Livre blanc Service Manager - SaaS


Sommaire

         Download icon.png  Téléchargez le fichier PDF

Présentation

L’objectif de ce livre blanc est de vous aider à comprendre :

  • Comment EV Service Manager en SaaS pourra s’intégrer avec votre infrastructure technique.
  • Quel est l’environnement SaaS fourni dans le cadre du service EasyVista.
     

Chaque infrastructure client étant unique par ses contraintes et choix technologiques, chaque projet fera l’objet d’une étude spécifique lors des phases d’avant-vente et/ou d’installation.

Glossaire des produits

EV Service Manager repose sur :

  • Un service Front Office (Service Apps) : Fourniture d’un portail de services, paramétrable, à vos utilisateurs finaux.
  • Un service Back Office (Service Engine) : Fourniture d’une interface métier plus complète à vos équipes Back Office en charge de traiter les incidents, les changements, etc.
     

En fonction de votre projet, et notamment en fonction de la répartition de travail entre vos utilisateurs finaux (Portail) et vos équipes techniques, la partie Front Office peut dominer, ou bien la partie Back Office. L’architecture cible et l’intégration dans votre infrastructure devra tenir compte de cette répartition.

Autres termes employés

  • Environnement : Désigne EV Service Manager fourni dans une version donnée.
    • Vous disposez par défaut d’un environnement de production. Vous pouvez souscrire à des environnements supplémentaires (Qualification, Test, BI, etc.). 
    • Les versions dans les différents environnements peuvent être différentes.
  • Compte : Désigne une base de données isolée Service Manager (compte de production, compte de test, compte de démonstration).
    • Chaque compte dispose d’un administrateur séparé.
    • Les comptes d’un même environnement sont tous dans la même version.

Architecture globale

Accès à Service Engine

Le service est accessible :

  • Depuis deux URL de type https://xxxxxx.ezvsaas.com :
    • Une pour Service Engine.
    • Une pour Service Apps.
  • Par le biais de services web.
     

Aucun autre accès externe à la plate-forme n’est autorisé, en particulier :

  • L'accès à la base de données SQL.
  • La prise de contrôle des serveurs qui composent l’architecture.
     

Il est possible qu’une connexion spécifique soit implémentée au niveau de votre infrastructure, à l’aide d’un VPN.

Comptes fournis

Trois comptes sont fournis :

  • Compte de production.
  • Compte sandbox : Permet notamment d’effectuer les tests d’intégration ou de configuration avant de les appliquer au compte de production.
  • Compte de démonstration : Contient des exemples de données et de configurations.
     

Les trois comptes s’appuient sur la même infrastructure et utilisent donc la même version de Service Engine.

Composants des différents services

Service Engine

  • Web Front End : En charge de traiter les requêtes http des utilisateurs et de retourner les pages web HTML.
  • Application Server : En charge de traiter les requêtes métier et de fournir les données nécessaires au serveur web, en tenant compte du compte connecté et de ce qu’il a le droit de faire et de voir.
  • Database Server : En charge de stocker les données.

Service Apps

  • Web Front End : En charge de traiter les requêtes http des utilisateurs et de retourner les pages web HTML.
  • Database Server : En charge de stocker les données.

Adaptabilité à vos contraintes

Une mise à l’échelle progressive

L’architecture de EV Service Manager est évolutive. Elle peut être revue et modifiée en fonction de l’évolution de vos besoins.

Vous pourrez ainsi démarrer votre projet avec un périmètre bien défini (modules utilisés, nombres d’utilisateurs, etc.), et l’étendre ensuite en fonction de vos besoins. Cette extension sera gérée par nos équipes, en accord avec vous pour la rendre aussi transparente que possible.

Sécurité de vos données en transit

Pour des raisons de confidentialité et d’intégrité des échanges, nous installons systématiquement un certificat SSL sur votre plate-forme.

Si vous souhaitez utiliser votre propre nom de domaine, vous devrez nous fournir un certificat SSL adapté et conforme à nos contraintes de sécurité (pas de certificat auto-signé, durée équivalente a minima à la durée du contrat, etc.).

Sur les serveurs EasyVista, la couche SSL sera configurée suivant nos prérequis de sécurité, notamment pour ne pas accepter les protocoles, ciphers, etc. connus comme faillibles :

  • SSL v2, SSL v3, TLS v1.0, TLS v1.1.
  • RC4, 3DES, etc.

Besoin d’autres environnements

En plus de l’environnement de production, vous pouvez souscrire à des environnements complémentaires pour répondre à vos contraintes d’organisation.

Nous vous recommandons de monter et de maintenir au moins un environnement supplémentaire qui vous permettra de tester des changements avant de les appliquer sur votre environnement de production. Notamment :

  • Les fix ou les évolutions majeures de nos produits.
  • Les changements de configuration des composants des serveurs (Apache, PHP, SSL, etc.).
  • Les montées de version ou les fix des systèmes d’exploitation ou des composants des serveurs.

Navigateurs

Fournisseurs

Le marché des navigateurs étant en constante évolution, merci de vous référer à notre page wiki Navigateurs web pris en charge pour la liste à jour de compatibilité des navigateurs.

Configuration

Pop-up et JavaScript doivent être activés et autorisés pour Service Apps.

Le cache local et les fichiers temporaires doivent avoir une limite suffisante (>10MB).

Si vous utilisez le protocole SSL, vérifiez que le cache de la page sécurisé est autorisé.

Antivirus

Sur le poste (PC) client, l’antivirus local ne doit pas systématiquement vérifier les fichiers .JS (JavaScript) pour éviter des problèmes de performances durant l’affichage des pages.

Autres

Nos services ne requièrent pas d’APPLET ou d’ActiveX sur le navigateur client.

Cookies

Nos services utilisent des cookies dans le but d’améliorer les fonctionnalités du site et l’expérience des utilisateurs. Les cookies ne contiennent aucune donnée personnelle ou critique.

Le navigateur doit autoriser nos services à créer des cookies.

Interopérabilité fonctionnelle

Schéma de principe

Le schéma suivant présente les possibilités d’interopérabilité de Service Manager.

         Functional interoperability.png
 

Vue globale

EasyVista.com peut se connecter à votre architecture pour :

  • La validation des identifiants et mots de passe de vos utilisateurs, sur la base de votre répertoire LDAP/AD.
  • L'authentification automatique de vos utilisateurs, à partir du système SSO interne à votre entreprise.
  • La diffusion d'e-mails directement depuis votre serveur de messagerie interne.
  • L’intégration de données depuis vos bases de données internes.
     

Si vos serveurs possèdent une adresse IP publique ou s'ils sont accessibles via votre plate-forme EasyVista.com en limitant l'accès public à cette dernière, ces fonctionnalités peuvent être implémentées selon les conditions du catalogue de service.

Si vos serveurs ne sont pas directement accessibles en dehors de votre réseau, vous devrez mettre en œuvre une liaison VPN pour pouvoir bénéficier de ces fonctionnalités.

Web services

Fournisseur REST et SOAP 1.2

Nous produisons des services accessibles en REST et SOAP 1.2.

Client REST et SOAP 1.2

Les services peuvent consommer des services REST ou SOAP 1.2 externes.

Messagerie

Envoi d'e-mails

Service Engine et Service Apps doivent accéder à votre serveur de messagerie pour envoyer des e-mails à vos utilisateurs dans le cadre du traitement des incidents / changements.

Les protocoles suivants sont supportés : SMTP / SMTPS / SMTPS with TLS.

Création automatique de tickets par e-mails

Service Engine doit pouvoir accéder à des boîtes de messagerie fonctionnelles auxquelles vos utilisateurs pourront envoyer des messages qui seront automatiquement transformés en tickets dans l’application.

Les protocoles suivants sont supportés :

  • POP3 / POP3S.
  • IMAP4 / IMAP4S / IMAP + TLS / IMAPS + TLS.
  • Office 365 : Correspond à IMAP4 en authentification moderne (XOAUTH2).
  • Microsoft GRAPH : Utilise l’API REST Outlook avec une authentification moderne OAUTH2.0 en HTTPS.

Interopérabilité avec votre infrastructure

Vue globale

EasyVista.com peut se connecter à votre architecture pour :

  • L'intégration des données provenant de vos plates-formes (LDAP, etc.).
  • La validation des identifiants et mots de passe de vos utilisateurs, sur la base de votre répertoire LDAP/AD.
  • L'authentification automatique de vos utilisateurs, à partir du système SSO interne à votre entreprise.
  • La diffusion d'e-mails directement depuis votre serveur de messagerie interne.
     

Si vos serveurs possèdent une adresse IP publique ou s'ils sont accessibles via votre plate-forme EasyVista.com en limitant l'accès public à cette dernière, ces fonctionnalités peuvent être implémentées selon les conditions du catalogue de service.

Si vos serveurs ne sont pas directement accessibles en dehors de votre réseau, vous devrez mettre en œuvre une liaison VPN pour pouvoir bénéficier de ces fonctionnalités.

Liaison VPN

Une liaison VPN est requise si vous souhaitez que EasyVista.com s'intègre à votre infrastructure et que vos serveurs ne sont pas accessibles par le biais d'une adresse IP publique.

Bande passante requise

La bande passante requise correspond au trafic généré par les fonctionnalités décrites ci-dessus. Les chiffres donnés sont des estimations visant à vous donner une idée des ressources nécessaires.

  • Traitement en temps réel :
    • Envoi d'e-mails = <1 ko.
    • Validation de l'authentification par identifiant/mot de passe = <1 ko.
  • Processus asynchrones : Ces processus n'ont pas d'incidence sur les affichages de l'utilisateur et ont souvent lieu en dehors des heures de travail. Ils peuvent donc tolérer les éventuels ralentissements dus à une bande passante insuffisante.
    • Récupération de la base de données du répertoire en vue de son importation dans EasyVista.
    • Récupération des e-mails reçus par le support technique faisant suite à la création automatique d'incidents (la taille varie selon la taille des pièces jointes).
       

L'accès à EasyVista s'effectue exclusivement par le biais d'une connexion Internet et ne doit pas passer par le VPN. Si le client souhaite que l'accès à EasyVista.com se fasse par le VPN et non via la connexion Internet standard, la bande passante du VPN doit être dimensionnée en conséquence.

Pack de connectivité VPN

  • Services d'implémentation inclus dans ce pack :
    • Implémentation d'un VPN IPSec ou d'un VPN privé point à point selon les conditions de fonctionnalité et de responsabilité décrites dans ce document.
  • Services pouvant être commandés en cas d'achat de ce pack :
    • Authentification AD/LDAP.
    • Importation planifiée des données AD/LDAP.
    • Utilisation de votre serveur de messagerie pour envoyer les données.
    • Agent de support technique.
    • Système SSO tridirectionnel (pour être déchiffrées, les informations d'identification de l'utilisateur envoyées à EasyVista.com requièrent un échange supplémentaire avec vos serveurs).
    • Accès aux données en lecture seule par le biais d'un compte SQL SERVER, à des fins de création de rapports.

Disponibilité de la connexion VPN

La disponibilité et la responsabilité en cas de maintenance varient selon la technologie utilisée et les personnes impliquées.

Si vous souhaitez que la plate-forme de sauvegarde ait exactement le même service VPN que le site principal, vous devez configurer un second VPN. Sinon, dans le cas d'un basculement vers le site de sauvegarde, le fonctionnement de EasyVista s'adapte automatiquement à la nouvelle configuration (l'authentification ne se fait plus via votre infrastructure, mais par le biais du système intégré à EasyVista, etc.).

Choix entre VPN IpSec et VPN privé point à point

Indépendamment des restrictions relatives aux normes en vigueur dans votre société, voici quelques critères qui vous aideront à choisir entre les deux solutions possibles.

Type de VPN Avantages Inconvénients
IpSec
  • Rapidité de mise en oeuvre (pas de ligne à configurer, il faut généralement moins de 2 jours).
  • Coût moindre.
  • Sécurité élevée, même si les données transitent par Internet.
Tunnel chiffré, mais les informations ne transitent pas par une ligne privée.
Privé point à point
  • Confidentialité maximale.
  • Liaison dédiée pour accéder au service EasyVista, au lieu d’utiliser l’accès Internet standard.
  • Coût de mise en oeuvre et d’utilisation.
  • Délai de mise en place de la ligne souvent supérieur à 4 semaines.

Front Office (Service Apps)

Matrice de flux externe

 

Source Destination Ports UDP / TCP
Vos utilisateurs finaux et administrateurs fonctionnels Serveur web Service Apps 443 (https) TCP

Back Office (Service Engine)

Matrice de flux externe

 

Source Destination Ports UDP / TCP
Vos utilisateurs finaux et administrateurs fonctionnels Serveur web Service Engine 443 (https) TCP

Responsabilités pendant les phases d'implémentation

Phase d’implémentation Description
Installation
  • EasyVista s’occupe d’installer et de configurer les environnements, puis de créer les comptes de production et de test.
  • Pendant cette phase, le client ou partenaire n’a pas accès au système.
  • Une fois l’installation terminée, le client reçoit un document contenant les informations de connexion au site EasyVista.
Implémentation par le client
  • Le client / partenaire certifié configure EasyVista conformément à ses exigences.
  • La console d’administration MyEasyVista est disponible.
  • Pendant cette phase, le système de sauvegarde et restauration de EasyVista.com, ainsi que les services de surveillance et du plan de reprise d’activité, ne sont pas activés.
  • À l’issue de l’implémentation, le client demande à notre service de support technique de lancer la phase de production.
Production
  • Le système de sauvegarde et restauration de EasyVista.com, ainsi que les services de surveillance et du plan de reprise d’activité, sont activés, en même temps que les alertes associées.
  • L’opération de sauvegarde et restauration de la base de données de production via MyEasyVista est désactivée. Le client / partenaire ne peut donc plus accéder à la base de données.
  • La console de gestion MyEasyVista permet d’effectuer les opérations de sauvegarde et de restauration à partir de la base de données sandbox, puis de copier la base de données de production sur la base sandbox.

Migration vers une version plus récente

La migration vers une version plus récente fait partie du service EasyVista.com.

Responsabilités

Les équipes d'exploitation CMC (Cloud Management Center) EasyVista effectuent la migration vers la nouvelle version d'après le processus de migration standard.

Un e-mail d'information vous est envoyé pour vous faire savoir qu'une mise à jour est disponible et pour vous fournir un document présentant les nouvelles fonctionnalités de la dernière version.

Vos équipes doivent se charger d'étudier les nouvelles fonctionnalités, de former les utilisateurs et, le cas échéant, d'effectuer les configurations inhérentes à cette nouvelle version.

Si nécessaire, nos conseillers ou partenaires agréés sont là pour vous apporter assistance et support technique.

Test de la nouvelle version

Si vous disposez d'un environnement de Qualification, nos équipes réaliseront dans un premier temps la mise à jour de cet environnement, ce qui vous permettra de le tester suivant vos procédures (non-régression, nouvelles fonctionnalités, etc.).

Dans le cadre de la validation d’une version mineure, une plate-forme de recette temporaire sera mise à votre disposition sur demande si vous ne disposez pas d'un environnement de Qualification. Cette plate-forme temporaire est provisionnée pour un délai de trois semaines avec le paramétrage fonctionnel de l’application, mais sans le SSO et les flux impactés par le VPN.

Une fois cette version validée par vos équipes, vous pourrez planifier avec nos équipes la migration de votre environnement de production.

Note : Il n'est pas possible de disposer de deux versions de Service Engine sur le même environnement.

Cas particulier des migrations des versions antérieures à Oxygène vers des versions Oxygène et supérieures

Dans le cadre de la migration vers la version Oxygène, une plate-forme de recette temporaire sera systématiquement mise à votre disposition même si vous ne disposez pas d'un environnement de Qualification. Cette plate-forme temporaire est provisionnée pour un délai de trois semaines avec le paramétrage fonctionnel de l’application, mais sans le SSO et les flux impactés par le VPN.

Installation sur votre environnement de production

Phase de migration Durée standard Description
Disponibilité de la mise à jour La disponibilité de la mise à jour d’une version Service Engine en SaaS est habituellement identique à celle de la mise à jour pour les clients On Premise.
Migration de votre environnement de Qualification 1 jour
  • Client : Le support technique reçoit une demande visant à mettre à jour votre environnement de Qualification vers la nouvelle version.
  • CMC EasyVista :
    • Fixe une date pour la mise à jour.
    • À la date prévue :
      • Met à jour l’environnement de Qualification selon la version actuelle de votre environnement de production.
      • Met à jour l’environnement de Qualification selon la nouvelle version Service Engine.
      • Vous envoie un e-mail pour confirmer la migration de l’environnement de Qualification vers la nouvelle version.
Validation Variable
  • Client : Processus de validation et test des nouvelles fonctionnalités.

Attention : Les modifications apportées à la plate-forme de test ne sont pas conservées lors de la migration de l’environnement de production.

Planification de la migration de l’environnement de production 1/2 jour
  • Client : Lorsque vous êtes prêt (processus validés, utilisateurs formés, etc.), demandez à notre support technique de mettre à jour l’environnement de production.
  • CMC EasyVista :
    • La date et l’heure de la migration sont fixées, après concertation avec vous.
Migration de l’environnement de production Entre 2 et 4 heures

(selon la taille de la base de données)

  • Client : Les utilisateurs doivent être informés que l’environnement de production sera indisponible pendant la phase de migration.
  • CMC EasyVista : À la date prévue :
    • Sauvegarde de vos bases de données avant la migration.
    • Migration vers la nouvelle version.
    • Test de la migration.
    • Un e-mail est envoyé au client pour l’informer que la migration est terminée.
    • L’environnement de production est rouvert.

Personnalisation du service EasyVista.com

Pages de connexion et personnalisation CSS

Deux pages de connexion sont fournies par défaut : la première pour le compte de production, la seconde pour le compte de test.

Le format de cette page reprend celui de la page de connexion standard EasyVista. Vous pouvez le modifier en y ajoutant les couleurs et logos de votre choix. Les personnalisations possibles sont décrites dans le guide de déploiement EasyVista.com.

Sur demande, une personnalisation plus poussée est également possible.

         Open url.png Voir Personnaliser les feuilles de style CSS Service Manager

Implémentation des intégrations de données planifiées

Par défaut, il est possible d'implémenter des intégrations de données planifiées sur la base des fichiers .CSV fournis à EasyVista (via leur chargement sur un site FTP dédié à votre plate-forme).

Si vous avez souscrit l'option VPN, il est également possible d'implémenter les intégrations de données pour lesquelles la source est accessible dans votre infrastructure.

Ajout de champs, vues et tables au modèle de données standard

Vous pouvez demander à ajouter des champs, vues et tables au modèle de données Service Engine via MyEasyVista ou via le support technique. Ces ajouts seront réalisés après validation technique par nos équipes, et en concertation avec vous sur la période de réalisation.

Maintenance technique des environnements

Sécurité des plates-formes

Sécurité par défaut

Nos plates-formes sont configurées pour réduire au minimum les risques liés à la sécurité, avec notamment :

  • Restriction systématique des accès (politique Rien par défaut).
  • IPS/IDS pour détecter les accès malveillants.
  • Anti DDOS pour réduire les risques d'indisponibilité.
  • Antivirus pour garantir l'intégrité des systèmes.

Tests de vulnérabilité

Des tests de vulnérabilité sont réalisés chaque semaine par notre partenaire QUALYS sur la totalité des plates-formes.

Maintien en conditions opérationnelles

Pour permettre à nos équipes de conserver en condition optimale vos plates-formes, trois heures de maintenance technique sont prévues chaque mois, afin notamment de mettre à jour les systèmes d'exploitation et les composants utilisés.

         Note : Ces heures ne sont pas utilisées systématiquement, mais uniquement en fonction des besoins.

Ces heures n'entrent pas dans le calcul des arrêts de production non programmés de la plate-forme. Elles sont déterminées :

  • Soit automatiquement par nos équipes sur la base de votre activité constatée, afin de réduire au minimum les impacts pour vos utilisateurs (de nuit, le samedi).
  • Soit en liaison avec vous si vous souhaitez choisir une plage spécifique, dans les plages disponibles (nuit, samedi).

Lorsqu'une opération est planifiée, un e-mail d'information vous est envoyé, vous précisant la date et heure, ainsi que la durée de l'opération.

Période de gel annuelle

Une période de gel est activée systématiquement sur la dernière semaine de l'année calendaire N, et la première semaine de l'année calendaire N+1.

Durant cette période, le nombre et le type de changements autorisés sur les plates-formes en production est limité.

         exemple  

         Blackout period.png

Authentification des utilisateurs

Répartition des rôles

Authentification et autorisation

Pour Service Engine et Service Apps, on distingue :

  • L’authentification : Confirmation de l’identité de la personne qui cherche à se connecter.
  • L’autorisation : Qu’est-ce que la personne qui a été identifiée a le droit de faire sur Service Engine et Service Apps.

Authentification des utilisateurs dans Service Engine

Service Engine dispose des moyens d’authentification suivants :

  • Authentification par la base des employés internes de l’application.
  • Authentification reposant sur votre (ou vos) annuaire(s) LDAP/AD.
  • Authentification reposant sur un SSO compatible avec nos services.
     

L’ordre de traitement des autorisations est le suivant :

1. Identification basée sur SSO.
2. Si l’étape 1 n’est pas réussie, authentification par Login/Mot de passe basée sur votre (ou vos) annuaire(s) LDAP/AD.
3. Si l’étape 2 n’est pas réussie, authentification par Login/Mot de passe basée sur l’annuaire interne Service Engine.

         User authentication - SE.png

L’authentification interne Service Engine peut être désactivée. Toutefois, si vous utilisez Service Engine comme fournisseur de web services, seules l’authentification LDAP et l'authentification interne peuvent être utilisées.

Vous pouvez utiliser plusieurs annuaires (ou branches du même annuaire) pour authentifier vos utilisateurs. Dans ce cas, les authentifications seront réalisées en testant les annuaires dans l’ordre déclaré.

Authentification des utilisateurs dans Service Apps

Service Apps dispose des moyens d’authentification suivants :

  • Authentification par la base des employés internes de l’application.
  • Authentification à travers de Service Engine (Trusted Provider). Dans ce cas, les moyens d’authentification configurés pour Service Engine seront utilisés de façon transparente pour Service Apps.

         User authentication - SA.png

Autorisation des utilisateurs

Une fois identifié, la détermination de ce que l’utilisateur a le droit de faire et sur quoi se fera sur :

  • Service Engine : Les profils (ce que l’utilisateur peut faire) et les domaines (ce que l’utilisateur peut voir).
  • Service Apps : Les groupes d’application qui définiront les applications accessibles et le rôle associé à l’utilisateur sur chacune de ces applications.

Service Engine - Authentification interne

Les mots de passe sont stockés sous la forme d’un hash (non réversible).

Une politique de taille et de structure des mots de passe peut être définie.
         User authentication - SE Internal.png

Service Engine - Authentification par des serveurs ou arbres LDAP/AD

L’authentification Service Engine peut reposer sur plusieurs arbres LDAP/AD différents.
         User authentication - SE Multi servers.png

Service Engine - SSO (Single Sign On)

Présentation

Service Engine peut authentifier les utilisateurs à travers la fourniture d’une information d’identité par vos systèmes. Les systèmes suivants sont supportés :

  • SAML et ADFS.
  • CAS.

SSO par SAML/ADFS ou CAS

Votre fédérateur d’identité est configuré dans nos services pour que l’identification de l’utilisateur soit fournie lors de la première connexion à nos services.
         User authentication - SE SSO.png

Systèmes supportés mais non conseillés

Si vous disposez quelque part dans votre réseau d’un serveur IIS, il peut être utilisé pour porter l’identité de votre utilisateur vers nos services.

Attention : Il ne s’agit en aucun cas de SSO, mais bien de "portage d’identité" (On récupère comme on peut l’identité de l’utilisateur, et on la transfère à nos services par le biais d’un header encrypté). Vous devez considérer cette fonctionnalité comme une facilité de connexion pour vos utilisateurs, mais en aucun cas comme une solution totalement sécurisée, en comparaison de vrais systèmes de SSO comme SAML/ADFS ou CAS qui intègrent de multiples protections comme :

  • L'unicité par token de chaque transaction.
  • Les échanges de clés.
  • Le refus des réponses non sollicitées.
  • L'impossibilité de se placer en "man in the middle".
  • La restriction des systèmes autorisés à réaliser des authentifications, et la limite du périmètre d’information accessible.
  • La traçabilité et les alertes.
     

De plus, ces systèmes reposent sur le fait que l’utilisateur a déjà été identifié au niveau du réseau. Par conséquent, cela ne peut pas fonctionner si nos services doivent être accédés via un réseau public (ce qui est notamment le cas des applications mobiles, à moins d’utiliser un VPN pour simuler une présence réseau interne).

Système d’authentification propre à votre entreprise

Tout système d’identification propre à votre entreprise pourra être étudié afin de voir comment il peut être utilisé par nos services (notamment en termes de disponibilité, accessibilité et sécurité).

En fonction de leur complexité, l’étude, le développement spécifique et l’implémentation de ce type d’authentification pourra faire l’objet d’une facturation spécifique.

Systèmes non supportés et non maintenus

Note : Cette partie concernent tous les modes d’identification non cités précédemment.

Les systèmes reposant sur l’installation de composants supplémentaires sur nos plates-formes ne sont pas autorisés (mod sspi, mod Kerberos, etc.).

Service Apps - Authentification interne

Les mots de passe sont stockés sous la forme d’un hash (non réversible).

Dans l’annuaire Service Apps, les utilisateurs sont désignés par leur adresse e-mail qui sert d’identifiant de connexion pour Service Apps. Par conséquent, chaque adresse e-mail ne peut être utilisée qu’une seule fois par tenant et pour identifier un seul et même utilisateur.

Une fois identifié par un fournisseur d’identité approuvé EasyVista, l’utilisateur peut être retrouvé dans l’annuaire Service Apps à partir de l’adresse e-mail associée à sa fiche Employé dans l’annuaire Service Manager.

Si plusieurs utilisateurs Service Manager partagent la même adresse e-mail, ils accèdent au même compte d’utilisateur dans Service Apps.
         User authentication - SA Internal.png

Service Apps - Trusted Provider reposant sur Service Engine

Service Apps peut utiliser Service Engine pour authentifier l’utilisateur et faire un premier niveau d’autorisation.

Dans ce cas :

  • L’authentification est gérée par Service Engine suivant les méthodes configurées (Interne, Multi LDAP/AD, SSO).
  • Service Engine réalise également un premier niveau d’autorisation (l’utilisateur est connu et actif, il dispose d’une langue, etc.).
  • Une fois l’utilisateur validé par Service Engine, Service Apps accepte l’utilisateur et l’ajoute dans sa base locale si besoin.


Les informations suivantes sont transmises par Service Engine pour que Service Apps puisse alimenter automatiquement son annuaire interne et sa gestion des droits :

  • Nom complet de l’employé.
  • Adresse e-mail de l’employé.
  • Une ou plusieurs des valeurs suivantes :
    • Nom des groupes (en anglais) dont l’employé fait partie.
    • Nom de profil (en anglais) associé à l’employé.
    • Un champ issu de la fiche de l’employé.
       

Un seul Trusted Provider peut-être associé à un tenant Service Apps.

Gestion des autorisations

Service Engine

Dans Service Engine, un utilisateur se voit attribuer :

  • Un profil unique : Il détermine ce que l’utilisateur a le droit de faire sur l’ensemble de données auquel il a accès.
  • Un ou plusieurs domaines : Ils déterminent les périmètres de données auxquels l’utilisateur a le droit d’accéder (par exemple une zone géographique, un type de machine de quelques entités, etc.).

Service Apps

Comment les droits d’accès à une application sont-ils accordés ?

Un utilisateur Service Apps peut être membre de plusieurs groupes et avoir accès à :

  • Des applications directement, car il en est le propriétaire ou qu’on lui a donné le droit de les utiliser.
  • Des applications par l’intermédiaire d’équipes dont il est membre et qui disposent des droits d’accès requis.

         User authentication - SA Application access.png

Comment les équipes sont-elles identifiées dans l’annuaire Service Apps ?

Dans l’annuaire Service Apps, les équipes sont identifiées par leur nom.

Ces noms d’équipes Service Apps sont liés au nom ANGLAIS des groupes Service Manager.

Packs optionnels

Pack de sauvegarde Premium

Services d'implémentation inclus dans ce pack :

  • Une sauvegarde incrémentielle est réalisée toutes les heures sur le compte de production.
  • Une sauvegarde complète de votre compte de production, copiée sur l'un de vos serveurs FTP, est mise à votre disposition tous les mois.

Pack supplémentaire pour le stockage de documents

Ce pack vous permet d'étendre la capacité de stockage destinée aux documents joints à la base de connaissances, à la CMDB (Configuration Management Database), aux demandes, contrats, équipements, etc. 

La taille de la base de données n'entre pas en compte dans le calcul.

Pack EasyVista sur site vers EasyVista.com

Services d'implémentation inclus dans ce pack :

  • Migration de votre base de données actuelle vers la dernière version Service Engine.
  • Une plate-forme EasyVista.com est fournie avec vos données afin de valider la migration.
  • Une fois que vous avez évalué la plate-forme, la migration définitive de votre base de données vers EasyVista.com peut être planifiée et mise en œuvre.

MyEasyVista

EasyVista met à votre disposition une console d'administration qui permet d'effectuer les opérations suivantes :

  • Accéder aux détails et au statut du contrat, notamment les tendances d'utilisation des licences.
  • Contrôler les métriques de disponibilité de votre plate-forme EasyVista.com, pour vous assurer que l'accord de niveau de service (SLA) contracté en matière de cloud est respecté.
  • Effectuer des activités de maintenance :
    • Gestion de bases de données, y compris restauration, sauvegarde et transfert.
    • Demande de mise à niveau de EasyVista.
    • Recette fonctionnelle de la plate-forme par vos soins.
    • Demande de redémarrage du service  EasyVista.
       
  • Prévoir et évaluer les événements à fort impact, puis agir de manière proactive pour éviter les temps d'arrêt superflus :
    • Métriques de disponibilité.
    • Taille des bases de données.
    • Taux d'utilisation et activité du système.
      • Nombre d'utilisateurs connectés.
      • Détails d'interaction.
      • Utilisation de l'assistant de page et d'activité.
      • Erreurs système potentielles.
         
  • Rationaliser et améliorer la prestation de services :
    • Comprendre les services les plus demandés et les plus problématiques.
    • Identifier les services les moins utilisés.

Engagements relatifs au service

EasyVista.com

Disponibilité du service

Ce service est disponible 7 jours sur 7 et 24 heures sur 24, en dehors des périodes de maintenance définies ci-dessous.

Nous garantissons 99,9 % de disponibilité (calculée sur un trimestre, sans période de maintenance planifiée).

Les phases de maintenance planifiée ne doivent pas excéder 2 heures par mois.

Performances

Les serveurs EasyVista sont dimensionnés de sorte que les performances de production des pages web correspondent à nos standards.

En fonction des types de pages et des configurations effectuées, le délai de production peut varier. Dans 90 % des cas, il est de moins de 2 secondes.

Les temps de référence sont mesurés en sortie depuis la plate-forme EasyVista, en utilisant les fonctions internes du produit (ShowStack=simple). Ces mesures peuvent être reprises depuis n'importe quel poste de travail.

Des mesures régulières sont également prises par les systèmes automatisés sur les plates-formes de référence, et les équipes EasyVista sont alertées en cas de problème.

Au besoin, le support technique peut vous faire parvenir une méthodologie à suivre pour, en premier lieu, vérifier les problèmes le plus fréquemment rencontrés :

  • Utilisation différente de l'interface (trop de lignes affichées à l'écran en mode Liste, par exemple).
  • Sur les postes de travail client, recherche de composants susceptibles de ralentir l'affichage (configuration du cache de l'explorateur, antivirus, etc.).
  • Analyse du trafic entre le poste de travail client et la plate-forme EasyVista, pour détecter d'éventuels problèmes (proxy, etc.).
     

Par la suite, d'autres actions destinées à vous aider à rechercher les problèmes de performances contextuelles sont proposées, moyennant paiement.

Surveillance de la plate-forme

La plate-forme est automatiquement surveillée par divers outils prévus à cet effet. Des alertes sont également envoyées automatiquement à l'équipe CMC EasyVista.

Les éléments couverts par la surveillance sont :

  • Le processus d'intégration des données.
  • Les utilisateurs connectés au service.
  • La charge provenant des services applicatifs.
  • Les requêtes les plus lentes exécutées sur la plate-forme.
  • L'utilisation de l'espace disque alloué par contrat.
     

La disponibilité du service, des adresses IP et de la base de données est contrôlée automatiquement toutes les 30 secondes.

Sauvegarde des données

Les bases de données liées au compte de production font l'objet de sauvegardes conformément au calendrier suivant :

  • Sauvegarde quotidienne complète, conservée pendant 5 jours.
  • Sauvegarde incrémentielle effectuée toutes les heures.
  • Éventuellement, transfert d'une sauvegarde mensuelle des bases de données sur l'un de nos serveurs FTP.

La base de données liée au compte sandbox n'est pas automatiquement sauvegardée, mais le client / partenaire peut effectuer des sauvegardes à la demande et les restaurer via MyEasyVista (Il est possible de conserver jusqu'à 5 sauvegardes différentes pour un compte et de les remplacer comme bon vous semble).

Demande de restauration des données

Toute demande de restauration des données doit être effectuée en ouvrant une demande sur MyEasyVista ou auprès du support technique, en précisant la date et l'heure souhaitées pour la restauration.

Pour restaurer la base de données de votre plate-forme de production, une interruption de service est nécessaire.

Phase de restauration Description
Récupération de la sauvegarde En fonction de l’ancienneté de la sauvegarde et selon la restauration demandée :
  • <=48 h : Disponibilité immédiate, exécutée en moins de 2 heures.
  • > 48 h : 24 heures.
Restauration
  • La date et l’heure de restauration sont fixées avec vos équipes.
    • La plate-forme de production est arrêtée.
    • La base de données active est sauvegardée.
    • La base de données demandée est restaurée.
    • La production est relancée.
  • L’opération globale prend généralement moins d’une heure.

Traitement par lots

Les importations de données d'inventaire sont effectuées entre 18 h 00 et 6 h 00 le lendemain matin (fuseau horaire de Bruxelles/Copenhague/Paris/Madrid), et non immédiatement pendant la journée.

Si vos équipes travaillent en dehors des périodes standard du fuseau horaire Bruxelles/Copenhague/Paris/Madrid, ces périodes peuvent être adaptées aux heures où votre plate-forme est inactive.

Les intégrations de données mises en place spécifiquement pour votre projet doivent être planifiées de façon à ne pas perturber l'activité de vos utilisateurs.

Infrastructure technique

Les environnements EasyVista.com sont stockés chez des fournisseurs qui répondent aux contraintes suivantes :

  • Tiers 3+ ou 4.
  • Certifications ISO 27001, SOC2.
  • Localisation du stockage des données conforme à vos contraintes légales.

Continuité du service EasyVista

Des services de surveillance automatique sont mis en place sur tous les composants de la plate-forme. Des équipes dédiées sont chargées de gérer les anomalies détectées et, au besoin, de rétablir le bon fonctionnement du service.

Processus de surveillance

Phase Action Description
1 Détection
  • 1ère analyse humaine de l’incident pour déterminer s’il s’agit effectivement d’un problème.
  • En cas d’alerte réelle, passage à la phase 2.
2 Informations concernant la détection
  • La personne en charge chez le partenaire/client est informée de l’alerte et de ses conséquences sur l’activité, et reçoit une première estimation du temps d’indisponibilité possible.
  • Par la suite, des e-mails d’information sont régulièrement envoyés, pour tenir informé le partenaire/client de l’évolution de la situation, jusqu’à sa résolution.
3 Résolution Application de la mesure corrective.
4 Informations concernant la résolution Le partenaire/client est informé que la disponibilité du service a été rétablie.
5 Analyse
  • Collecte d’informations (journaux, capture d’écran, etc.) relatives au problème.
  • Transmission aux équipes CMC EasyVista qui devront déterminer si le problème risque de se reproduire.

La priorité est donnée à la restauration du service. L'analyse des causes du problème passe au second plan, au cas où elle prendrait trop de temps.

Pour chaque incident de surveillance, un ticket d'incident est créé.

Éléments non compris dans la continuité de service

Anomalie Mesure corrective
Utilisation inattendue de notre serveur SMTP
  • Nous vous recommandons fortement d'utiliser votre propre serveur SMTP d'entreprise pour la plate-forme EasyVista, plutôt que notre serveur SMTP EasyVista.net.
    • L’objectif est d’éviter les délais inattendus ou la classification comme courrier indésirable par votre serveur d’entreprise quand EasyVista envoie des e-mails à vos utilisateurs finaux, depuis notre domaine EasyVista.net mais à l’aide de comptes expéditeurs issus de votre domaine.
    • Par exemple, les utilisateurs qui ouvrent un incident reçoivent une confirmation d’ouverture de la part d’un compte tel que backoffice@votre_domaine_d_entreprise.com. Ce compte est en effet plus facile à identifier et à reconnaître que donotreply@easyvista.net.

  • Dans tous les cas, votre système de messagerie risque de considérer cet e-mail comme du spam et de le bloquer ou de le rejeter temporairement (liste grise), car l’adresse IP de la plate-forme SMTP EasyVista.net apparaissant comme étant le véritable expéditeur n’est pas répertoriée dans les informations MX de votre DNS pour votre_domaine_d_entreprise.com.
  • Pour cette raison, nous ne pouvons pas garantir que les e-mails seront immédiatement transmis dans l’ordre où ils ont été envoyés, ni même qu’ils seront simplement délivrés. Le seul moyen d’éviter ce risque est d’utiliser votre propre serveur SMTP, directement s’il est accessible de l’extérieur, sinon via une connexion VPN.

Continuité du service de surveillance

Plusieurs sites sont qualifiés et configurés pour l'administration physique et logique de la plate-forme hôte. Si le site d'administration principal devient indisponible, nos équipes sont transférées vers un site secondaire pour éviter toute interruption dans la surveillance de la plate-forme.

Plan de reprise d'activité

En cas d'indisponibilité prolongée du site principal, un site secondaire est prévu.

  • Objectif de point de reprise (RPO) = 2 heures.
  • Objectif de temps de reprise (RTO) = 4 heures.
     

Si le plan de reprise d'activité doit être déclenché, les mesures suivantes seront prises :

Phase Action Description
1 Détection Détection interne et confirmation du problème.
2 Décision Sur la base des informations fournies et du temps d’indisponibilité possible estimé, le PDG ou le directeur technique décide de mettre en oeuvre le Plan de reprise d’activité.
3 Avis d’indisponibilité Chez le partenaire/client concerné, les responsables sont prévenus par e-mail que le Plan de reprise d’activité va être appliqué et sont informés des conséquences en termes d’indisponibilité.
4 Intégration/Configuration Le site secondaire est configuré en tant que site principal.
5 Avis de disponibilité du site soumis au Plan de reprise d’activité Chez le partenaire/client, les responsables reçoivent un e-mail les informant de la disponibilité du site secondaire et fournissant les liens pour y accéder.
6 Correction Le problème ayant nécessité l’activation du Plan de reprise d’activité est corrigé au niveau du site principal.
7 Avis/Planning Un e-mail est envoyé au client pour l’informer de la correction réalisée sur le site principal et pour planifier le rétablissement de la plate-forme client sur ce site.

La priorité est de rétablir la disponibilité de l'interface Service Engine.

Remise des données

Au terme du contrat, les données sont remises au client sur DVD, sous la forme d'une sauvegarde SQL SERVER de la base de données Service Engine, dans la version alors utilisée sur la plate-forme hébergée. Cette sauvegarde inclut la base de données de configuration associée au compte de production, ainsi que celle du compte d'acceptation.

Les sauvegardes en notre possession sont ensuite détruites, dès que le client confirme qu'il a bien reçu et lu ces données.

Les éléments suivants ne sont pas inclus par défaut et font l'objet d'un service payant :

  • Fourniture de tout autre format ou support.
  • Assistance pour l'utilisation et la compréhension de ces données.
  • Intégration de ces données dans un outil tiers.
  • Sauvegardes des bases de données de test (sandbox).
Tags:
Modifié par Utilisateur inconnu le 2021/09/22 12:16
Créé par Administrator XWiki le 2018/11/20 16:36

Raccourcis

L'actualité mensuelle
•  Newsletter

Tous les changements
•  Service Manager
•  Service Apps
•  Self Help
•  Service Bots

Powered by XWiki ©, EasyVista 2021