichées à l'écran en mode Liste, par exemple).
- Sur les postes de travail client, recherche de composants susceptibles de ralentir l'affichage (configuration du cache de l'explorateur, antivirus, etc.).
- Analyse du trafic entre le poste de travail client et la plate-forme EasyVista, pour détecter d'éventuels problèmes (proxy, etc.).
Par la suite, d'autres actions destinées à vous aider à rechercher les problèmes de performances contextuelles seront proposées, moyennant paiement.
Surveillance de la plate-forme
La plate-forme est automatiquement surveillée par divers outils prévus à cet effet. Des alertes sont également envoyées automatiquement à l'équipe CMC EasyVista.
Les éléments couverts par la surveillance sont :
- Le processus d'intégration des données.
- Les utilisateurs connectés au service.
- La charge provenant des services applicatifs.
- Les requêtes les plus lentes exécutées sur la plate-forme.
- L'utilisation de l'espace disque alloué par contrat.
La disponibilité du service, des adresses IP et de la base de données est contrôlée automatiquement toutes les 30 secondes.
Sauvegarde des données
Les bases de données liées au compte de production font l'objet de sauvegardes conformément au calendrier suivant :
- Sauvegarde quotidienne complète, conservée pendant 5 jours.
- Sauvegarde incrémentielle effectuée toutes les heures.
- Éventuellement, transfert d'une sauvegarde mensuelle des bases de données sur l'un de vos serveurs FTP.
Demande de restauration des données
Toute demande de restauration des données doit être effectuée en ouvrant une demande sur MyEasyVista ou auprès du support technique, en précisant la date et l'heure souhaitées pour la restauration.
Pour restaurer la base de données de votre plate-forme de production, une interruption de service est nécessaire.
Phase de restauration | Description | |
---|---|---|
Récupération de la sauvegarde | En fonction de l'ancienneté de la sauvegarde et selon la restauration demandée :
|
|
Restauration |
|
Infrastructure technique
Les environnements EasyVista.com sont stockés chez des fournisseurs qui répondent aux contraintes suivantes :
- Tiers 3+ ou 4.
- Certifications ISO 27001, SOC2.
- Localisation du stockage des données conforme à vos contraintes légales.
Continuité du service EasyVista
Des services de surveillance automatique sont mis en place sur tous les composants de la plate-forme. Des équipes dédiées sont chargées de gérer les anomalies détectées et, au besoin, de rétablir le bon fonctionnement du service.
Processus de surveillance
Phase | Action | Description | |||
---|---|---|---|---|---|
1 | Détection |
|
|||
2 | Informations concernant la détection |
|
|||
3 | Résolution |
|
|||
4 | Informations concernant la résolution |
|
|||
5 | Analyse |
|
La priorité est donnée à la restauration du service ; l'analyse des causes du problème passe au second plan, au cas où elle prendrait trop de temps.
Pour chaque incident de surveillance, un ticket d'incident est créé.
Éléments non compris dans la continuité de service
Anomalie | Mesure corrective | ||
---|---|---|---|
Utilisation inattendue de notre serveur SMTP |
|
Continuité du service de surveillance
Plusieurs sites sont qualifiés et configurés pour l'administration physique et logique de la plate-forme hôte. Si le site d'administration principal devient indisponible, nos équipes sont transférées vers un site secondaire pour éviter toute interruption dans la surveillance de la plate-forme.
Plan de reprise d'activité
En cas d'indisponibilité prolongée du site principal, un site secondaire est prévu.
- Objectif de point de reprise (RPO) = 2 heures
- Objectif de temps de reprise (RTO) = 4 heures
Si le plan de reprise d'activité doit être déclenché, les mesures suivantes seront prises :
Phase | Action | Description | |||
---|---|---|---|---|---|
1 | Détection | Détection interne et confirmation du problème | |||
2 | Décision | Sur la base des informations fournies et du temps d'indisponibilité possible estimé, le PDG ou le directeur technique décide de mettre en oeuvre le Plan de reprise d'activité. | |||
3 | Avis d'indisponibilité | Chez le partenaire/client concerné, les responsables sont prévenus par e-mail que le Plan de reprise d'activité va être appliqué et sont informés des conséquences en termes d'indisponibilité. | |||
4 | Intégration/Configuration | Le site secondaire est configuré en tant que site principal. | |||
5 | Avis de disponibilité du site soumis au Plan de reprise d'activité | Chez le partenaire/client, les responsables reçoivent un e-mail les informant de la disponibilité du site secondaire et fournissant les liens pour y accéder. | |||
6 | Correction | Le problème ayant nécessité l'activation du Plan de reprise d'activité est corrigé au niveau du site principal. | |||
7 | Avis/Planning | Un e-mail est envoyé au client pour l'informer de la correction réalisée sur le site principal et pour planifier le rétablissement de la plate-forme client sur ce site. |
La priorité est de rétablir la disponibilité de l'interface Self Help.