Bilaga U 3 Nuläge och volymer

Transkript

1 Bilaga U 3 Nuläge och volymer stockholm.se Stadsledningskontoret It-avdelningen Ragnar Östbergs Plan Stockholm Växel

2 Innehåll 1 Inledning Nuvarande leverans i sitt sammanhang Om stadens gemensamma it-service (GSIT 1.0) Inkluderade verksamheter Nuvarande leveransmodell för datorer och terminaler 5 2 Beskrivning av nuläge och volymer Nuvarande infrastrukturtjänster Nuvarande arbetsplatssystem Nuvarande serverdrift för lokala verksamhetssystem Nuvarande Service Desk 71 3 Stadens förvaltningsorganisation Klientplattformar Grundläggande Infrastruktur Behörighet & Användarhantering Applikationsplattformar Integrationsplattformar Verksamhetsarkitektur It-säkerhet Öppna Data egis Sammanhållet användarstöd 90 4 Påverkande projekt, inriktnings-beslut eller målsättningar Projekt Inriktningsbeslut eller målsättningar 91 2 (92) Upphandling GSIT 2.0

3 1 Inledning Denna bilaga utgör en sammanställning av de nuvarande uppgifter som finns rörande stadens arbetsplatssystem, server- och applikationsdrift för lokala verksamhetssystem och Service Desk, vilka omfattas av upphandlingen för gemensam it-service. Stadens syfte med att tillhandahålla nedanstående uppgifter är att underlätta för anbudsgivare att göra en bedömning om åtagandets omfattning och komplexitet. Staden vill dock understryka att de uppgifter som redovisas i denna bilaga speglar ett nuläge, och inte innehåller några utfästelser avseende volym eller innehåll i framtida avtal. 1.1 Nuvarande leverans i sitt sammanhang Det är viktigt att förstå att leveransen av gemensam it-service endast är en av flera viktiga pusselbitar som behövs för att täcka stadens itbehov. Tillsammans skapas en helhet som spänner över ett stort antal olika tjänster från flera olika it-leverantörer. Dessa huvudleveranser täcks av avtalsområdena nedan: Gemensam it-service (GSIT 1.0): arbetsplatssystem, server- och applikationsdrift för lokala verksamhetssystem, samt Service Desk för dessa. Drift och förvaltning av centrala verksamhetssystem. Telefoni. Terminaler. Datakommunikation och nätverk. Service Desk, för drift och förvaltning av centrala verksamhetssystem, telefoni, terminaler och datakommunikation och nätverk. Programvarulicenser och licensadministration. Därutöver finns flera andra leverantörer som var och en inom sitt specialområde levererar olika typer av tjänster, system och applikationer till staden. Nära samverkan mellan samtliga dessa avtal och leverantörer är mycket viktigt för att uppnå en fungerande helhet. Stadsledningskontoret driver ett strukturerat arbete med leverantörsstyrning i etablerade samverkansmodeller. Upphandling GSIT (92)

4 Översiktlig leverantörskarta, stadens huvudleverantörer 1.2 Om stadens gemensamma it-service (GSIT 1.0) Nuvarande avtalet för gemensam it-service, GSIT 1.0, innehåller följande tre huvudområden. GSIT 1.0 levereras som tjänster, vilket innebär att staden i huvudsak inte avtalar om olika resurser, utan ersätter leverantören för en fungerande helhet där allting, inklusive hårdvara, ingår som funktioner i den tjänst nuvarande leverantör ansvarar för. Baserat på GSIT 1.0 kan verksamheter sedan använda olika system och tjänster som är unika för just deras verksamhet. GSIT 1.0 är i sig beroende av andra tjänster, exempelvis datakommunikationstjänster. GSIT 1.0 omfattar arbetsplatssystem inklusive hårdvara, samt utskriftshantering, server- och applikationsdrift för lokala verksamhetssystem. Kopplat till detta finns en nuvarande supportfunktion som hanterar såväl användares frågor som behov, beställningar, fakturaärenden, 4 (92) Upphandling GSIT 2.0

5 med mera kopplat till arbetsplatssystem och drift av lokala verksamhetssystem. 1.3 Inkluderade verksamheter GSIT 1.0 omfattar stadens hela verksamhet, med några få undantag. Det innebär att samtliga fackförvaltningar, stadsdelsförvaltningar och bolag i koncernen tar del av leveransen som totalt omfattar över verksamhetsställen, cirka anställda och elever. 1.4 Nuvarande leveransmodell för datorer och terminaler Staden har idag olika leveransmodeller för datorer respektive terminaler. För datorer köps arbetsplatssystemet som en tjänst inom GSIT 1.0 där nuvarande leverantör har ansvar för helheten avseende enheter, managering, applikationspaketering och hantering samt även självhjälpsportal och support. För terminaler är det en annan leveransmodell där staden har olika avtal för delar av leveransen. Enheterna omfattas av ett ramavtal där staden har möjlighet att förändra produktsortimentet och genomföra förnyad konkurrensutsättning en till två gånger per år för att följa den tekniska utvecklingen. I avtalet för Drift och förvaltning av centrala verksamhetssystem manageras terminaler och mobila applikationer via centrala verktyg baserade på stadens plattform. Inom samma avtal hanteras även självhjälpsportal och support för terminaler (mobiltelefoner och surfplattor), frågor som berör mobiltelefoner (IOS, Android och Windows) eller surfplattor (IOS och Android). 2 Beskrivning av nuläge och volymer 2.1 Nuvarande infrastrukturtjänster Nedan följer beskrivning av de nuvarande tjänster som är gemensamma för att tillhandahålla en grundläggande infrastruktur avseende lösningar för behörigheter och användarhantering, applikations- och integrationsplattformar, samt övriga infrastrukturella system och tjänster. Upphandling GSIT (92)

6 2.1.1 Stadens användarkatalog Active Directory (AD) Stadens användarkatalog baseras på Microsoft Active Directory och driftas och förvaltas av Volvo IT inom GSIT 1.0. Användarkatalogen och dess infrastruktur lagrar och hanterar information om bland annat användarkonton, behörighetsgrupper, datorer och certifikat. För att leveransen ska fungera tillsammans med övriga leverantörer innehåller användarkatalogen även kopplingar för utbyte av information, så kallade truster till övriga leverantörer. Förutom det AD som driftas och förvaltas av Volvo IT inom GSIT 1.0 finns det ytterligare AD:n som Tieto driftar och förvaltar inom avtalet för centrala verksamhetssystem. Övergripande arkitektur för stadens användarkatalog Active Directory (AD) Antal objekt som omfattas av stadens användarkatalog inom den nuvarande leveransen av GSIT 1.0 Typ av objekt Total volym Varav administrativa verksamheten omfattar Varav pedagogiska verksamheten omfattar Användarkonton (varav elever ) Datorer (92) Upphandling GSIT 2.0

7 2.1.2 Elektronisk identifiering (idportalen) Tjänsten idportalen är stadens lösning för identitetskontroll (autentisering) för webbapplikationer och skyddade sidor, vid användande av stadens resurser via internet, intranätet eller appar. Tjänsten används för medborgare, företag och stadens anställda och kontrollerar endast identiteten och tillämpningar (system/applikationer) som den aktuella identiteten har rätt att nå. IdPortalen gör att användaren av stadens tjänster slipper hantera flera olika identiteter och inloggningsmetoder med olika grafiska utseenden. Tjänsten innehåller ett antal programvaror vars uppgift bland annat är att kontrollera identitetsmetoder, identiteter, giltighet av dessa och att styra användaren till de tillämpningar han/hon är upplagd för. Tjänsten ger staden en metod för identifiering av alla sina användare. Det är en identifieringstjänst via vilken man som användare når skyddade resurser som tillhör staden, samtidigt som man spärrar personer som inte har behörighet. Identifieringen består idag av hårda certifikat, mjuka certifikat, SMS-inloggning, inloggningsdosor, användarid och lösenord, e- legitimation och federering (exempelvis Google, Facebook och SAML.v2). Siteminder från Netegrity utgör grunden i idportalen. IdPortalen driftas och förvaltas av Tieto inom avtalet för drift och förvaltning av centrala verksamhetssystem och ingår inte i GSIT Certifikathantering Nuvarande leverantör av GSIT 1.0 ansvarar för att proaktivt underhålla och förnya stadens certifikat och certifikatinfrastruktur. Underhåll och förändringar görs i samarbete med staden och med stadens utpekande leverantörer av certifikat. I detta ingår bland annat att nuvarande leverantör upprätthåller ett register över stadens certifikat och administrerar inköp av certifikat. Certifikatinfrastrukturen stödjer gällande PKI -standarder för inloggning, mail-, transport- och filkryptering samt signering. nuvarande leverantör följer stadens CP (Certifikatpolicy) som förvaltas av stadens informationssäkerhetsansvarige. Staden har cirka certifikat Stadens system för identitetshantering (IDM) Stadens IDM-system, som tillhandahålls av Volvo IT, består av flera olika komponenter. Systemet är baserat på en Microsoftprodukt Forefront Identity Manager (FIM), samt flera staden anpassade komponenter. FIM ansvarar för livscykelhantering av Upphandling GSIT (92)

8 användarkonton genom att skapa, uppdatera och ta bort konton, e- postbrevlåda, hemmakataloger och behörigheter i AD, Exchange och stadens filservrar. Bilden nedan beskriver hur IDM-systemet, serviceportalen (se utförlig beskrivning under 2.4.4) och Active Directory är sammankopplade hos Volvo IT. Utöver dessa system inkluderar diagrammet HR-system som tillhandahåller masterdata till IDMsystemet samt de målsystem där IDM hanterar livscykeln för användarkonton och behörigheter. Övergripande arkitektur för stadens IDM-system, serviceportal och AD Nedan följer kortfattade beskrivningar av de system och komponenter som illustreras i diagrammet HR-Systems Stadens administrativa system som levererar persondata till IDMsystemet, exempelvis namn, personnummer och KST (kostnadsställe). Staden har över 20 HR- och elevsystem, exempelvis Lisa, Agresso, Agda, Hanna och Bosko Staden IDM Nedan beskrivs stadens anpassade komponenter i IDM-systemet som Volvo IT utvecklat. Tratten HR-systemen skickar masterdata med personinformation till IDM-systemet via en säker FTP server (SFTP Area CSN i diagrammet). Data normaliseras och valideras av en komponent som kallas för Tratten. Normalisering krävs eftersom HR-systemen kan ha olika datamodeller för 8 (92) Upphandling GSIT 2.0

9 personinformation, exempelvis kan personnummer och namn registreras på olika format. Tratten skickar därefter vidare personinformationen till IDM-systemet. HR Data Loader HR Data Loader hanterar personer med flera anställningar samt huruvida användare är aktiva eller om de har slutat. Komponenten hanterar även kostnadsövertagande, vilket innebär att en persons behörigheter uppdateras om KST (kostnadsställe) ändras. Dynamic Group Handler Dynamic Group Handler är en komponent som hanterar tilldelning av behörigheter baserat på placering inom organisationen, vilket staden valt att kalla Verksamhetsnära tilldelning, ibland förkortat till VNT. ID Manager ID manager är en komponent som genererar unika användarnamn vilka används vid inloggning till stadens nätverk. Användarnamnet är en del av det persondata som används vid skapande av användarkonton i AD. Manager Manager genererar unika e-postadresser för stadens användare. De är en del av det persondata som används för att skapa e-postbrevlåda i stadens e-postsystem Exchange eller Office 365 Education Staden Exchange IDM-systemet skapar e-postbrevlåda i Exchange, vilka används av stadens användare för att skicka och ta emot epost. Exchange är även tätt integrerat med användarkatalogen AD Staden AD Se Stadens användarkatalog Active Directory (AD) ovan Resource Manager (RM) RM hanterar logik för att skapa och ta bort hemmakataloger baserat på information från IDM-systemet. Upphandling GSIT (92)

10 Serviceportalen Serviceportalen är en portal tillhandahållen av Volvo IT för att hantera beställningar och godkännanden. Serviceportalen används för ett flertal områden relaterade till IDM-systemet: Anställda som tillkommit via HR-systemen aktiveras via serviceportalen av behörig beställare och godkänns därefter av behörig godkännare innan användarkonto och e-postbrevlåda skapas i AD och Exchange. Behörigheter till applikationer och filsystem som inte tilldelats automatiskt av IDM-systemet kan beställas och godkännas via serviceportalen. Verksamhetsgrupper och behörighetsgrupper i AD administreras från serviceportalen. Det går exempelvis att knyta dynamiska verksamhetsgrupper till statiska behörighetsgrupper i systemet. Serviceportalen används som källsystem för konsulter och andra externa användare. Dessa användare registreras direkt i serviceportalen och skapas sedan i IDM-systemet genom SFTPkomponenten Office 365 Education Molnbaserad tjänst från Microsoft. Systemet hanterar e-post och dokument som en tjänst i molnet. Används av samtliga elever inom Stockholm stad för e-post, snabbmeddelande och personlig lagring. E-posten skapas och hanteras av stadens IDM-system Lösning för samlad kommunikation och samverkan Microsoft Lync (Skype for business) är en komponent i stadens nuvarande lösning för att realisera samlad kommunikation och samverkan. Lync är installerad på alla datorer i arbetsplatssystemet, samt kan via nedladdad app användas på de mobila enheter som manageras av staden. Lync är Microsofts kommunikationsplattform för chatt, närvaro, webbkonferenser samt integrerad telefoni (Telia, se nedan). På de mobila enheterna fungerar funktionerna chatt, ljud- och video samt dela dokument. Plattformen tillhandahålls av stadens nuvarande leverantör för arbetsplatssystemet (Volvo IT) som även sköter supporten för systemet. Nuvarande leverantör för telefoni (Telia) har integrationer mot Lync-plattformen med hjälp av en kompletterande programvara till Lync-klienten för att möjliggöra anslutning av det publika telefonnätet och göra det genomförbart att ringa till och från stadens 10 (92) Upphandling GSIT 2.0

11 datorer. Integrationen synkroniserar även närvaroinformationen i Lync med de hänvisningar som används i nuvarande telefonilösning. Övergripande infrastruktur för stadens Lync-miljö Komponenter i stadens Lync-miljö Pool 1, fysiska servrar: Lync 2013 Front-End Server tar hand om alla SIP-meddelanden och konferenser. Office Web App Server 2013 hanterar Powerpoint och online möten. Lync 2013 Edge Server hanterar extern trafik. Back-end SQL server tillhandahåller användarinformation och statistik. SQL Witness för automatisk felhantering mellan SQL servrarna. Watcher Node för övervakning och rapportering. Pool 2, virtuell server: Lync 2013 Standard Edition för Lync Phone Edition (LPE) och Lync Room System (LRS). Övriga komponenter: Active Directory Federation Service (ADFS, federeringstjänst). Threat Management Gateway (TMG, reverse proxy). Federerad partner är övriga leverantörer som staden har valt att integrera i den nuvarande lösningen. Detta gäller bland annat leverantören för drift- och förvaltning samt support gällande centrala verksamhetssystem (Tieto) som använder Lync-lösningen för användarsupport på distans (exempelvis via chatt eller Upphandling GSIT (92)

12 fjärrstyrning av stadens användare i felsökning- och felavhjälpningssyfte). Staden har planer på att gå över till en öppen federering framöver Datakommunikationsnät Datakommunikationsnätet S:t Erik Kom är Stockholms stads interna datanätverk och det baseras på ethernetteknologi med MPLS-VPN som avskiljningsmetod. Metoden är standardiserad (RFC 4364) och används bland annat av operatörer för att skilja olika kunder åt. Till S:t Erik Kom ansluts stadens alla förvaltningar och bolag, men även stadens tjänsteleverantörer. S:t Erik Kom byggs upp av fyra olika nivåer; core, distribution, access och LAN. Alla enheter i core- och distributionsnivåerna är placerade i utrymmen med gott skalskydd (inbrottslarm, kameraövervakning, översvämningslarm, UPS-kraft, med mera). Accessnivån är första enheten på en verksamhet och till denna ansluts de switchar som utgör LAN-nivån. Skalskyddet på accessoch LAN-nivå styrs av verksamheten men minimikravet är ett låsbart utrymme. Samtliga nätverkskomponenter i S:t Erik Kom är skyddade med ett behörighetskontrollsystem med personlig inloggning och hantering av komponenterna sker i ett avskilt MPLS-VPN. I core- och distributionsnivån används 10GigabitEthernet och GigabitEthernet på länknivå, medan det i access- och LAN-nivån används GigabitEthernet och FastEthernet. På LAN förekommer även trådlösa LAN (WiFi) som bygger på standarderna n eller ac. Ovanpå den fysiska infrastrukturen byggs logiska verksamhetsanpassade IP-baserade egenskapsnät. Egenskapsnäten avskiljs med MPLS-VPN-teknik på core- och distributionsnivå. Alla verksamheter som tillhör ett gemensamt egenskapsnät sammanlänkas med de standardiserade routingprotokollen IS-IS och BGP. På accessnivå tillämpas sedan i förekommande fall VLANteknik (IEEE 802.1Q) för att separera olika egenskapsnät. På LANnivå realiseras VLAN-tekniken genom att tilldela switchportar till respektive VLAN. Varje VLAN korreleras i distributionsnivån till rätt MPLS-VPN. Kommunikationen mellan olika egenskapsnät kontrolleras med regler och policys i de centrala brandväggarna utom i de fall där egenskapsnät har full åtkomst till varandra. Den trafiken hanteras direkt mellan olika MPLS-VPN. På det trådlösa LAN:et annonseras i huvudsak två SSID:n; wlan.stockholm.se och guest.stockholm.se. Guest.stockholm.se är en portallösning med webautentisering för konsulter, gäster och 12 (92) Upphandling GSIT 2.0

13 besökare. På wlan.stockholm.se sker autentisering med WPA2- Enterprise och 802.1x. För varje konsult och besökare krävs ett unikt användarnamn och lösenord, medan anställda behöver användar- eller maskincertifikat för att ansluta sig trådlöst. Egenskapsnäten kan antingen vara gemensamma för en grupp av verksamheter, som till exempel i fallet för alla MobileIronregistrerade enheter, eller unika för respektive verksamhet, till exempel edu-nätet för utbildningsförvaltningens alla elever. Varje verksamhet i staden har möjlighet till ett eget logiskt egenskapsnät separerat från andra verksamheter och säkerhetszoner med hjälp av brandväggar. Access till och från internet sker via stadens brandväggar och regelverket för dessa styrs av stadens IT-säkerhetspolicy. Ett tekniknät är ett verksamhetsanpassat egenskapsnät som antingen kan vara gemensamt för flera verksamheter eller unikt för en verksamhet. Verksamheten styr själva över regelverket för tekniknätet så länge det följer stadens IT-säkerhetspolicy. Ett egenskapsnät kan sträcka sig över så många verksamhetsställen som en verksamhet önskar. Grundregel är att varje verksamhetsställe bildar sin egen broadcastdomän, det vill säga verkssamhetsställena inom ett egenskapsnät tilldelas varsitt unikt IP-nät. Samtliga komponenter i S:t Erik Kom har stöd för transport av multicastbaserad trafik, men endast vissa egenskapsnät har multicast konfigurerat och aktiverat. Core, brandväggsmiljö, internetanslutning, DHCP-servrar och liknande nyckelfunktioner är fullt redundanta, vilket innebär att alla enheter är dubblerade och fysiskt åtskilda. Komponenterna i distributionsnivån har viss redundans i form av dubbla kraftaggregat men är i sig inte redundanta. De är redundant anslutna mot varandra och mot corenivån med Stokabs fiberinfrastruktur. Komponenterna i access- och LAN-nivån är i regel inte redundanta, förutom på verksamheternas huvudkontor, där accessen är redundant med både dubblerade enheter och fiberanslutningar. LAN-switcharna på huvudkontoren är redundant anslutna till accessnivån med dubbla fiberanslutningar. Upphandling GSIT (92)

14 2.1.7 Datalagring Staden har idag en fullt övervakad datalagringstjänst för arbetsplatssystemet, vilken möjliggör att lagra både användardata (hemmakatalog) och delad data (gruppdiskar) med garanterat bibehållen dataintegritet. Datalagringslösningen inkluderar olika nivåer av lagring för att kunna möta olika förväntningar på kostnad, tillgänglighet, återställning, prestanda och skalbarhet för framtida tillväxt. Det finns ett antal lagringsklasser som var och en erbjuder olika nivåer av service. Dessa är idag: Affärskritisk lagring. Denna lämpar sig för lagring av affärskritiska data med höga krav på tillgänglighet och skydd mot katastrof (Speglas i redundant driftsmiljö). Affärsviktig lagring, vilken lämpar sig för lagring av data med höga krav på tillgänglighet. Volymdatalagring är en lagringstjänst som är lämplig i miljöer med behov av lagring för mindre kritisk data i större volymer och mindre krav på tillgänglighet. Samtliga lagringstyper inkluderar säkerhetskopior som lagras på en primär enhet och enkelt kan återställas av användarna själva. Parallellt finns också Snap Vault Snapshots, det vill sägas ögonblicksbilder lagrade som säkerhetskopior på centrala datacenters. 14 (92) Upphandling GSIT 2.0

15 Datalagring för arbetsplatssystemet per lagringsklass Volym i terabyte 2014 Lagringsklasser Jan Feb Mar Apr Maj Jun Jul Aug Sep Okt Nov Dec Totalt Affärsviktig 107,4 109,2 111,8 113,8 117,3 116,2 126,4 124,5 122,8 125,4 127,5 130,5 Volymdata 46,4 44,8 46,8 49,1 54,1 55,2 60,8 59,3 55,8 58,8 62,6 65,5 Varav administrativa verksamhetens volym är Affärsviktig 67,1 68,1 69,9 71,4 73,8 71,7 81,5 78,3 78,1 79,1 80,7 82,7 Volymdata 29,3 27,1 28,0 28,8 30,2 29,3 33,1 31,4 31,0 31,2 32,1 33,3 Varav pedagogisk verksamhetens volym är Affärsviktig 40,3 41,1 41,9 42,4 43,5 44,5 44,9 46,2 44,7 46,3 46,8 47,8 Volymdata 17,1 17,7 18,8 20,3 23,9 25,9 27,7 27,9 24,8 27,6 30,5 32, Integrationsplattformar Stockholms stad har två stycken integrationsplattformar för att hantera informationsöverföring mellan verksamhetssystem och logik för e-tjänster. SOA-plattform, hanteras av Volvo IT inom avtalet för GSIT 1.0. Filöverföring, hanteras av Tieto inom avtalet för drift och förvaltning av centrala verksamhetssystem: BizTalk FTP - Filöverföring 2.0. Cerberus FTP ftp.stockholm.se. Integrationstjänst TEIS (Tieto Enterprise Integration Server). TEIS är under avveckling och kommer ersättas av filöverföringstjänsten i den serviceorienterade arkitekturen. Staden håller på och etablerar Biztalk och Sentinet även inom avtalet för drift och förvaltning av centrala verksamhetssystem. SOA-plattformen är en central plattform och kan i det avseendet i princip likställas med id-portalen, vilken idag finns inom avtalet för drift och förvaltning av centrala verksamhetssystem. Upphandling GSIT (92)

16 SOA-plattformen Här beskrivs vilka komponenter som ingår i stadens SOA-plattform samt en generell beskrivning av de enskilda komponenterna och vad de används till i dagens SOA-plattform. Som integrationsmotor och plattform för olika tjänster har staden idag Microsoft BizTalk. SOA-plattformen består i huvudsak av två stora delar, BizTalk Server 2010 och Sentinet. En e-tjänst (intern eller extern) anropar en webbtjänst som är virtualiserad i Sentinet för att hämta eller lämna data till ett verksamhetssystem. Möjligheten att lämna eller hämta filer sköts via BizTalk. Så här ser den förenklade arkitektoniska plattformen ut idag. Bilden visar plattformen utan tjänster men visar flödet med de centrala komponenterna. BizTalk Server BizTalk Server är Microsofts integrationslösning som ger möjlighet att ansluta olika heterogena system. Sentinet Sentinet möjliggör tjänstevirtualisering (service virtualization) genom en tjänsteförvaring (service repository) för att snabbare kunna driftsätta tjänster, koordinera ändringshantering samt maximera återanvändningen av olika tjänstemoment. 16 (92) Upphandling GSIT 2.0

17 ESB Guidance BizTalk ESB Toolkit 2.1 är en samling verktyg och bibliotek som utökar BizTalk Server 2010 funktioner för att stödja löst kopplade och dynamiska arkitekturer för meddelandehantering. AppFabric Windows AppFabric är en applikationsserver som är värd för affärslogiken (program eller tjänster) i en flerlagers-arkitektur och har en uppsättning funktioner för att bygga robusta lösningar. WCF Windows Communication Foundation är en programmeringsplattform och ett system för att bygga, konfigurera och driftsätta distribuerade tjänster. BAM Business Activity Monitoring (verksamhetsövervakning) Inriktningsbeslut Enligt ett inriktningsbeslut kommer SOA-plattformen flyttas från GSIT 1.0 till avtalet för drift och förvaltning av centrala verksamhetssystem för att hålla ihop de centrala plattformarna. Planen är att flytten genomförs under första kvartalet Filöverföring 2.0 Filöverföring 2.0 är en generell integrationslösning för kontrollerad filöverföring i Stockholm stads SOA-lösning. Blockschema som visar FileTransfer med alla in- och utportar och administrationsgränssnitt. Upphandling GSIT (92)

18 ftp.stockholm.se Ftp.stockholm.se är tjänst för lagring av filer via FTP. FTP är ett plattformsoberoende filöverföringsprotokoll som möjliggör överföring och mellanlagring av filer från olika system och parter. Överföring kan ske både internt och externt. Med hjälp av FTPtjänsten kan integrationer som bygger på filöverföring hanteras. Tjänsten används också för att flytta stora filer Integrationstjänst TEIS Tjänsten omfattar en integrationsplattform för automatiserad (händelse- eller tidsstyrd) filöverföring dels mellan stadens system och med omvärlden som till exempel Skatteverket, Riksförsäkringsverket, Statistiska centralbyrån. TEIS är under avveckling och kommer ersättas av filöverföringstjänsten i den serviceorienterade arkitekturen E-tjänsteplattform För att skapa relationer till medborgaren och andra aktörer som behöver använda stadens tjänster har staden en e-tjänsteplattform som kan användas för såväl externa som interna e-tjänster. Stadens gemensamma e-tjänsteplattform omfattar även ramverk och riktlinjer för att utveckla e-tjänster samt interagera med verksamhetssystem. Merparten av stadens e-tjänster utvecklas på e- tjänsteplattformen men det finns även ett antal e-tjänster som utvecklas på CRM-plattformen. CRM är i dessa fall verksamhetssystem med interaktion mot medborgarna i e- tjänsteplattformen. Arkitekturen för e-tjänsteplattformen bygger på två principer: Princip 1: e-tjänsteportalen baseras på Microsoft/SharePoint och definierar plattformen för utveckling av presentation, ärendehantering, dokumenthantering, sökning, wikis, bloggar, samarbetsytor med mera. Princip 2: SOA-plattformen (se avsnitt ) definierar hur e- tjänsten interagerar med stadens verksamhetsprocesser och verksamhetssystem. Användaren använder en e-tjänst på webben. E-tjänster använder SOA-tjänster i SOA-plattformen för att hämta information, utföra operationer eller lämna information till verksamhetssystemen. SOA-tjänsterna ansvarar för kommunikation med verksamhetssystemen. 18 (92) Upphandling GSIT 2.0

19 E-tjänsteplattformar inklusive söktjänst Staden har i nuläget tre olika driftsmiljöer: Driftsmiljön för interna e-tjänsteplattformen som har tjänsterna för interna e-tjänster Driftsmiljön för externa e-tjänsteplattformen som har de externa e-tjänsterna Ny driftsmiljö som innehåller söktjänsten samt samarbetsytorna Nuläge Maj 2015 De tjänster som idag ligger på interna e-tjänsteplattformen och externa e-tjänsteplattformen är planerade att migrera till nya miljön under 2016 till första kvartalet På interna e-tjänsteplattformen är de interna e-tjänsterna planerade att migreras under På den externa e-tjänsteplattformen så är de externa e-tjänsterna planerade att migreras Driftsmiljön hanteras för närvarande av Volvo IT inom avtalet för GSIT 1.0 (se vidare om inriktningsbeslut nedan). Upphandling GSIT (92)

20 Intern e-tjänsteplattform På den interna e-tjänsteplattformen ligger idag tjänsterna för interna e-tjänster som exempelvis Systemstöd Stora Investeringsprojekt (SSIP), DIS och Kaskelott samt tjänsten samarbetsytor som även omfattar dokumenthantering. Den interna e-tjänsteplattformen baseras på Microsoft SharePoint 2010 och omfattar 9 webb-/applikationsservrar och 2 SQLdatabaser Samarbetsyta Konceptet samarbetsytor ingår i de samarbetstjänster som finns i Microsoft SharePoint. I en samarbetsyta kan man skapa bibliotek, wikis, länksamlingar, dokumentlager, listor, kalendrar, bloggar, forum, etcetera. Samarbetsyta är en webbaserad lösning som underlättar samarbete och att dela dokument och information på webben. Lösningen möjliggör att bolag/organisationer/grupper inom Stockholms stad kan ha sina egna kollaborativa webbsidor där information kan delas oavsett tidpunkt eller plats. Med en samarbetsyta kan virtuella team enkelt spara och dela dokument, samt ha anpassade listor med varierande information som till exempel länkar, kontakter, kalendrar, uppgifter eller diskussioner. Tjänsten har nära koppling till arbetsplatssystemet och de närliggande tjänsterna för e-post, chat och virtuella konferenser samt även det supportflöde för stadens användare som använder dessa tjänster. Kontaktlistor och kalenderinformation kan exempelvis synkroniseras med Microsoft Outlook eller andra kompatibla program och det finns möjligheter att skapa aviseringar om någon information ändras på en eller flera samarbetsytor. Tjänsten är främst avsedd för stadens interna användare. Behörigheterna sköts direkt av ägarna/administratörerna i en samarbetsyta. Vid skapandet krävs en primär och en sekundär ägare som blir administratörer. Dessa kan ändras senare och fler administratörer kan läggas till. Användarna kan ges olika behörigheter beroende på om de ska ändra information eller bara ta del av information på samarbetsytan. Det finns även möjlighet att ge externa parter åtkomst. Dessa ska i dagsläget ha e-legitimation och logga in via stadens centrala inloggningsfunktion (idportalen). I samarbetsportalen kan medarbetare inom Stockholms Stad beställa samarbetsytor, få hjälp med frågor, hitta hjälpguider, hitta samarbetsytor, etcetera. 20 (92) Upphandling GSIT 2.0

21 Det finns möjlighet att med hjälp av mallar automatiskt skapa en samarbetsyta. Idag finns mallar för fyra specifika områden: Avdelnings- eller enhetsyta - är till för organisationer eller grupper som vill utbyta information, dela dokument, planera i en gemensam kalender eller bygga en kunskapsbank. Forum - skapar en yta där användare kan ställa och svara på frågor utifrån forumets bestämda ämne. Nätverk - är till för dem som samverkar inom ett nätverk och ger möjligheter att skapa en gemensam kalender, dela dokument, arbeta i en gemensam kunskapsbank och göra utskick. Projekt - genererar en yta där man kan skapa tidslinjer, dela dokument och göra utskick. En samarbetsyta är anpassad för olika typer av enheter och det är möjligt att redigera dokument direkt i webbläsaren via Office Web Apps. Besöksstatistik fås genom stadens centrala webstatistiktjänst, idag WebTrends. Samarbetsytan är från första halvåret 2015 baserad på Microsoft SharePoint Samarbetsytorna består för närvarande av 897 siter, innehåller 180 GB data och har cirka 4000 unika besökare Extern e-tjänsteplattform På den externa e-tjänsteplattformen ligger externa e-tjänster som exempelvis skolval, mina fakturor, söka kollo och anordnarwebben. För närvarande finns ett 50-tal externa e-tjänster. Den externa e-tjänsteplattformen baseras på Microsoft SharePoint 2010 och omfattar 11 webb-/applikationsservrar och 4 SQLdatabaser Söktjänst Söktjänsten är en Enterprise search som kan användas inom en mängd olika områden. Den kan bland annat användas för att söka igenom data från källor som gruppdisk, diskussionsforum, databaser, intranät och samarbetsytor. Söktjänsten innefattar tre underliggande källor: Ett urval av gruppdiskar inom staden. Dokument lagrade på samarbetsytan. Webbsidor/information ifrån stadens intranät. Tjänsterna är standardiserad och ligger i SharePoint Upphandling GSIT (92)

22 Ny driftsmiljö Den nya miljön är uppsatt för att möjliggöra en migrering av driftsmiljöerna för interna och externa e-tjänsteplattformarna till en konsoliderad miljö i SharePoint Än så länge finns samarbetsytorna och söktjänst i denna miljö. Söktjänsten är tänkt att ersätta befintlig söktjänst för staden men är än så länge endast i uppbyggnadsfas i väntan på att stockholm.se och intranätet ska byta söktjänst. Den nya miljön baseras på Microsoft SharePoint 2013 och omfattar 17 webb-/applikationsservrar men inga egna SQL-databaser då miljön använder databaserna i den externa e-tjänsteplattformen Inriktningsbeslut Ett inriktningsbeslut har tagits av staden om att flytta e- tjänsteplattformen till avtalet för drift och förvaltning av centrala verksamhetssystem men att behålla samarbetsytorna under avtalet för GSIT 1.0. Målbild 2017 Detta innebär att interna e-tjänster, externa e-tjänster och SÖKtjänsten flyttas till avtalet för drift och förvaltning av centrala verksamhetssystem och att samarbetsytor inklusive dokumentbibliotek behålls inom avtalet för GSIT CRM CRM är stadens plattform för kundhantering och på plattformen ligger ett antal applikationer och ett antal e-tjänster, bland annat söka sommarjobb och söka kollo. It-stödet för CRM utgörs av Microsoft Dynamics CRM. CRM-plattformen består av gemensamma plattformsfunktioner för stadens CRM tjänster. CRM-plattformen består även av ramverk för grundläggande arkitekturen och hur miljöerna ska vara uppsatta. CRM-plattformen omfattar följande: CRM arkitektur omfattar applikationslager, plattformslager, databaslager och rapportlager. 22 (92) Upphandling GSIT 2.0

23 Fysisk arkitektur omfattar hårdvarukomponenter som CPU, minne, hårddisk, servervirtualisering och brandväggar. Infrastrukturkomponenter omfattar infrastrukturkomponenter som staden har och som applikationer i CRM plattformen behöver. Ramverk för CRM-tjänster beskriver hur tjänster bör utvecklas och driftsättas för att nyttja befintlig miljö. CRM-plattformen hanteras av Tieto inom avtalet för drift och förvaltning av centrala verksamhetssystem Tjänst för tillgängliggörande av applikationer för klienter I nuläget bygger tjänsten på produkter från Citrix Systems. Tjänsten innebär att applikationsserverdriften utökas med en drifttjänst av ett så kallat citrixlager, där lokala applikationer kan installeras och tillgängliggöras internt eller externt till användaren utan att applikationen behöver distribueras till klienten. Användarna når applikationerna via ett webbgränssnitt eller appar. Tjänsten innebär också att det finns en gemensam citrixinfrastruktur tillgänglig för vissa centrala komponenter såsom: Databaser för farminformation Netscaler Storefront XenApp XenDesktop Controller Receiver CSG Web interface EdgeSight Integration mot licensserver Rapportverktyg Förutom nuvarande tjänst för tillgängliggörande av applikationer för klienter inom GSIT 1.0 finns det även citrixmiljöer som är driftade och förvaltade av Tieto inom avtalet för drift och förvaltning av centrala verksamhetssystem. Staden samordnar mellan nuvarande leverantör och Tieto för att uppnå ett likartat användargränssnitt för användarna. Se även Fjärrarbetsplats. Upphandling GSIT (92)

24 Intern Person och Attributskatalog (IPAK) Inom staden finns det många olika källor för användardata och för att skapa en helhetsbild och förenkla informationshanteringen har IPAK tagits fram. IPAK hämtar data från källsystemen för att garantera kvaliteten på informationen. Samma system kan vara både födande källsystem av data till IPAK och konsumerande system av information ifrån IPAK. Till exempel kan nuvarande leverantör hämta information ifrån IPAK om stadens anställda och sedan som källsystem föda IPAK med data om e-postadress och användarid. I nuläget är Tieto ansvarig leverantör för IPAK inom ramen för avtalet för drift och förvaltning av centrala verksamhetssystem Ägandeskap av data IPAK i sig äger inte något data och det behövs alltid ett godkännande av källsystemet innan information delges till något annat system. Detta betyder också att felaktigheter som finns i data på IPAK ska rättas inom respektive källsystem. Hur data får hanteras för respektive konsumerande system och källsystem säkerställs via att bägge parter följer en framtagen och dokumenterad process Användningsområden Exempel på behov som IPAK kan uppfylla: Filer för att ge information till specifika målgrupper, till exempel listor till chefer för utskick. Tillhandahålla grunddata kring användare för användning i stadens övriga system. Skicka över information för specifika händelser, till exempel när en person blir nyanställd kan en notis gå till ett system som förser den nyanställda med information om Stockholms stad. 24 (92) Upphandling GSIT 2.0

25 Exempel på hur källsystem och konsumerande system använder och föder IPAK Identitetshantering (NEIM) Identitetshantering (Nordic Edge Identity Manager/NEIM plattform) är en lösning som ska ge flexibilitet för användare vid hantering av information i till exempel LDAP-baserade register. Det är en plattform för olika webbgränssnitt för möjliggörande av administration av objekt i anslutna katalogtjänster. Tjänsten omfattar även ett behörighetsgränssnitt. Förutom NEIM ingår även tilläggstjänster för synkroniserings- och rapportfunktion samt plattform för lösenordshantering. Synkroniserings- och rapportfunktion omfattas av Nordic Edge Automatic Account Manager. NEIM finns med ibland de verktyg/applikationer som stödjer IPAK och e-tjänsteplattformen på integrationsplattformen. NEIM driftas och förvaltas av Tieto inom avtalet för drift och förvaltning av centrala verksamhetssystem och ingår inte i GSIT Nuvarande arbetsplatssystem Arbetsplatssystemet är en fullständig och standardiserad klientmiljö som är utformat för att tillmötesgå behoven hos användarna inom Stockholms stad, avseende tillgång till resurser, system, applikationer och övriga tjänster inom stadens nätverk. Tjänsten innefattar leverans och förvaltning av en komplett arbetsplats, som erbjuder användarna olika hårdvarupaket med fullständigt underhåll genom hela livscykeln. Med arbetsplatssystem avses datorer, tillbehör som skärm och tangentbord, grundläggande programvara som Windows och kontorsprogram, möjlighet att göra utskrifter samt alla de stödsystem och åtgärder som nuvarande leverantör vidtar för att datorerna ska fungera som tänkt. Upphandling GSIT (92)

26 På samtliga datorer i arbetsplatssystemet är arbetsplatsklienten installerad, vilken möjliggör för datorn att interagera med arbetsplatssystemets klientplattform. Klienten är baserad på operativsystemet Windows 7 64-bitars Enterprise Edition. För cirka 100 bärbara datorer med touchskärm och löstagbart tangentbord finns Windows 8 64-bitars installerat. Klienterna i arbetsplatssystemet kan konfigureras på flera olika sätt, så att slutanvändaren erbjuds ett urval av klienttyper, som passar olika behov och användningsområden. Utöver datorer med tillbehör finns ett stort antal bakomliggande komponenter som användaren inte ser, men som är absolut nödvändiga för att arbetsplatssystemet ska ha den funktionalitet som avtalats. Exempel på detta är: Säker identifiering och inloggning, i form av tjänstekort eller via användarid/lösenord. Behörighetstilldelning till mappar, filer och system. E-post och gemensam kalenderfunktion. Datalagring och säkerhetskopiering. Virusskydd och andra säkerhetslösningar. Skrivarköer och service Antal enheter i arbetsplatssystemet Enheter Totalt antal Sep 2015 Varav administrativa verksamheten omfattar Varav pedagogiska verksamheten omfattar Klienter Arbetsplatssystemets tjänstekomponenter Arbetsplatssystemets tjänstekomponenter Beskrivning Användaridentiteter Inkluderar olika kontotyper, inloggningsmetoder och rollbaserad styrning av rättigheter. Klient Infrastruktur, hårdvara, operativsystem och konfiguration av klient som möjliggör för slutanvändaren att få tillträde till arbetsplatssystemets tjänster. I tjänstekomponenten Klient inkluderas också utskriftstjänst och datalagring. 26 (92) Upphandling GSIT 2.0

27 Arbetsplatssystemets tjänstekomponenter Beskrivning E-post och samarbetstjänster Tjänster som möjliggör kommunikation och virtuellt samarbete inom arbetsplatssystemet. Tillvalstjänster Servicealternativ, engångsbeställningar. Kursmaterial Övnings-och informationsmaterial för slutanvändarna. Ovanstående komponenter beskrivs mer detaljerat nedan Beställning av tjänster Tjänsterna i arbetsplatssystemet beställs via serviceportalen Användaridentiteter Tjänsten för administration av användaridentiteter och -rättigheter tillhandahåller en svit av basfunktionalitet för intern identitetshantering. Basservicen inkluderar: Hantering av användarid genom hela livscykeln Denna tjänst innebär skötsel av enskilda användare. Varje användare får ett unikt alfanumeriskt idnummer/användarnamn, som används för identifiering och lagras i arbetsplatssystemets katalogtjänst. Personligt id. Ett personligt id är unikt och tillhör en med säkerhet identifierad person. Minsta nödvändiga attribut för att ett användarid ska vara giltigt är uppgift om personnummer, namn och företag. För specifika system eller tjänster kan ytterligare attribut krävas. Icke-personligt id. Ett icke-personligt id är unikt, men inte knutet till en identifierad person och det används i situationer där det krävs anonymitet (exempelvis vid genomförandet av enkäter), eller där tillgång till arbetsplatssystemet behövs för en tillfällig användare, till exempel en vikarie. Lösenordshantering Denna tjänstekomponent hanterar alla lösenordsrelaterade uppgifter. Lösenord kan bytas på begäran eller när behov uppstår (till exempel om användaren skulle glömma sitt lösenord). Lösenordsadministration medför också uppförande och upprätthållande av regler för lösenord. Upphandling GSIT (92)

28 Förstagångslösen. För alla konton skapas en förstagångslösen enligt aktuella regler för lösenord. Det tillhandahålls användaren, som vid första inloggningen ombeds att ändra detta lösenord till ett eget. Byte av lösenord. En användare kan själv byta sitt lösenord under en inloggningssession på det egna användarkontot. Detta sker genom inmatning av aktuellt lösen, åtföljt av det nya. Återställning av lösenord. Om en användare skulle glömma sitt lösenord eller är frånvarande under en period då lösenordet förfaller, kan återställning av lösenord göras via Service Desk eller serviceportalen. Förfallet lösenord. Återställning av lösenord görs via Service Desk eller serviceportalen. Planer finns även på att införa möjlighet till återställning av lösenord med hjälp av autentisering via mobiltelefon. HR-integration Funktionen för identitetshantering är integrerad med alla stadens system för personaladministration (HR-resurser). Information från personaladministrationen skickas ut till funktionen för identitetshantering i intervaller enligt avtal mellan parterna. HRresursen är förbunden att uppge information som start/slutdatum för en anställning, namn på den anställde, organisationstillhörighet med mera Verksamhetsnära tilldelning (VNT) Verksamhetsnära tilldelning är en tjänst för att minska manuell hantering av användargrupper och datorer på olika nivåer, samt även minska manuell hantering av tilldelning av slutanvändartjänster. Verksamhetsnära tilldelning hanterar skapande av gruppdefinitioner för användare och datorer i infrastrukturen. Detta både automatiskt (baserat på attribut främst från HR-system) och manuellt. Grupperna kan definieras på flera nivåer. Dessa grupper kan sedan automatiskt eller manuellt kunna kopplas till olika slutanvändartjänster som till exempel e-postlistor, gruppdiskar och klientapplikationer Active Directory Se avsnitt Stadens användarkatalog Active Directory (AD) Rights Management Service (RMS) Rights Management Service (RMS, tjänst för hantering av behörigheter) hjälper användare att förhindra att information hamnar i orätta händer på grund av slarv eller annan händelse. Applikationer såsom kontorsprogram, e-postklienter och affärssystem kan utökas med RMS för att skydda digital information från obehörigt tillträde både online och offline, samt 28 (92) Upphandling GSIT 2.0

29 både innanför och utanför brandväggen. Staden kan välja bland en rad olika behörighetsnivåer för att exakt kunna styra hur en mottagare kan använda en viss information och hur länge. Rights Management Services hjälper till att uppfylla kraven på rättslig standard inom informationsskydd. Genom ett konstant skydd av alla former av binära data eliminerar det obehörig granskning och/eller distribution av känslig information och minskar risken för förlust av upphovsrättsskyddat material. Användarrättigheterna förblir kopplade till data även vid förflyttning, vilket möjliggör att de åter kan träda i kraft när informationen har nått behörig användare. RMS är paketerat för arbetsplatssystemets plattform och är endast tillgänglig för användare inom arbetsplatssystemet. Användaren måste ha mjukvaran för RMS installerad för att kunna skapa RMS-skyddade dokument, samt att kunna läsa sådana dokument skapade av andra Basmallar Mallar används för att tilldela olika behörighetsnivåer till olika individer eller grupper för deras dokument. I nuläget är denna tjänst endast tillgänglig för Microsoft Office-dokument som Word, Excel, Powerpoint och Outlook En dokumentägare kan använda sig av en av följande tre metoder för att sätta behörigheter: Standardbehörigheter applicerbara på alla användare (som exempelvis läsa eller ändra). Skräddarsydda kombinationer av behörigheter för specifika individer eller grupper av användare. Mallar skapade av en RMS-administratör, i syfte att utdela en fördefinierad uppsättning av behörigheter till specifika individer eller grupper av användare Anskaffning Samtliga hårdvarupaket har i GSIT 1.0 funnits tillgängliga för leasing på antingen 24-, 36- eller 48-månadersperiod. Lämplig mjukvarulicens medföljer beroende på vilken enhet/skola beställningen avser. Datorer och kringutrustning beställs via serviceportalen Installation och leverans Leverans av dator sker normalt inom åtta dagar från beställning. Den levereras paketerad, färdig för inkoppling och användning Upphandling GSIT (92)

30 inom arbetsplatssystemets plattform. Detta är inkluderat i standardtjänsten och därmed kostnadsfritt. Det är också möjligt att, mot en extra kostnad, beställa installation av datorn. Detta inkluderar uppackning av varan, samt fysisk installation på plats. För uppackning och installation av flera datorer på samma plats utgår en standardavgift för den första enheten, därefter reducerat pris för varje påföljande enhet. Det är möjligt att beställa expressleverans av datorer. Med denna metod levereras datorn inom åtta timmar efter beställning. Expressleveranser är begränsade till 20 datorer per vecka inom staden Asset management Datorer hanteras inom nuvarande leverantörs materialförvaltningssystem. Genom detta säkerställs optimal användning, kontroll och spårbarhet genom hela användningscykeln Inbyte och återvinning Nuvarande leverantör upprättar i nära samarbete med staden en förnyelseplan. Genom materialförvaltningssystemet hanteras inbyte, återvinning och skrotning av utrustning, i enlighet med nuvarande leverantörs krav på miljöstandard Hantering av klienten Hantering av klienten inkluderar hanteringen av Change Management, Incident Management and Problem Management enligt ITIL v3. Samtliga incidenter rapporteras till Service Desk. Incidenter prioriteras och löses efter allvarsgrad och gällande servicenivå. Operativsystemet säkerhetsuppdateras regelbundet för att minimera risker och maximera säkerheten Klienthårdvara inklusive volymer Hårdvaran erbjuds i olika kategorier. Varje dator är installerad med arbetsplatssystemets klientplattform, som för användaren möjliggör tillträde till Stockholms stads it-system. Samtliga hårdvaruenheter har ett unikt idnummer. Dessa idnummer plus kontaktinformation lagras i nuvarande leverantörs inventarielista för utrustning. Datormodellerna uppdateras enligt nuvarande leverantörs utrullningsplan för hårdvara där staden har möjlighet att påverka 30 (92) Upphandling GSIT 2.0

31 vissa delar, till exempel om staden ser ett stort behov av större disk på en Skolarbetsplats. Kategorier av stationära datorer Kategori Funktionalitet Totalt antal Sep 2015 Varav administrativa verksamheten omfattar Varav pedagogiska verksamheten omfattar Lätt En enkel stationär dator med lågt pris. Modellen möter de verksamheter som har behov av många enheter snarare än maximal prestanda Normal Standarddator för administrativ användning. Ger en god arbetsmiljö för den stora majoriteten av stadens administrativa användare, där vissa är sällananvändare, men andra ägnar större delen av dagen åt arbete vid datorn Avancerad En standarddator med extra prestanda för den som har enstaka något mera prestandakrävande applikationer, exempelvis ekonomisk analys eller bildbehandling Arbetsstation Maximal prestanda för den som använder CAD eller avancerade bild- och videobehandling som ställer mycket stora krav på datorns prestanda Summa Upphandling GSIT (92)

32 Nuvarande leverans av hårdvara Kategori Hårdvara Lätt Dell Optiflex 3020 SFF Processor: Intel Dual Core Minne: 4 GB Hårddisk: 500GB (7200Rpm) Normal Dell Optiflex 3020 SFF Processor: Intel Dual Core Minne: 4 GB Hårddisk: 500GB (7200Rpm) Avancerad Dell Optiflex 7020 SFF Processor: Intel Pentium Dual Core G3240 (3.1GHz) Minne: 8 GB (2*4) Hårddisk: 500 GB (7200Rpm) Grafik: AMD Radeon R5 240, 1GB Arbetsstation Dell Precision T5810 Processor: Intel Xeon E (3.0 GHz, 4 Core, 10MB cache) Minne: 16 GB (4*4) Hårddisk: 500 GB (7200Rpm) Grafik: 512 MB NVIDIA Quatro NVS 310 Alla stationära datorer levereras med mus, tangentbord med integrerad kortläsare och ett ljudkort installerat och aktiverat. Kringutrustning såsom DVD-RW finns som beställningsvara till kategori Lätt och Normal, men ingår i leveransen av kategori Avancerad och Arbetsstation. Det går också bra att utöka internminnet (RAM). Standardbildskärmens storlek är 19 tum, med möjlighet att uppgradera till 22 respektive 24 tum. Samtliga stationära datorer levereras med Windows 7 Professional OEMlicens. 32 (92) Upphandling GSIT 2.0

33 Kategorier av bärbara datorer Kategori Funktionalitet Totalt antal Sep 2015 Varav administrativa verksamheten omfattar Varav pedagogiska verksamheten omfattar Ultralätt Mycket liten bärbar dator med låg vikt som ändå fungerar som en fullt fungerande bärbar dator med standardoperativsystem, skärm och vanligt tangentbord (ej handdator, telefontangentbord etcetera) Lätt En liten bärbar dator med normala prestanda. Vikt och storlek prioriteras dock över möjligheter till intern kringutrustning. Datorn ersätter i kombination med docka och kringutrustning för dockan en normal stationär dator Normal Skola En bärbar standarddator som har utrymme för en integrerad optisk enhet och som fyller de flesta normalanvändares behov av bärbar dator, samtidigt som den helt och hållet ersätter en normal stationär dator Normal En bärbar standarddator som har utrymme för en integrerad optisk enhet och som fyller de flesta normalanvändares behov av bärbar dator, samtidigt som den helt och hållet ersätter en normal stationär dator Avancerad En bärbar standarddator där prestanda och integrerad utrustning prioriteras över vikt och storlek. Ersätter en avancerad stationär dator Summa Upphandling GSIT (92)

34 Nuvarande leverans av hårdvara Kategori Hårdvara Ultralätt Dell Venue 11 Pro Security3020 SFF Processor: Intel Core I5 Minne: 8 GB Hårddisk: minst 128 GB SSD Övrigt: Dockningsstation och mhdmi-vga adapter Lätt Dell Latitude E7240 Processor: Intel Core I5 Minne: 8 GB (2*4) Hårddisk: 128 GB SSD Normal Dell Latitude E5440 Processor: Intel Core I5 Minne: 4 GB Hårddisk: 128 GB SSD Övrigt: DVD Normal Skola (för elever) Dell Latitude E3340 Processor: Intel Core I5 Minne: 8 GB Hårddisk: 128 GB SSD Grafik: Intel HD Graphics 4000 Avancerad Dell Latitude E6440 Processor: Intel Core I5 Minne: 16 GB (2*8) Hårddisk: 256 GB SSD Övrigt: DVD/RW Alla bärbara datorer levereras med ett ljudkort installerat och aktiverat. Kringutrustning såsom 19-tums, 22-tums eller 24-tums extern bildskärm, DVD-RW (enbart kategori Lätt), dockningsstation, mus och tangentbord finns som beställningsvara. För kategori Normal Skola finns det inga tillval för tillfället. 34 (92) Upphandling GSIT 2.0

35 För kategori Ultralätt kan man även göra tillval av tangentbord som ansluts via magnetkoppling. Två alternativ av tangentbord finns, tunt eller med inbyggt batteri. Uppgraderingar omfattar utökat RAM-minne och batteri med högre kapacitet (gäller ej för kategori Ultralätt). De bärbara datorerna levereras normalt med Windows 7 Professional OEM-licens, på cirka 100 ultralätta bärbara datorer med touchskärm och löstagbart tangentbord finns Windows 8 64-bitars installerat Klienttyper Klienttyperna är ämnade att tillgodose stadens olika behov. Behoven kan helt uppfyllas av enbart klienttypen eller med extra tjänster, exempelvis extra applikationer. Några klienttyper har bred funktionalitet (standardarbetsplats), medan andra har specifika användningsområden (specialarbetsplats). Samtliga klienttyper bygger på en gemensam installationsmall innehållande grundläggande applikationer, samt några gemensamma säkerhetskonfigurationer. Klienttyperna som visas i bilden beskrivs utförligare nedan i detta dokument Standardarbetsplats Standardarbetsplats är den generellt gällande klienttypen för anställda inom Stockholms stads verksamheter. I skolan kan skolpersonal och lärare även välja att använda skolarbetsplatsen. Syftet med standardarbetsplatsen är en standardiserad användning av en gemensam klienttyp avsedd för anställda. Väl inloggad har Upphandling GSIT (92)

36 användaren tillgång till alla de funktioner som är definierade för arbetsplatssystemet enligt tjänstebeskrivningen. Förvaltning Windows 7 eller Windows 8 64-bitars operativsystem ingår och underhålls. Aktivt virusskydd ingår och underhålls. Uppdateringar installeras kontinuerligt. Applikation Gemensam uppsättning grundläggande applikationer. Beställning Standardarbetsplats är beställningsbar via serviceportalen. Inloggning En användare ska kunna logga på arbetsplatsen via personlig inloggning, i form av tjänstekort eller via användarid/lösenord. Även för de användare som inte har egna id eller tjänstekort finns möjlighet att logga på arbetsplatsen, via så kallad opersonlig inloggning. Anledning till detta kan vara att dessa användare är vikarier, tillfälligt anställda etcetera. Används opersonlig inloggning så åligger det staden att föra förteckning över utlåningen av opersonliga tjänstekort samt generella användarid/lösenord. Support Klienterna faller under ordinarie supportåtagande och gällande avtalade servicenivåer. Ominstallation av en klient kan ske via serviceportalen. Möjlighet att distribuera stadens certifierade applikationer via serviceportalen. Användare Användare som kan logga på klienten standardarbetsplats är användare med rollerna: Anställda på verksamheter och skolor. Vissa opersonliga roller. Elever har inte möjlighet att logga på standardarbetsplatsen. Exempel Används primärt i kontorsmiljö av anställda Skolarbetsplats Skolarbetsplats är en anpassad standardarbetsplats avsedd att användas i en skolmiljö, av elever och skolpersonal. Skolarbetsplatsen kan även användas av anställda. Väl inloggad har användaren tillgång till alla de funktioner som är definierade för arbetsplatssystemet enligt tjänstebeskrivningen. 36 (92) Upphandling GSIT 2.0

37 Förvaltning Windows 7 64-bitars operativsystem ingår och underhålls Aktivt virusskydd ingår och underhålls. Uppdateringar installeras kontinuerligt. Applikation Gemensam uppsättning grundläggande applikationer. Elever inom Stockholm stad använder Office 365 Education för e- post, snabbmeddelande och personlig lagring. Inga specialanpassningar är gjorda på klienten för detta, utan eleverna är hänvisade till användning av Office 365 Education via webbgränssnittet. Beställning Skolarbetsplats är beställningsbar via serviceportalen. Inloggning En användare har möjlighet att logga på arbetsplatsen via personlig inloggning, i form av tjänstekort eller via användarid/lösenord. Även för de användare som inte har egna id eller tjänstekort finns det möjlighet att logga på arbetsplatsen, via så kallad opersonlig inloggning. Anledning till detta kan vara att de är vikarier, tillfälligt anställda etcetera. Används opersonlig inloggning så åligger det staden att föra förteckning över utlåningen av opersonliga tjänstekort samt generella användarid/lösenord. Utloggning Elever loggas automatiskt ut efter 15 minuters inaktivitet på både stationära och bärbara datorer. Inaktivitet innebär att skärmsläckaren är aktiv och att datorn inte har använts på 15 minuter. Support Klienterna faller under ordinarie supportåtagande och gällande avtalade servicenivåer. Ominstallation av en klient kan ske via serviceportalen. Möjlighet att distribuera stadens certifierade applikationer via serviceportalen. Användare Användare som kan logga på klienten Skolarbetsplats är användare med rollerna: Anställda på verksamheter och skolor. Vissa opersonliga roller. Elever. Exempel Används av elever och skolpersonal. Upphandling GSIT (92)

38 Personlig Elevarbetsplats - GY Personlig Elevarbetsplats GY är en anpassad skolarbetsplats avsedd att användas i en skolmiljö, av gymnasieelever. Personlig Elevarbetsplats GY är framtagen för personlig användning. Väl inloggad har eleverna tillgång till de funktioner som är definierade för arbetsplatssystemet enligt tjänstebeskrivningen i tjänstekatalog. Förvaltning Windows 7 64-bitars operativsystem ingår och underhålls. Aktivt virusskydd ingår och underhålls. Uppdateringar installeras kontinuerligt. Applikation Gemensam uppsättning grundläggande applikationer. Elever inom Stockholm Stad använder Office 365 Education för e- post, snabbmeddelande och personlig lagring. På Personlig Elevarbetsplats GY har eleverna möjligheten att använda Outlook- och Lync-klienterna på datorn samt att datorerna är försedda med OneDrive för att kunna synkronisera dokument mellan Office 365 och datorn. Beställning Personlig Elevarbetsplats GY är beställningsbar via serviceportalen för endast utbildningsförvaltningen. Inloggning En elev har möjlighet att logga på arbetsplatsen via personlig inloggning med sitt användarid/lösenord. Support Klienterna faller under elevsupportåtagande och dess gällande avtalade servicenivåer. Ominstallation av en klient kan ske via serviceportalen eller Service Desk. Möjlighet att distribuera stadens certifierade applikationer via serviceportalen. Användare Användare som kan logga på klienten Personlig Elevarbetsplats GY är användare med rollen Elever. Exempel Används av gymnasieelever på gymnasieskolor Publik arbetsplats Syftet med denna arbetsplats är användning i publika utrymmen exempelvis bibliotek, jobbtorg etcetera. Användare av denna klienttyp är oidentifierade och behöver tillgång till publika datorer med funktionalitet såsom utskrifter, kontorsapplikationer och andra 38 (92) Upphandling GSIT 2.0

39 program. Väl inloggad har användaren tillgång till begränsad internetåtkomst, samt möjlighet att utnyttja stadens e-tjänster. Förvaltning Windows 7 64-bitars operativsystem ingår och underhålls. Aktivt virusskydd ingår och underhålls. Uppdateringar installeras kontinuerligt. Applikation Gemensam uppsättning grundläggande applikationer. Beställning Publik arbetsplats är beställningsbar via serviceportalen. Inloggning En användare loggar på arbetsplatsen via opersonlig tjänstekortsinloggning. Eftersom opersonlig inloggning används så åligger det staden att föra förteckning över utlåningen av opersonliga tjänstekort samt generella användarid/lösenord. Support Klienterna faller under ordinarie supportåtagande och gällande avtalade servicenivåer. Ominstallation av en klient kan ske via serviceportalen. Möjlighet att distribuera stadens certifierade applikationer via serviceportalen. Användare Användare som kan logga på klienten publik arbetsplats är användare med rollen Opersonlig. Exempel Publik arbetsplats används i en publik miljö, till exempel jobbtorg, där opersonliga användare avser skriva jobbansökningar i Word och skicka e-post via webbmail, till exempel Gmail, Hotmail eller Yahoo Fristående arbetsplats Denna klient är skapad att vara frånkopplad från alla nätverk, det vill säga varken stadens nätverk eller internet. Därför passar denna typ bra i till exempel lokaler utan internetuppkoppling. Administratörskontot kan installera program på datorn och det finns ingen applikationsbegränsning. Denna klienttyp får inte kopplas in på stadens nätverk eller internet. Förvaltning Windows 7 64-bitars operativsystem ingår. Aktivt virusskydd ingår. Upphandling GSIT (92)

40 Automatisk uppdatering av program, operativsystem eller antivirusprogram sker inte automatiskt, då fristående arbetsplats används utan nätverk. Applikation Gemensam uppsättning grundläggande applikationer. Beställning Fristående arbetsplats på stationär dator är beställningsbar via serviceportalen. Inloggning En användare loggar in på arbetsplatsen via opersonlig inloggning, i form av lokalt användarid samt lösenord. Support Ominstallation av en klient kan ske via serviceportalen. Det är inte möjligt att distribuera stadens certifierade applikationer via serviceportalen. Användare Inga etablerade roller kan logga på denna klienttyp. Två lokala användarkonton skapas under installationen; ett användarkonto samt ett administratörskonto. Exempel Fristående arbetsplats är en dator som kan användas där nätverksanslutningar saknas Specialarbetsplats Specialarbetsplatsen är en klienttyp som är ett ramverk för att skapa funktionsspecifika, ickepersonliga arbetsstationer, baserade på stadens behov. Klienten bygger på tre nivåer, en generell plattform med en nedlåst grundkonfiguration (nivå 1) tillsammans med en baskonfiguration (nivå 2) som appliceras för samtliga varianter (nivå 3) av specialarbetsplatsen. Beroende på syftet med varianten av specialarbetsplats kan staden välja mellan ett begränsat antal fördefinierade baskonfigurationer. Utöver grundkonfiguration och baskonfiguration finns det en konfiguration med ett antal inställningar som är valbara per klientvariant, exempelvis startsida i Microsoft Internet Explorer och bakgrundsbild. Avtalsägaren (staden genom stadsledningskontoret) har ägarskapet av grundkonfigurationen (nivå 1) och baskonfigurationen (nivå 2). Ägarskapet kan delegeras till ägare av tjänstekatalogen. 40 (92) Upphandling GSIT 2.0

41 Den lokala beställaren av varianten (nivå 3) har ansvar (ägarskap) för den nya konfigurationen av specialarbetsplatsen. Beställaren kan även beställa eventuella framtida förändringar i konfigurationen. Specialarbetsplatsen är tänkt att användas till specifika syften i verksamheten beroende på vilken konfiguration man väljer. I de fall då applikationer används på specialarbetsplatsen beställs applikationspaketeringen med test mot denna klienttyp. Förvaltning Windows 7 64-bitars operativsystem ingår och underhålls. Aktivt virusskydd ingår och underhålls. Uppdateringar installeras kontinuerligt. Beställning Beställning sker i 2 steg: Steg1. För att skapa en ny klientvariant baserad på specialarbetsplatsen måste staden beställa en baskonfiguration. Därefter kan staden skräddarsy vissa konfigurationer för att få fram en variant som passar stadens behov. Då denna beställning är lagd, kommer nuvarande leverantör att skapa den efterfrågade klientkonfigurationen (varianten), framtagande sker manuellt. Då klientkonfigurationen (varianten) är färdigställd, kommer den att finnas beställningsbar enligt steg 2 nedan. Steg 2. Efter steg 1 kan denna nya variant beställas på normalt sätt, d.v.s. av behörig beställare via serviceportalen. Förändring Förändring av befintliga varianter på specialarbetsplats är beställningsbar via serviceportalen och kan endast göras av ägaren av varianten. Avbeställning Avbeställning av befintliga varianter på specialarbetsplats är beställningsbar via serviceportalen och kan endast göras av ägaren av varianten. Inloggning Inloggning sker per automatik, det vill säga inget användarid eller tjänstekort behöver användas för att logga in eller låsa upp skärmsläckaren. Supporten Klienterna faller under ordinarie supportåtagande och gällande avtalade servicenivåer. Ominstallation av en klient kan ske via serviceportalen. Användare och Roller Då klienten är konfigurerad att loggas på per automatik behövs inga speciella konton eller roller definieras. Upphandling GSIT (92)

42 Exempel Här är ett urval av de klienttyper som finns under Specialarbetsplats. SFI (Svenska för invandrare) Sökdator Grundskola Sökdator Gymnasium SurfPC ParaplyPC, special-pc för verksamhetssystem inom socialtjänsten In- och Utlåningsdator Grundskola In- och Utlåningsdator Gymnasium Volym antal klienter per klienttyp Klienttyp Totalt Antal Sep 2015 Varav administrativa verksamheten omfattar Varav pedagogiska verksamheten omfattar Standardarbetsplats Skolarbetsplats Personlig Elevarbetsplats - GY Fristående arbetsplats Publik arbetsplats Specialarbetsplats Summa Förutom dessa klienttyper lanserades två nya under hösten Pedagogarbetsplats, som är en blandning av Personlig skolarbetsplats och Standardarbetsplats. Avancerad arbetsstation, för verksamheter där användare har behov av användning inom CAD-program och hantering av stora bildfiler. 42 (92) Upphandling GSIT 2.0

43 2.2.5 Klientapplikationer Nedanstående klientapplikationer ingår i baskonfigurationen för alla klienter. Deras funktionalitet är konstant underhållen av nuvarande leverantör för att säkerställa att de alltid är uppdaterade och aktuella. Samtliga applikationer är 64 bitars förutom Office som är 32 bitars. Applikationsnamn Utgivare Nuvarande version december 2014 Adobe Flash Player Adobe Systems, Inc Adobe Reader X Adobe Systems, Inc Adobe Shockwave Player Adobe Systems, Inc Apple Quick Time Apple Inc Citrix Receiver for Windows Citrix Systems, Inc Dipritec Cirrato Dipritec AB 2011 Microsoft.Net Framework Microsoft Corporation 2.1 ; 3.5 ; 4.0 Microsoft Internet Explorer Microsoft Corporation 9 Microsoft Lync 2010 Microsoft Corporation Microsoft Office Microsoft Corporation 2010 Microsoft Silverlight Microsoft Corporation PDF Creator Pdfforge SCCM Advanced Client Microsoft Corporation Secmaker NetID SecMaker Sun Java Runtime Environment Sun Microsystems, Inc Upphandling GSIT (92)

44 Applikationsnamn Utgivare Nuvarande version december 2014 Symantec Endpoint Protection Symantec Corporation Windows Media Player Microsoft Corporation 12 Befintliga basapplikationer på klienterna inom arbetsplatssystemet Övriga klientapplikationer, cirka 1000 går att beställa via serviceportalen för distribution till behörig användare. Nuvarande leverantör tillhandahåller en avgränsad support för användning av de vanligast förekommande applikationerna. Applikationspaketering används för att standardisera installationen av programvara. Basapplikationerna finns alltid installerade som grundpaket på klienterna. Klienten är i grunden alltid låst och enbart paketerade applikationer kan installeras på klienten. Paketeringen är till för att säkerställa att programvaran när den installeras på en klient inte är i konflikt med annan programvara och kan installeras och avinstalleras på ett kontrollerat sätt utan att användaren behöver göra något. Distributionen av de paketerade applikationerna sköts centralt av nuvarande leverantör och skiljer sig beroende om det är en nypaketerad applikation eller en uppdatering Applikationspaketering Denna tjänst består av att paketera en helt ny applikation eller en ny version av en befintlig applikation. Nuvarande leverantör skapar en behörighetsgrupp, förbereder applikationen i distributionsverktyget samt uppdaterar serviceportalen. Användaren får besked om att applikationen är tillgänglig och kan själva beställa den från serviceportalen. 44 (92) Upphandling GSIT 2.0

45 Övergripande processbeskrivning för paketering av ny applikation Uppdatering av befintlig applikation inom basapplikationerna När det gäller uppdateringar så är detta en ändring i produktionsmiljön och ändringshanteras av nuvarande leverantör. Det distribueras ut en uppdatering på de klienter som har den aktuella applikationen. Den planeras efter volym, kriticitet och prioritet. Här använder sig nuvarande leverantör av en stegvis implementation dvs. vid ett större antal uppdateringar, så installerar man dessa i sekvenser baserat på verksamhet, infrastruktur och tillgänglighetskrav Licenshantering Staden ansvarar för licensiering av stora delar av den grundläggande it-plattformen och för detta finns ett antal stadsövergripande licensavtal. Licenser för baspaketet av applikationer på datorer och servrar inom arbetsplatssystemet täcks av stadens licensavtal eller i något fall via Volvo IT:s licenser. Alla klientapplikationer utöver detta, som installeras på datorerna, ansvarar respektive lokal verksamhet för. Staden har bland annat licensavtal med Microsoft, Adobe och Oracle. Det finns även för virtualisering via VM-Ware, virtualisering via Citrix, identifiering och inloggning för både anställda och medborgare samt för andra sorters säkerhetslösningar. I licensavtalet med Microsoft ingår även molntjänsten Exchange Online Protection (EOP) för att övergripande skydda mailhantering mot skräppost och sabotageprogram. Licenser för virusskydd på klienterna i arbetsplatssystemet, inklusive filter för skräppost, hanteras av Volvo IT. Volvo IT har även licenser för hela utskriftstjänsten. Licenshantering är en viktig del inom it, och stadens ambition är att alltid vara korrekt licensierad. För att samordna licenshanteringen har staden upphandlat en gemensam licensåterförsäljare och licenssamordnare, för närvarande Atea. Inköp av licenser för standardapplikationer (inte större verksamhetssystem som till exempel ekonomisystem eller personalsystem) sker genom Atea som även svarar på frågor gällande licenser eller vad en viss licens kostar. Upphandling GSIT (92)

46 Atea har även hand om licenssamordning för samtliga förvaltningar och bolag, vilket för närvarande omfattar samtliga klientinstallationer och licenser en viss verksamhet har. Beskrivning av beställningsprocess för applikationer inklusive licenshantering via Atea Utgivare Licensprodukt Antal (cirka) VMWare vsphere Enterprise inklusive support 70 stycken SecMaker NetId användare Citrix XenApp Platinum 150 användare Citrix XenApp Enterprise 3920 användare Microsoft Office Pro Plus datorer Microsoft Windows Pro/MDOP datorer Microsoft e-cal användare Microsoft Sharepoint Server 46 stycken Microsoft Exchange Server Standard 10 stycken Microsoft Exchange Server Enterprise 8 stycken Microsoft Dynamics CRM ESS Cal användare Microsoft Lync Server 6 stycken Microsoft Win Remote Desktop Server Cal användare Microsoft SQL Server Enterprise Core 46 (92) Upphandling GSIT 2.0

47 Utgivare Licensprodukt Antal (cirka) Microsoft SQL Server Standard Core Microsoft Biztalk Server Enterprise 36 stycken Microsoft Windows Server Datacenter 2 processor 45 stycken Microsoft Windows Server Standard 2 processor 584 stycken Microsoft Windows Server Cal 6000 användare Microsoft Sharepoint Online Plan användare Oracle Oracle DB Enterprise + Option Packs 114 stycken Oracle WebLogic Server 88 stycken MobileIron Sitelicens stycken Nuvarande större licensavtal på detaljnivå Säkerhet Aktivt skydd Arbetsplatssystemets klientplattform erbjuder aktivt skydd mot skadlig programkod eller programvara för att säkerställa funktionalitet och upprätthålla en hög nivå på tillgänglighet av klienterna. Nedan beskrivs några av de säkerhetsfunktioner som innefattas av arbetsplatssystemets klientplattform: Granskning och installation av viktiga säkerhetsuppdateringar för operativsystemet. Lokal brandvägg installerad och aktiverad på klienten. Övervakning och hantering av alla säkerhetsincidenter orsakade av skadlig kod. Program för skydd mot virus och annan skadlig kod Virusdefinitioner övervakade dagligen och uppdaterade veckovis. Skydd av filer med hjälp av BitLocker-diskkryptering. AppLocker för att skapa regler för att tillåta eller neka att program körs Metoder för inloggning Inom staden används primärt tjänstekort/certifikat för inloggning och autentisering. En användare som är inloggad i Upphandling GSIT (92)

48 arbetsplatssystemet behöver inte genomföra återinloggning för att nå särskilda funktioner inom it-stödet. Arbetsplatssystemet stödjer SSO (Single Sign On), utom i de fall då visst verksamhetssystem särskilt kräver extra inloggning. Om inloggning sker med tjänstekort låses klientutrustningen automatiskt när tjänstekortet avlägsnas ur kortläsaren. Som komplement till dessa huvudsakliga inloggningsmetoder kan arbetsplatssystemet också hantera inloggning med användarnamn och lösenord. Inloggningsmetod Totalt antal 2014 Beställd volym 2014 Tjänstekort Hantering av mobila enheter Staden har kommit långt inom mobilitet och har idag en Enterprise Mobility Management (EMM) plattform för managering av mobila enheter samt för hantering av mobila appar. Stadens mobilitetshantering omfattar en plattform med stöd för utveckling av appar och en robust miljö som tillhandahåller appar som är lättåtkomliga och användbara men med bibehållen säkerhet för stadens information. Beskrivning av den nuvarande hanteringen av mobila enheter För hantering av mobila enheter har staden investerat i ett verktyg, MobileIron. 48 (92) Upphandling GSIT 2.0

49 Staden använder idag MDM delen i sin EMM-plattform för att hantera interna appar och en MAM-lösning (plattform från Apperian) för att hantera appar för externa partners (se nedan) Stadens nuvarande appar Namn på app IOS IOS Android Android publika interna publika interna Akallaskolan x x Anmäl frånvaro Stockholm x x API-pro Artregister Begrav Besiktning BesiktningTest x x x x x Björngårdsskolan x x CentrexPlus Eka x x Engelbrektsskolan x x Eriksdalsskolan x x Farsta Gymnasium x x Hammarbyskolan x x Historiska Stockholmsbilder x x Hässelbygårdsskolan x KYF MEAP-demo-cert x x Mobil Risk x x P-Stockholm x x Paragå x Upphandling GSIT (92)

50 Namn på app IOS IOS Android Android publika interna publika interna Rondering RonderingTest x x Sjöstadsskolan x x Sofia skola x x Sthlm Träd x StockholmsNytt x x Storkyrkoskolan x x SVMOS Prod (Mobilt Ordersystem) x Södermalmsskolan x x Södra Latin x x Tyck Till x x Upptäck Stockholm x x ÄrendeApp x Ärvingeskolan x x Stadens nuvarande appar EMM (Enterprise Mobility Management) EMM inkluderar alla de verktyg, processer och den mjukvara som används för att hantera stadens mobilitet MobileIron MobileIron är ett Enterprise Mobility Management (EMM) system. Systemet används för att administrera mobila enheter som exempelvis smartphones och surfplattor oberoende av plattform. Det ger möjlighet att skanna av och säkerställa att enheterna följer stadens säkerhetspolicy samt möjlighet att styra vilka applikationer som ska installeras, uppdateras, tas bort eller blockeras. Användarna kan själva installera tillgängliga applikationer från stadens interna app store, Apple store, Google play eller liknande tjänster. 50 (92) Upphandling GSIT 2.0

51 MobileIrons EMM plattform baseras på tre huvudsakliga komponenter: MobileIron Core MobileIron Sentry MobileIron Client Utöver detta finns ett antal ytterligare komponenter för slutanvändare som med mera Mobile Core MobileIron Core omfattar följande funktioner: Mobile Device Management (MDM). Systemet används för att administrera mobila enheter som exempelvis smartphones och surfplattor oberoende av plattform. Det ger möjlighet att skanna av och säkerställa att enheterna följer stadens säkerhetspolicy samt möjlighet att styra vilka applikationer som ska installeras, uppdateras, tas bort eller blockeras. Användarna kan själva installera tillgängliga applikationer från stadens interna app store, Apple store, Google play eller liknande tjänster. Systemet tillhandahåller säker e-post, automatisk konfiguration av enheter, certifikathantering och möjlighet att radera stadens information från enheter ägda av staden eller av användarna. Verktyget stöder i Upphandling GSIT (92)

52 dagsläget IOS, Windows och Android. I verktyget kan staden delegera rättigheter till administratörer som får administrera utpekade enheter. Staden har två instanser av MDM, Msync-VSP som används för hantering av alla enheter exklusive skolorna samt Skol-VSP som används för hantering av all enheter för skolorna och då främst Ipads för elever. I staden finns det idag cirka aktiva enheter registrerade i stadens MDM-system. Cirka av dessa är angivna som att de ägs av staden och resterande är angivna som ägda av anställda. IOS står för 69 % av antalet enheter och resterande är Android. Alla enheter finns inte registrerade i MDM-system, till exempel har staden idag cirka surfplattor varav pedagogisk verksamhet har (maj 2015). Totala antalet inköpta terminaler mellan augusti april 2015 (administrativ verksamhet och pedagogisk verksamhet) 52 (92) Upphandling GSIT 2.0

53 Mobile Application Management tillhandahåller funktionalitet för livscykelhantering av appar, från att tillgängliggöra dessa i stadens interna appstore, hantera applikationernas säkerhet på enheterna, införa regler för autentisering av användare, separera stadens appar från personliga appar samt avveckla apparna. Mobile Content Management tillhandahåller funktionalitet som möjliggör staden att ge mobilaccess till stadens dokument som finns i SharePoint, fillagring och andra källor så att användarna kan komma åt dessa säkert oavsett enhet. Stödet säkrar även upp bilagor i e-post så att de är krypterade och inte kan ses utan att användaren har MobileIron. MobileIron Management Console är administratörsverktyget för MobileIronCore. I verktyget kan staden sätta upp regler för informationshantering och delegera administratörsrättigheter som möjliggör rollbaserad tilldelning av administratörsrättigheter men även skyddar användarnas personliga integritet. Det går även att styra vad administratörer eller Service Desk får göra exempelvis om de bara får tittbehörighet eller rättighet att lägga till eller ta bort enheter. I dagsläget sker all managering av Servicecentrum hos Tieto. MobileIron Insight är en app som ger administratörer en möjlighet att enkelt överblicka och hantera mobila enheter från sin egen mobila enhet MobileIron Sentry MobileIron Sentry är en gateway som hantera, krypterar och säkrar upp trafiken mellan mobila enheter och stadens bakomliggande system som e-post, lagringsytor och stadens verksamhetssystem. Mobile Sentry upprätthåller de säkerhetspolicys som sätts i MobileIron Core och möjliggör en bra användarupplevelse genom att hantera certifikatsbaserade SSO istället för att användarna måste ange lösenord. Staden har två olika Sentry. Stadens Sentry lösning består av två komponenter i nuläget. Mailsentry som hanterar kommunikation för e-post samt Appconnect som hanterar Upphandling GSIT (92)

54 kommunikation mellan appar och back-end samt autentisering och övriga säkerhetsbitar och även konfiguration av appar med mera. Synkronisering av e-post, kalender och kontakter sker från stadens arbetsplatssystem till smartphones, surfplattor eller annan handhållen utrustning. Synkroniseringstjänsten tillhandahålls för närvarande av stadens nuvarande driftsleverantör av lokala verksamhetssystem (Volvo IT) och ingår i leveransen av GSIT MobileIron Client MobileIronClient, kallad Mobile@work, är en nyckelkomponent. Stadens användare registrerar sin enhet på mstart som är stadens portal för självadministration och laddar sedan ner appen mobile@work som sedan konfigurerar enheten i enlighet med stadens säkerhets policyer satta i MobileIronCore. Genom att använda MobileIronClient så är stadens applikationer och data skyddad. Administrationsverktyget MobileIron tillhandahålls idag av Tieto inom avtalet för drift och förvaltning av centrala verksamhetssystem MEAP (Mobile Enterprise Application Platform) MEAP är Stockholms stads plattform med tillhörande ramverk och processer för att utveckla mobila tjänster samt integrera dessa med existerande SOA-tjänster. 54 (92) Upphandling GSIT 2.0

55 Bilden visar MEAP plattformen utifrån ett användarperspektiv. Användaren använder en mobil applikation (native app, mobil webb eller hybrid app) vilken använder sig av de tjänster som är utvecklade på MEAP. Dessa tjänster är integrerade med tjänster i SOA-plattformen för att hämta information, utföra operationer eller lämna information till verksamhetssystem. SOA-tjänsterna ansvarar för kommunikationen med verksamhetssystem. Bilden visar hur MEAP förhåller sig till IdPortalen samt SOAplattformen MobileIronAppconnect Ecosystem MobileIronAppconnect Ecosystem möjliggör för staden att tillhandahålla verktyg och SDK för utveckling av appar. MobileIronAppconnect, benämns ibland även MEAP (Mobile enterprise Applications Platform), är en mjukvaruplattform för utveckling, integration och publicering av mobila applikationer. Det Upphandling GSIT (92)

56 möjliggör även för staden att styra säkerheten för interna applikationer samt godkända externa appar samtidigt separerat från de appar som användarna laddar ner privat från publika appstores. Stadens användare är vana att privat ha tillgång till bra appar och förväntar sig i allt större utsträckning att ha detta även på arbetet för att kunna utföra sitt arbete och samarbete med sina kollegor inom staden. Det ställer krav på staden att utveckla egna appar eller tillhandhålla externa appar som är godkända av staden. Staden har valt MobileIronAppconnect som systemstöd för utveckling av mobila applikationer och tillsammans med stadens ramverk för utveckling av appar så utgör det stadens plattform för utveckling av mobila applikationer som all utveckling av appar inom staden ska ske i enlighet med Andra tjänster inom mobila enheter Acronis Access Acronis Access är en lösning som Stockholms stad använder för att erbjuda åtkomst på smartphones och surfplattor till interna filer och dokument via användarnas egna hemkataloger eller gemensamma areor. En förutsättning för att få åtkomst till sin hemkatalog via Acronis Access är att användaren sedan tidigare har laddat ner och installerat klienten MobileIron på sin smartphone eller surfplatta. Acronis Access tillhandahålls idag av Tieto inom avtalet för drift och förvaltning av centrala verksamhetssystem Självbetjäningsportaler mstart Tjänsten mstart gör det möjligt för stadens användare att få tillgång till synkronisering av sin e-post, kalender, kontakter och att-göralista direkt i sin smartphone eller surfplatta. I portalen kan man hantera abonnemang, mobila enheter och appar. Skolportalen Staden har även utvecklat ett särskilt administratörsverktyg för skolornas personal som heter Skolportalen där skolans personal bland annat kan hantera skolornas ipads och konfigurera trådlöst. MacStart Möjliggör att skolpersonal kan registrera skolors Mac på samma sätt som sker med mobila enheter på mstart. Inventeringsportal 56 (92) Upphandling GSIT 2.0

57 Portal som behöriga beställare kan använda för att se registrerade enheter för sin förvaltning mot MobileSync. Inloggning sker via idportalen. I portalen kan man göra: Identifiering av behöriga beställare och förvaltningsgrupper via AD. Lista enheter möjlighet att söka, filtrera, sortera och se djupgående detaljer. Statistik för användare tillhörande SLK andel IOS/Android, antal på respektive OS-version, installerade appar med mera. Läsa in data ifrån IPAK. Sätta upp regelverk för att se användare som brutit mot policys. Samtliga av dessa portaler tillhandahålls idag av Tieto inom avtalet för drift och förvaltning av centrala verksamhetssystem Utskrift via e-post Utskrift via e-post är en tjänst för att möjliggöra utskrift från sin smartphone eller surfplatta. Tjänsten är ett komplement till utskriftslösningen via dator och erbjuder inte samma funktionalitet. Tjänsten stödjer bara skrivare levererade av nuvarande leverantör. För att använda tjänsten skickas ett e-postmeddelande till utskrift@stockholm.se. Både mailet och eventuella bilagor kommer att skrivas ut. Innehåller själva e-postmeddelandet bilder så hanteras dessa som bilagor, det vill säga skrivs ut separat på egna papper. Bilder mindre än 20 KB skrivs inte ut för att undvika att bilder i signaturer skrivs ut separat. De filformat på bilagor som tjänsten stödjer är: pdf, html, htm, gif, png, jpg, tif, bmp, doc, docx, xls, xlsx, ppt, pptx, rtf och txt. Det är inställningarna på bilagan som avgör hur den skrivs ut, det vill säga om det är A4 eller A3, enkelsidigt eller dubbelsidigt osv. Ett krav för att kunna använda tjänsten är en e-postadress med någon av Stockholms stads domäner (till exempel stockholm.se, elev.stockholm.se eller extern.stockholm.se) och att den e- postadressen används som avsändare till e-postmeddelandet när tjänsten ska användas. Ämnesraden i e-postmeddelande styr vilken skrivare som e- postmeddelandet och bilagan kommer att skrivs ut på Utskriftshantering Arbetsplatssystemet tillhandahåller utskriftshantering för nätverksskrivare av standardmodell och multifunktionsprodukter Upphandling GSIT (92)

58 (MFP). Detta inkluderar den infrastruktur och de processer som är nödvändiga för komplett skötsel och hantering av alla skrivarenheterna. Denna tjänst erbjuder bland annat: Optimerade skrivarinställningar som standard. Tillhandahållande av expertis för effektivast möjliga hantering av skrivarna. Minimal hantering och administration av tonerkassetter. OCR. Tjänsteportföljen för skrivarhårdvara erbjuder utskrifter, kopiering, samt skanning och finns tillgängliga för samtliga användare av arbetsplatssystemets klienter. Användarinformation och statistik per skrivarenhet är loggad och finns tillgänglig för framtagning av rapporter Katalog för skrivarhårdvara Nuvarande leverantör certifierar alla skrivarenheter för arbetsplatssystemet. Skrivare finns tillgängliga inom fyra olika kategorier: Svartvit skrivare Svartvit MFP Färgskrivare Färg-MFP 58 (92) Upphandling GSIT 2.0

59 Modellerna i respektive kategori är definierade enligt nivåer för utmatningskapacitet Sidor/mån Funktion I syfte att utöka och komplettera skrivarna, finns även ett beställningsbart urval av extra tillbehör. Dessa inkluderar till exempel extra papperskassett, enhet för dubbelsidiga utskrifter (duplex), interna hårddiskar, Java VM-kort, extra RAM-minne, häftning, faxmoduler, växelfack, hålslag, Adobe Postscript. Även tillbehör testas och certifieras av nuvarande leverantör Utskriftsköer och drivrutiner Utskriftstjänsten sköter drift och underhåll av utskriftsköerna. Alla köer är centralt övervakade och kan konfigureras med standardinställningar. Drivrutinerna för godkända skrivare är utvecklade och certifierade av nuvarande leverantör. Upphandling GSIT (92)

60 Right sizing För att skapa den mest effektiva lösningen ur både ett kostnads- och nätverksperspektiv, tas många parametrar med i beräkningen. Rätt storleksanpassning tar hänsyn till många faktorer i framtagningen av den optimala utskriftslösningen. Till dessa räknas: Fysisk planlösning. Skolans/kontorets geografiska läge. Krav ur funktions-och affärsperspektiv. Förväntade användningsvolymer Toner on Demand Toner On Demand, som är inkluderat i utskrifthanteringen, är en tjänst som eliminerar lagerhållning av tonerkassetter genom en automatiserad process för leverans av toner då denna är på väg att ta slut. Alla skrivarenheternas tonernivå avläses automatiskt en gång i timmen och när nivån sjunker till % skickas ett e- postmeddelande iväg från skrivarenheten till tonerleverantören. Nuvarande leverantör i sin tur säkerställer att tonern för aktuell skrivare skickas till staden i enlighet med adressuppgifterna lagrade i nuvarande leverantörs system Internet Printer Assistant Arbetsplatssystemets utskriftstjänst inkluderar Internet Printer Assistant, en webbapplikation för installation av nätverksskrivare av standardtyp och multifunktionsenheter och nås via serviceportalen. Applikationen innehåller kartor som illustrerar var skrivarna befinner sig fysiskt, i förhållande till användarens aktuella vistelseort. Internet Printer Assistant innehåller också användarguider och information om specifika standardskrivare och multifunktionsenheter. Denna tjänst inkluderar: Övergripande applikationsansvar. Uppdatering av kartor, så att de speglar skrivarnas positioner efter flytt (en skrivare flyttas från ett ställe till ett annat). Uppdatering av kartor, så att de motsvarar tillagda eller borttagna enheter. Uppdatering av kartlayouten så att den motsvarar förändringar i fysiskt utrymme. Förflyttningar av skrivarenheter utförs av nuvarande leverantör. Behörig beställare på staden kontaktar Service Desk eller använder serviceportalen när/om sådant behov föreligger. 60 (92) Upphandling GSIT 2.0

61 Skanna till e-post MFP-enheter (multifunktionsskrivare) tillhandahåller möjligheten att skanna ett dokument och samtidigt skicka till angiven e- postadress. Skanning i färg är möjlig på de MFP-enheter som stöder detta Bakåtkompatibilitet Arbetsplatssystemet tillhandahåller begränsat stöd för äldre skrivarenheter, detta gäller skrivare som inte finns med i nuvarande leverantörs katalog för skrivarhårdvara. Äldre skrivare stöds enligt följande: En skrivarkö skapas för skrivaren. Den lämpliga drivrutinen distribueras. Skrivaren läggs till i kartan på Internet Printer Assistant (se ). En provsida skrivs ut från den nya skrivarkön Volymer på antalet utskrivna sidor Cirka 35 procent av de totala utskrifterna är färgutskrift och för pedagogisk verksamhet utgör cirka 25 procent färgutskrift. Upphandling GSIT (92)

62 Volymer på antalet kopierade sidor Cirka 15 procent av den totala kopieringen är färgkopiering och för pedagogisk verksamhet utgör cirka 10 procent färgkopiering Fjärrarbetsplats Fjärrarbetsplats är en citrixbaserad lösning som tillåter användaren att från internet på ett säkert sätt få åtkomst till sin skrivbordsprofil och tjänsterna i arbetsplatssystemet (till exempel e-post), oavhängigt av vilken klienttyp som används för anslutning (Windows, UNIX/Linux, Mac etcetera) Fjärraccess VPN Med VPN-tjänsten kan användare med bärbar dator nå och använda stadens arbetsplatssystem och dess tjänster via internet på ett säkert sätt. Behörig beställare kan beställa tjänsten i Serviceportalen. När tjänsten är beställd och levererad till vald dator finns en mapp med namnet "VPN" installerad på datorn, under Start-menyn - Alla program. I mappen finns en användarhandledning och ikonen "VPN Start", som används för att starta tjänsten. VPN-tjänsten är oberoende av vilken form av internetanslutning som användaren väljer. Upplevd prestanda i tjänsten är dock till viss del beroende av hastigheten på internetanslutningen. Tjänsten är anpassad för att användas i publika miljöer. All datakommunikation är krypterad och skyddad mot intrång. Behörighetskontroll sker med hjälp av användarens tjänstekort. All extern kommunikation mot stadens nätverk sker efter elektronisk identifiering. 62 (92) Upphandling GSIT 2.0

63 VPN-tjänsten ger åtkomst till Stockholms stads resurser och tjänster hos nuvarande leverantör samt till utpekade resurser hos tredjepartsleverantörer E-postsystem Samtliga användare i stadens arbetsplatssystem har en egen e- postbrevlåda. Leverans av e-post för anställda (administrativ personal samt konsulter) sker via Microsoft Exchange 2013 och Outlook 2010 eller Outlook Web Access klienten som alternativ klient. E- postbrevlådestorleken är som standard 250MB per användare, utökning sker med automatik i steg om 250MB till max 10GB. E-postbrevlåda för elever hanteras via Microsofts molntjänst Office 365 Education. Denna tjänst innebär att eleven har en e- postbrevlåda åtkomlig via ett webbgränssnitt. Från stadens elevsystem skapas ett användarkonto i katalogtjänsten för att möjliggöra inloggning via klient. Stockholms stad kan vid behov beställa e-postbrevlåda för konsulter. Vid sådan beställning erhåller konsulten/leverantören automatiskt tillägget extern i SMTP adressen respektive visningsnamnet i katalogen. Via serviceportalen hanteras beställningar och underhåll av e- postbrevlådor, funktioner etcetera. Inkommande e-post kontrolleras för skräppost, virus, trojaner etcetera på flera lager där Tieto levererar mail relayer och Volvo IT managerar Microsoft EOP. På gateway-nivå hanteras skräppost- och virusfiltrering av Stockholms stad. Synkronisering av e-postbrevlåda med mobiltelefon eller surfplatta görs med hjälp av ActiveSync som finns inbyggt i Exchange. Upphandling GSIT (92)

64 Övergripande översikt Exchangemiljön Förutom personliga e-postbrevlådor för administrativ personal samt konsulter och e-postbrevlådor för elever finns även icke personliga e-postbrevlådor som används för att stödja en funktion, till exempel möjligheten att boka ett konferensrum eller möjligheten att komma i kontakt med en funktion som inte är bunden till en specifik person. Beroende på e-postbrevlådans funktion finns det en förutbestämd namnstandard som gör det enklare att sortera in e-postbrevlådorna efter verksamhet och funktion. Det finns också ett regelverk runt brevlådorna som hanterar vem som ska ha åtkomst till brevlådan. För bolag inom Stockholm finns möjlighet att beställa en sekundär e-postbrevlåda till icke personliga brevlådor som kan användas för mottagning av e-post med en valbar definierad domän registrerad inom e-postfunktionen. Följande huvudtyper av icke personliga brevlådor finns idag på Stockholms stad: Funktionell Grupp API Resurs Distributionslista (PPDL) 64 (92) Upphandling GSIT 2.0

65 Volymer för datalagring av e-post Antalet e-postbrevlådor Kontotyp Totalt antal Varav administrativ verksamhet omfattar Varav pedagogisk verksamhet omfattar Administrativ personal/konsulter/icke personliga Elever Nuvarande serverdrift för lokala verksamhetssystem Utöver de centrala system som drift- och förvaltningsmässigt hanteras åt staden av Tieto (exempelvis lönesystem, ekonomisystem med mera) har många förvaltningar drift av egna verksamhetssystem, som till exempel hyresdebiteringssystemet Fasad (bostadsbolagen) och verksamhetssystemen Ecos (miljöförvaltningen) och Baggis (stadsbyggnadskontoret). För driften av dessa system har bolag och förvaltningar ofta avtal med någon systemleverantör om drift och förvaltning av själva applikationen. Vid införandet av GSIT 1.0 konsoliderades själva serverdriften för lokala verksamhetssystemen. Det innebar att utrustning som tidigare fanns utspridd i serverrum med varierande kvalitet överfördes till ett gemensamt och högt säkerhetsklassat datacenter hos nuvarande leverantör. Ansvaret för drift och förvaltning av verksamhetssystem Upphandling GSIT (92)

66 finns i många fall fortfarande kvar på stadens olika förvaltningar och bolag. Ett antal verksamheter använder GSIT 1.0 även för drift av sitt verksamhetssystem, eller applikation. Den tjänst som ingår i GSIT 1.0 ger förvaltningar och bolag tillgång till: Serverplats för Windows-, Linux- och Unixbaserade system. Citrix. Grundläggande övervakning, backup och antivirus. Applikationsövervakning. Möjlighet att beställa rutinmässiga åtgärder för underhåll eller övervakning och underhåll av applikationen som tilläggstjänst. Databashotell. Webbhotell, dedikerad databasdrift. Datalagring. Möjlighet att beställa standardiserad applikationsdrift (AO-M), nuvarande leverantör tar ansvar för driften av applikationen. Servermiljön kan vara virtuell eller, där verksamhetssystemen så kräver, en egen fysisk server. Tjänsten möjliggör för stadens förvaltningar och bolag, samt deras eventuella övriga leverantörer, att kunna beställa och få åtkomst till de servrar som ingår i leveransen av det lokala verksamhetssystemet. Totalt driftas cirka 600 servrar inom ramen för nuvarande leverans till staden varav cirka 25 procent är fysiska och 75 procent är virtuella. Cirka 360 olika lokala system/applikationer körs på dessa servrar. För detaljerad beskrivning av system per område/systemtyp alternativt per verksamhet se Bilaga U4 (Detaljerad beskrivning av stadens system). 66 (92) Upphandling GSIT 2.0

67 2.3.1 Volymer för serverdrift för lokala verksamhetssystem Fysisk värdmiljö Fysisk Server Windows/Linux Fysisk Server Unix Tjänstekomponenter Ultralätt Lätt Medel Stor Medel Antal Tjänsteleverans CPU CPU kärnor Minne (GB) Bastjänst Hårdvara Datahall Tilläggstjänster Extra minne - Hög tillgänglighet = Inkluderas = Valfri - = Ej tillgänglig Fysisk värdmiljö för Windows/Linux kan kompletteras med mer minne (RAM). För dessa värdmiljöer finns kompletterande minne i följande nivåer: 4, 8, 16, 32, 64, 96, 128 samt 256 GB. Maximal mängd minne som värdmiljön kan utrustas med är beroende av dess storleksklass. Upphandling GSIT (92)

68 Server Maximal mängd minne Ultralätt 32 GB Lätt 64 GB Medel 128 GB Stor 256 GB Virtuell värdmiljö Virtuell Server Windows/Linux Tjänstekomponenter Ultralätt Lätt Lätt Extra Medel Medel Extra Stor Stor Extra Antal Tjänsteleverans vcpu 0, Minne (GB) 0, Bastjänst Hårdvara Datahall Tilläggstjänster Extra minne Hög tillgänglighet = Inkluderas = Valfri - = Ej tillgänglig 68 (92) Upphandling GSIT 2.0

69 Virtuell Server Unix Tjänstekomponenter Lätt Medel Stor Antal Tjänsteleverans vcpu 0,5 1 2 Minne (GB) 0,5 1 2 Bastjänst Hårdvara Datahall Tilläggstjänster Extra minne Hög tillgänglighet = Ingår = Valfri - = Ej tillgänglig Upphandling GSIT (92)

70 Datalagring för serverdrift av lokala verksamhetssystem per lagringsklass Volym i terabyte 2014 Lagringsklasser Jan Feb Mar Apr Maj Jun Jul Aug Sep Okt Nov Dec Lagring AA 9,1 9,2 1,5 8,4 10,7 6,0 14,8 10,4 10,4 10,4 10,4 10,4 Lagring A4 44,8 44,9 45,0 45,6 45,9 34,3 56,7 46,1 45,9 46,2 48,0 49,4 Lagring B4 9,0 8,7 8,7 8,7 8,7 9,3 8,7 8,4 8,5 8,5 8,5 8,5 Lagring C4 65,9 65,6 65,9 65,5 67,9 71,4 74,8 72,6 74,6 75,6 74,0 75,0 Varav administrativ verksamhet omfattar Lagring AA 9,1 9,2 1,5 8,4 10,7 6,0 14,8 10,4 10,4 10,4 10,4 10,4 Lagring A4 44,7 44,8 44,9 45,5 45,8 34,2 56,6 46,0 45,8 46,1 47,9 49,3 Lagring B4 8,7 8,4 8,4 8,4 8,4 9,0 8,4 8,4 8,2 8,2 8,2 8,2 Lagring C4 63,8 63,5 63,8 63,4 65,8 69,3 72,7 70,5 72,5 73,5 71,9 72,9 Varav pedagogisk verksamhet omfattar Lagring AA Lagring A4 0,1 0,1 0,1 0,1 0,1 0,1 0,1 0,1 0,1 0,1 0,1 0,1 Lagring B4 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 Lagring C4 2,1 2,1 2,1 2,1 2,1 2,1 2,1 2,1 2,1 2,1 2,1 2,1 AA = avbrottfri, alla dagar A4 = tillåten avbrottstid 4 timmar, alla dagar B4 = tillåten avbrottstid 4 timmar, helgfri mån-lör C4 = tillåten avbrottstid 4 timmar, helgfri mån-fre (92) Upphandling GSIT 2.0

71 2.4 Nuvarande Service Desk Staden har idag två leverantörer som är ansvariga för att ge användarstöd och support av it-frågor. ServiceCentrum genom Tieto Stockholm och Service Desk genom Volvo IT. Supporten är öppen 24 timmar om dygnet. Supportleverantörerna har olika ansvarsområden som framgår i bilden nedan ServiceCentrum Hos ServiceCentrum får stadens användare hjälp med frågor som rör: Stadens centrala verksamhetssystem - Drift- och supportfrågor för stadens centrala verksamhetssystem. Telefoni - Frågor gällande fasta telefonanslutningar eller abonnemang. Terminaler (Mobiltelefoner och surfplattor) - Frågor som berör mobiltelefoner (IOS, Android och Windows) eller surfplattor (IOS och Android). Datakommunikations- och nätverksfrågor inom stadens miljö. Användare har genom ServiceCentrum flera möjligheter att få hjälp. Som exempel kan nämnas: Ringa en support som under dagtid ska svara inom 20 sekunder. Upphandling GSIT (92)

72 Få support direkt genom att den man pratar med i telefon fjärrstyr användarens dator och förklarar/ser och löser problemet direkt på distans. Kommunicera med supporten via telefon, e-post och chatt. Använda en webbplats (portal) med möjlighet till. självservice, exempelvis registrera ett nytt ärende, följa status på ärende, beställa terminaler. Få support med frågor rörande tjänsten mstart för att få tillgång till kalender och e-post i smartphone eller surfplatta. Ringa in och få hjälp med sin PUK-kod på sitt mobiltelefonabonnemang. Hantera fakturaärenden gällande telefoni. Kontaktvägar för stadens användare till ServiceCentrum är via telefon, e-post, chatt eller portal Service Desk Hos Service Desk får stadens användare hjälp med frågor som rör: Arbetsplatssystem. Surfplattor (Windows). Standardprogram (till exempel Outlook, Word, Excel, Internet Explorer). Skrivare. Stadens lokala verksamhetssystem. Användare har genom Service Desk flera möjligheter att få hjälp. Som exempel kan nämnas: Ringa en support som ska svara inom 30 sekunder. Få support direkt genom att den man pratar med i telefon fjärrstyr användarens dator och förklarar/ser och löser problemet direkt på distans. Få ut en dator inom åtta timmar om det som orsakar supportbehovet beror på fel på hårdvaran. Kommunicera med supporten via telefon, e-post och chatt. Använda en webbplats med möjlighet till självservice, exempelvis beställa program samt hantera lösenord. Beställa fast stationerad lokal tekniker, som finns på plats hos kunden de tider man önskar. Hantera fakturaärenden och få hjälp med att förstå fakturor. Kontaktvägar för stadens användare till Service Desk är via telefon, e-post, chatt eller portal. 72 (92) Upphandling GSIT 2.0

73 2.4.3 Samordning mellan ServiceCentrum och Service Desk För att samordna mellan de bägge supportleverantörerna har Volvo IT och Tieto skapat ett gemensamt handskakningsdokument för att säkerställa processer som ökar kundnöjdhet och underlättar för de användare som kommer i kontakt med supporten. Dokumentet beskriver i detalj hur processerna ska ske mellan leverantörerna gällande samverkan, ärendehantering, kommunikationskanaler, driftstörningar och servicefönster. Beskrivning av processen vid normala och komplexa ärenden Normala ärenden Service Desk A registrerar inte ärendet mot användaren utan mot Service Desk B för statistik. Service Desk B registrerar ärendet mot användaren. Användaren får endast mail från rätt Service Desk. Komplexa ärenden Mottagande Service Desk registrerar och hanterar ärendet enligt avtal. Användaren har endast kommunikation med en Service Desk, i detta fall fel Service Desk Nuvarande samordning mellan ServiceCentrum och övriga leverantörer För att samordna mellan ServiceCentrum och övriga leverantörer har Tieto skapat ett gemensamt handskakningsdokument med varje leverantör för att säkerställa processer som ökar kundnöjdhet och underlättar för de användare som kommer i kontakt med supporten. Dokumentet beskriver i detalj hur processerna ska ske mellan leverantörerna gällande samverkan, ärendehantering, kommunikationskanaler, driftstörningar och servicefönster. Upphandling GSIT (92)

74 Med följande leverantörer har Tieto skapat handskakningsdokument: Leverantören för telefoni Leverantören för terminaler Leverantören för datakommunikation och nätverk Leverantören för Support Skolplattformen Leverantören för GSIT Serviceportalen Serviceportalen i GSIT 1.0 är en rollbaserad webbportal för självbetjäning tillhandahållen av Volvo IT för att hantera beställningar (beställningar för alla ingående tjänstekataloger i GSIT 1.0 leveransen), godkännanden och information. Portalen är åtkomlig via en webbadress inom stadens nät (serviceportalen.stockholm.se). Från arbetsplatssystemet är portalen åtkomlig via SSO (Single Sign On). Beroende på vilken roll användaren har i serviceportalen kan olika aktiviteter utföras, som att lägga beställningar, godkänna beställningar, ta del av rapportutbud etcetera. Exempel på roller är användare, behörig beställare och behörig godkännare. Exempel på vad serviceportalen erbjuder (delvis beroende på roll): Aktuell driftinformation. Kontaktuppgifter till Service Desk samt möjlighet att registrera, komplettera och följa sina egna supportärenden via felanmälanportalen. Kontohantering. Till exempel hantera sin profil, byta lösenord eller byta pinkod på sitt tjänstekort. Registrering och hantering av beställningar samt möjlighet att följa öppna och avslutade beställningar. Hantering av icke personlig brevlåda, se lista på certifierad kringutrustning (projektorer, skrivare, tangentbord etcetera). Vikariehantering av roller/behörigheter. Tillägg/ändring av roller/behörigheter. Ta ut rapporter. Hantera skrivare. Till exempel ansluta eller avinstallera skrivare. FAQ:er. För beställningar finns det idag cirka 1100 olika tjänster att beställa och dessa är uppdelade i fyra (4) klasser och ca femtio (50) kategorier. Befintliga klasser är: Software 74 (92) Upphandling GSIT 2.0

75 Hardware Service UserService Kategorier kan exempelvis vara: Datorpaket. tillbehör, skrivare etcetera för klassen Hardware Användarkonton, fjärraccess (VPN) ägarbyte etcetera för klassen Service Kontorsprogramvara, typsnitt, grafiska system, praktiska verktyg etcetera för klassen Software Ominstallation, elevhantering, e-post, tjänstekort etcetera för klassen UserService Volymer för Service Desk För att beskriva tjänstens omfattning har nuvarande supportvolymer sammanställts i detta avsnitt. Observera att ärendestatistiken även inkluderar volymerna för den pedagogiska verksamheten. Upphandling GSIT (92)

76 Ärendestatistik av de vanligaste incidentärenden i leveransen av GSIT Ärendestatistik 2014 Vanligaste incidentärenden Jan Feb Mar Apr Maj Jun Jul Aug Sep Okt Nov Dec AD START ARBETSPLATS PRINT ARBETSPLATS SERVICEPORTALEN OFFICE START FJÄRR NETID ARBETSPLATS WINDOWS SERVER BAS PARAPLYET IDM CORE STHLM MS INTERNET EXPLO LAN CITRIX RECEIVER WLAN INFRASTRUCTURE Interim IT* #* * Redovisas från september 2014 # Ej kategoriserade ärenden 76 (92) Upphandling GSIT 2.0

77 Ärendestatistik av samtliga ärenden i leveransen av GSIT Ärendestatistik av antalet gjorda beställningar i leveransen av GSIT 1.0 Upphandling GSIT (92)

78 Statistik över de tio (10) vanligaste beställda tjänsterna under 2014 Tjänstenamn Antal Beställ en eller flera behörigheter till en användare Beställ samma behörighet till en eller flera användare Avbeställning av en applikation från en eller flera datorer Beställ lista över gruppmedlemskap Ägarbyte - ny fakturareferens inom samma verksamhet Avbeställ mjukvara Avbeställning av en eller flera behörigheter från en användare Ominstallation till START64 (Windows 64-bit) Fjärraccess (VPN) Datorpaket 1034 Normal bärbar skola Ärendestatistik av samtliga ärenden per verksamhet i leveransen av GSIT (92) Upphandling GSIT 2.0

79 Januari Februari Mars April Maj Juni Juli Augusti September Oktober November December Antal ärenden per månad Antal ärenden per månad Bilaga U 3 Nuläge och volymer Grafisk beskrivning av ärendestatistiken i leveransen av GSIT 1.0 Vanligaste incidentärenden AD START ARBETSPLATS PRINT ARBETSPLATS SERVICEPORTALEN OFFICE START FJÄRR Ärendetyper 2014 Förfrågan Incidenter Klagomål Upphandling GSIT (92)

80 Januari Februari Mars April Maj Juni Juli Augusti September Oktober November December Antal ärenden per månad Januari Februari Mars April Maj Juni Juli Augusti September Oktober November December Antal ärenden per månad Bilaga U 3 Nuläge och volymer Ärenden per verksamhet 2014 BOLAG SDF SKOLA Beställningar Beställningar (92) Upphandling GSIT 2.0

81 Ärendestatistik av de vanligaste incidentärenden i ServiceCentrum per april Grafisk beskrivning av ärendestatistiken i ServiceCentrum per april 2015 Upphandling GSIT (92)

82 Ärendestatistik för Datakommunikations- och nätverk under 2013 och (92) Upphandling GSIT 2.0