Gestion et sécurisation des échanges cmon, PMPI 03.31/2004 PDB Global Data Exchange System
Problématique Constat Les échanges électroniques sont au cœur de l activité de toutes les entreprises Évolution constante du périmètre de l entreprise : fusion/acquisitions et partenaires extérieurs Multiplication d environnements techniques hétérogènes (serveurs, applications, protocoles, réseaux) Augmentation des contraintes de sécurité et de traçabilité des échanges Besoins : Solution unifiée de gestion des échanges de l entreprise étendue Garanties d acheminement, de sécurisation et d historisation des échanges
Solution cmon : Global Data Exchange System Solution globale de gestion des échanges : fichiers et messages Dédiée aux protocoles standards IP de l entreprise étendue : FTP, HTTP Ouverte à l ensemble des principales plates-formes (MF, Midrange, Open) Modulaire (de la PME à l entreprise du CAC40) Éprouvée (plus de 200 clients en France) Principaux modules : cmft = Gestion des transferts de fichiers (Managed File Transfer) cmq = Gestion des transferts de messages (Message Queuing) cwop = Console de supervision unifiée
Principaux avantages Amélioration du niveau de service Automatisation et industrialisation des échanges Garantie d acheminement Traçabilité Flexibilité : prise en compte très rapide de nouveaux flux Sécurisation des échanges Authentification forte Chiffrement Supervision consolidée de l ensemble des échanges Réduction des coûts
Quelques références significatives Plus de 200 utilisateurs en France dont: Groupe Crédit Agricole Groupama MGEN ALCATEL (mondial) VINCI Bouygues Télécom Bacou Dalloz TopAchat.com RueduCommerce.com
Gestion sécurisée des transferts de fichiers PMPI 03.31/2004 PDB cmft, le module de Managed File Transfer de la suite cmon
Problématique Besoins : Solution unifiée de gestion des transferts de fichiers de l entreprise étendue Couverture des principaux protocoles d échanges (FTP, HTTP) Garanties d acheminement, de sécurisation et d historisation des transferts Architecture modulaire et souple permettant une intégration aisée de nouveaux flux applicatifs Intégration avec les flux e-business Indépendance vis-à-vis des plates-formes serveurs
Solution : cmft Gestion de l ensemble des transferts de fichiers (internes et externes) Solution dédiée aux protocoles standards: FTP, FTPS, HTTP, HTTPS Interface l ensemble des serveurs FTP/HTTP du marché Très hautes performances (nombre de transferts simultanés illimités) Garantie d acheminement des fichiers (persistance) Virtualisation des chemins d accès Sécurisation des transferts y compris pour les protocoles non sécurisés Historisation complète des méta-données associées aux transferts Fonctionnement identique sur tous types de plates-formes
Principes d architecture Afin de s intégrer parfaitement aux règles de communication et de sécurité de l entreprise, trois types d architecture sont possibles : Point-to-Point : les serveurs applicatifs communiquent directement entre eux Hub-and-Spoke : les serveurs applicatifs communiquent entre eux via un serveur pivot (hub) qui peut ou non se trouver dans une DMZ Snow Flake : Configurations de type Hub-and-Spoke interconnectées Ces trois types d architecture peuvent être mixés et utilisés simultanément au sein d une même entreprise
Modes de fonctionnement Afin de couvrir l ensemble des besoins de transfert de fichiers internes et externes à l entreprise, cmon dispose de trois modes: Peer-to-Peer : Serveur cmft à serveur cmft serveurs internes à l entreprise ou à une communauté d entreprises équipées de cmon Client/Server : Client cmft vers serveur cmft (Client léger gratuit) pour partenaires extérieurs souhaitant être exclusivement initiateur des transferts Foreign : Serveur cmft vers serveur FTP/HTTP standard (rien à installer) pour partenaires extérieurs souhaitant être exclusivement correspondant des transferts
Modes de fonctionnement
Comparatif des modes de fonctionnement Mode Peer to Peer Mode Client/Server Mode Foreign Mode de communication Initiateur du transfert Serveur cmft Client cmft Serveur cmft Correspondant du transfert Serveur cmft Serveur cmft Serveur FTP/HTTP Sécurité Authentification forte Oui Oui Non Chiffrement Dans et hors SSL Dans et hors SSL SSL Négociation préalable au transfert (port, login/password, protocole) Oui Oui Non Gestion des nom symboliques (utilisateurs, répertoires, fichiers) Optimisation des flux Oui Oui Non Compression Oui Oui Non Parallélisme paramétrable Oui Non (unitaire par client) Oui Reprises automatiques Oui Oui Oui Traçabilité des transferts Historique des transferts Serveurs cmft (tous les partenaires de l'échange) Serveur cmft Serveur cmft Journal des événements Serveurs cmft (tous les partenaires de l'échange) Serveur cmft Serveur cmft
Principe de fonctionnement 1 Dépôt des commandes (validation) 6 Process CCLI vers serveur FTP / HTTP 2 Prise en compte asynchone du transfert 7 Notification de fin de tarnsfert 3 Stockage de la commande dans le catalogue 8 Procédure post-transfert (optionnel) 4 Procédure pré-transfert (optionnel) 9 Mise à jour catalogues et historiques 5 Négociation avec le correspondant 1 Mailbox Fichier Serveur FTP HTTP Fichier Procédure Pré-transfert 4 2 8 8 cmft Procédure post-transfert Procédure post-transfert cmft Fichier 6 3 5 Négociation Catalogue Historique 7 Catalogue Historique 9 Notification 9 xccli Système Initiateur Système Correspondant
Automatisation et Intégration Procédure pré-transfert Une commande de transfert peut être conditionnée par l exécution d une procédure utilisateur paramétrable La procédure pré-transfert peut modifier le fichier à transférer, valider ou refuser le transfert Procédure post-transfert En fin de transfert, une procédure peut être activée automatiquement sur le système initiateur, et / ou, sur le système correspondant Les procédures post-transfert peuvent être différentes en fonction de la fin, normale ou anormale, du transfert Les procédures post-transfert peuvent être externes (process utilisateur) ou internes (commandes de transfert cmft)
Exemple : Signature électronique Grace aux procédures pré-transfert et post-transfert, cmon peut intégrer automatiquement les systèmes de signature électronique du marché. cmon propose en option la signature LP7 de LE PERSONA (signature et horodatage solide basés sur des standards technologiques éprouvés) Document Word, Autocad, PDF, ML, Procédure Pré-transfert cmft cmft Procédure post-transfert Transfert Fichier LP7 xccli Serveur FTPS Fichier LP7 Le fichier LP7 contient le document d origine, ses signatures et toute sa traçabilité
Autres fonctions avancées Garantie d acheminement et gestion de l indisponibilité Pas de perte de commandes : dépôt des commandes de transfert dans une mailbox puis traitement asynchrone par le moniteur cmft Persistance du transfert : jusqu à l exécution ou l abandon manuel du transfert (reprises ou re-soumission automatiques du transfert) Gestion d adresse de secours : Alternate Pathing automatique (deux adresses IP différentes peuvent être définies par correspondant) Transferts automatiques par «scan» de répertoires Gestion de listes de diffusion Planification des transferts Gestion de tables de conversion de caractères (ASCII EBCDIC)
Support de plates-formes hétérogènes Fonctionnalités et interfaces identiques pour toutes les plates-formes : Mainframe : MVS, OS390, z/os, GCOS 8 Midrange : OS400, i/os UNI : AI, Solaris, HP-U, Linux (RedHat et SuSe) Windows (95 et suivantes) Netware (5.1 et suivantes) Trois modes de dépôts de commandes de transfert, avec la même syntaxe, pour l ensemble des plates-formes : Batch (.bat, script, jcl, ) API Manuel par l opérateur
Protocoles cmft est conforme au spécifications des protocoles suivants: FTP (RFC-959) cmon renforce la sécurité de FTP en proposant des fonctions de contrôle des correspondants, de gestion sécurisé des Login FTP, ainsi qu un système intégré de compression et de chiffrement des données (PKI) FTPS (RFC-2246 et RFC-2228) Sécurisation des échanges par SSL v3 Authentification forte par certificat 509 v3 Chiffrement de la session (systématique) et des données (optionnel) HTTP 1.0 (RFC-1945) et HTTP 1.1 (RFC-2616) Réception (GET) et Envoi (POST) Avec ou sans authentification (user/mot de passe RFC-2617) HTTPS Sécurisation des échanges par SSL v3
cmft: Au-delà de FTP FTP/Standard FTP/cMFT Gestion des transferts Déclenchement asynchrone Transferts binaire/texte/ebcdic Gestion de noms logiques des fichiers Envoi à des destinataires multiples Routage multi correspondants Gestion du parallélisme Reprises automatiques Sécurité Authentification des correspondants Contrôle d'accès Gestion sécurisée des Login/mot de passe Garantie d'acheminement Persistance des commandes Gestion d'adresse de secours Automatisation Déclenchement automatisé sur événement Scans de répertoires récursifs Planification et report Acquittement Traitement pré et post transfert synchronisé Gestion avancée des erreurs Pilotage Pilotage et contrôle à distance centralisé Centralisation possible des requêtes Suivi de bout en bout des échanges Historique des transferts Alerte Transport Compression des données Chiffrement des données
Gestion sécurisée des échanges de messages PMPI 03.31/2004 PDB cmq, le module de Message Queuing de la suite cmon
Problématique Besoins : Solution de gestion des échanges de messages en complément des transferts de fichiers Communication asynchrone entre applications réparties sur différents serveurs Garanties d acheminement, de sécurisation et d historisation des échanges de messages Indépendance vis-à-vis des plates-formes serveurs
Solution cmq : Solution de gestion des échanges de messages complémentaire au module cmft Solution basée sur une gestion de queues de messages sécurisées Garantie d acheminement des messages Sécurisation des échanges de messages Historisation complète des méta-données associées aux échanges Architecture modulaire Fonctionnement identique sur tous types de plates-formes
Principes d architecture Afin de s intégrer parfaitement aux règles de communication et de sécurité de l entreprise, trois types d architecture sont possibles : Point-to-Point : les serveurs applicatifs communiquent directement entre eux Hub-and-Spoke : les serveurs applicatifs communiquent entre eux via un serveur pivot (hub) qui peut ou non se trouver dans une DMZ Snow Flake : Configurations de type Hub-and-Spoke interconnectées Ces trois types d architecture peuvent être mixés et utilisés simultanément au sein d une même entreprise
Principe de fonctionnement 1 Dépôt de la commande de transfert de message (validation) 5 Transfert du message 2 Prise en compte asynchrone de l échange 6 Acquittement de réception de message 3 Stockage de la commande dans le catalogue, et du message dans la queue 7 Activation de process (optionnel) 4 Négociation avec le correspondant 8 Mise à jour catalogues et historiques 1 Mailbox 2 Queue 7 Activation de process cmq cmq 8 3 8 6 Acquittement Historique Catalogue Catalogue Historique 4 Négociation Queue Transfert du message Système Initiateur Send message 5 Receive message Système Correspondant
Mode de fonctionnement Échanges entre serveurs cmq exclusivement Traitement des messages Association de procédures externes ou internes (cmq ou cmft) à chaque queue de message: Activation automatique des procédures à chaque réception de message Paramétrage des procédures avec tout ou partie du message reçu Sérialisation possible des activations avec acquittement utilisateur Mise à disposition de messages pour les applications (API) Gestion des queues de messages : Nombre infini de queues de messages Gestion de la durée de vie des messages pour chaque queue
Fonctions clés Garantie d acheminement et gestion de l indisponibilité Pas de perte de commandes : dépôt des commandes d échange dans une mailbox puis traitement asynchrone par le moniteur cmq Persistance de l échange : jusqu à l exécution ou l abandon manuel de l échange (reprises ou re-soumission automatiques de l échange) Gestion d adresse de secours : Alternate Pathing automatique (deux adresses IP différentes peuvent être définies par correspondant) Traçabilité des échanges Historique des échanges Journal des événements
Fonctions clés (suite) Sécurisation des échanges Authentification Négociation préalable à l échange Accès protégé aux queues de messages Vérification de l intégrité du message Gestion de listes de diffusion Gestion de tables de conversion de caractères (ASCII EBCDIC)
Support de plates-formes hétérogènes Fonctionnalités et interfaces identiques pour toutes les plates-formes : Mainframe : MVS, OS390, zos, GCOS 8 Midrange : OS400, ios UNI : AI, Solaris, HP-U, Linux (RedHat et SuSe) Windows (95 et suivantes) Netware (5.1 et suivantes) Trois modes de dépôts de commandes d échange, avec la même syntaxe, pour l ensemble des plates-formes: Batch (.bat, script, jcl, ) API Manuel par l opérateur
cmessenger: Visualisation des échanges Visualisation sélective de messages Vue centralisée Queues de messages pré-définies Messages d erreurs des logs des moniteurs cmq et cmft
Gestion centralisée des échanges cwop, le module de Supervision unifiée de la suite cmon PMPI 03.31/2004 PDB
cwop : Principales caractéristiques Solution unifiée de supervision de la suite cmon: Configuration des moniteurs Administration des moniteurs Gestion des requêtes Vue centralisée des échanges fichiers et messages Surveillance Fonctionne sur une plate-forme Windows Profils : administrateur (plusieurs administrateurs simultanés possibles) utilisateur (requêtes d échanges uniquement)
cwop : Configuration des moniteurs Notions de configuration de travail et de configuration active Assistant à la définition (wizard) Génération automatique de configurations Distribution des configurations sur les moniteurs distants Prise en compte par les moniteurs sans interruption des échanges Archivage des configurations dans la base cwop Gestion automatique des éventuelles évolutions de syntaxe lors des montées de version
cwop : Administration des moniteurs Suivi de l activité des moniteurs Arrêt et redémarrage d un moniteur Visualisation des journaux d un moniteur Visualisation des paramètres de fonctionnement
cwop : Gestion des requêtes Trois types de requêtes Requêtes d échanges : fichiers et messages Requêtes de consultation des catalogues des échanges en cours Requêtes de consultation de l historique des échanges Requêtes définies et sauvegardées dans la base cwop Distribution des requêtes sur moniteurs distants pour exécution par les applications batch Possibilité de soumettre ou relancer un échange manuellement
cwop : Gestion des requêtes (suite) Gestion de communautés de moniteurs: Consultation du catalogue et de l historique des échanges pour un ensemble de moniteurs
cwop : Visualisation des échanges Vue en temps réel ou issue de l historique des échanges : Un moniteur ou une communauté de moniteurs Visualisation générale ou détaillée d un échange Click droit Bulle contextuelle de visualisation rapide
cwop : Surveillance Vue en temps réel : État de fonctionnement des moniteurs Messages d erreurs liés aux moniteurs Messages d erreurs liés aux échanges
Évolutions majeures à venir cmon 2007 PMPI 03.31/2004 PDB
Principales évolutions de la suite cmon Au-delà des fichiers et des messages un gestion encore plus globale des échanges de l entreprise étendue: Emails (SMTP et POP3) SMS cmq interfacé avec les principaux systèmes de MQ du marché Nouvelle interface d administration de type browser web (en complément de cwop sur windows)
Action Soft / AVITIS France 30 RUE DE GRAMONT 75002 PARIS TELEPHONE - +33.1.53.45.44.40 FA - +33.1.53.45.44.44 AVITIS Italie VIA NOMENTANA, 220 00162 ROMA TELEPHONE - +39.686.39.90.51 FA - +39.686.37.88.67 AVITIS Suisse AVENUE DES MORGINES,12 CH-1213 PETIT LANCY TELEPHONE - +41.22.879.62.00 FA - +41.22.792.39.82 WWW.ACTION-SOFT. COM / WWW.AVITIS.NET