Aarhus Kommunes IT-miljø Indholdsfortegnelse 1 Formål... 3 1.1 IT-miljø... 3 1.2 Standarder (pædagogisk netværk)... 3 1.2.1 Directory og rettighedsstyring... 3 1.2.2 Desktop... 3 1.2.3 Mobiltelefoner / tablets... 4 1.2.4 Print... 4 1.2.5 Applikationsservere... 4 1.2.6 Filsystem... 4 1.3 Standarder (administrativt netværk)... 4 1.3.1 Directory og rettighedsstyring... 4 1.3.2 Desktop... 4 1.3.3 Mobiltelefoner / tablets... 5 1.3.4 Print... 5 1.3.5 Applikationsservere... 5 1.3.6 Filsystem... 5 1.3.7 Kontorplatform... 5 1.3.8 Webplatform... 5 1.4 Standarder (infrastrukturen)... 6 1.4.1 Logiske netværk (VRF)... 6 1.4.2 LAN... 6 1.4.3 WAN... 7 1.4.4 Perimeter... 7 1.4.5 IT-Sikkerhed... 7 1.5 Systemlandskab (pædagogisk netværk)... 7 1.6 Systemlandskab (administrativt netværk)... 8 1.6.1 Status... 8 Side 1/10
1.6.2 Planlagte forandringer 2016 ff.... 9 1.7 Datakommunikation... 10 1.8 Udstyr lokaliseret hos Aarhus Kommune eller tredjemand... 10 1.8.1 Servermiljø... 10 1.8.2 Klientmiljø... 10 Side 2/10
1 Formål Formålet med dette bilag er at beskrive Aarhus Kommunes IT-miljø. Beskrivelsen omfatter standarder, it-systemer herunder planlagte ændringer samt infrastruktur. Såfremt tilbudsgiver har forudsætninger til Aarhus Kommunes it-miljø, som er nødvendige for levering af løsningen og/eller opfyldelse af servicemål, bedes de angivet i besvarelse af kravspecifikationen, hvor der refereres til disse bilag. Beskrivelsen af standarder er opdelt i tre afsnit Pædagogisk netværk Administrativt netværk Infrastruktur Systemlandskabet er opdelt i to afsnit Pædagogisk netværk Administrativt netværk Læringsplatformen vil hovedsageligt blive benyttet fra det pædagogiske netværk, men en del af brugerne vil tilgå læringsplatformen fra det administrative netværk og/eller fra det åbne internet. 1.1 IT-miljø I dette afsnit beskrives Aarhus Kommunes eksisterende og planlagte it-miljø, eller de dele heraf, som Aarhus Kommune anser for relevante for tilbudsgiver i forbindelse med leveringen af løsningen. 1.2 Standarder (pædagogisk netværk) 1.2.1 Directory og rettighedsstyring Der anvendes Microsoft AD på 4 2012 R2 DC er. Serverene er placeret internt på Aarhus kommunes infrastruktur. Systemet EasyIQ IdM anvendes til brugerstying. Brugeroplysninger, organisatorisk placering og kodeord synkroniseres fra UNI-Login. Systemet håndterer desuden rettigheder i AD ud fra rollebaseret adgangsstyring. 1.2.2 Desktop Alle Windows desktops er managed med Symantec Altiris. Applikationer deployes i pakker streamet eller som MSI installationer. Antivirus er Symantec Endpoint Protection. OS er Windows 7 Professional Plus OEM. OS forventes opgraderet til Windows 10 i løbet af 2016. Der er ca. 7.000 Windows bærbare af fabrikat Lenovo og ca. 3.500 stationære af blandet fabrikat. Alle Chromebooks er managed med Google Admin Console, hvorfra også applikationer deployes automatisk. Der er ca. 1.000 Chromebooks, hvor hovedparten er Lenovo Chromebooks. Skolerne styrer selv deres IT- indkøb efter positiv liste lavet af central it-afdeling. Side 3/10
Derudover medbringer elever egne maskiner, hvor hardware og styresystem varierer bredt. 1.2.3 Mobiltelefoner / tablets Porteføljen er spredt på forskellige platforme, og forventes ikke konsolideret. Elever og lærere medbringer egne telefoner og det er således ikke noget kommunen udleverer. Telefoner kan forventes at køre Windows Phone, Android eller IOS 9 eller nyere. Tablets til undervisningsbrug er typisk ipads. Kommunens MDM-system på pædagogisk netværk, Lightspeed, håndterer ca. 1200 ipads. Derudover medbringer elever egne tablets, hvor hardware og styresystem varierer bredt. 1.2.4 Print Ca. 500 Printere / kopimaskiner fra Konica-Minolta og Kyocera, der er managed med Konica-Minoltas produkt SafeQ hertil, og som understøtter sikker udskrift og follow-me udskrift. Lokalt tilsluttede printere understøttes ikke. 1.2.5 Applikationsservere På det pædagogiske netværk er de ca. 30 applikationsservere som udgangspunkt virtualiserede og hostes af kommunen i et Flexpod miljø. Der understøttes Win 2008 R2 og Win 2012 R2. 1.2.6 Filsystem Alle filshares, herunder brugernes homedirectory, afvikles af hardware fra NetApp og er konfigureret som CIF Shares. 1.3 Standarder (administrativt netværk) 1.3.1 Directory og rettighedsstyring Der anvendes Microsoft AD 2012 med 5 DC er, heraf 2 i eksternt site hos drifts-operatør på Exchange. Digitale medarbejdersignaturer for 4-5.000 ansatte i Aarhus kommune administreres og deployeres med Signaturcentralen leveret af Signaturgruppen. Et internt udviklet register, BrugerIDdatabasen fungerer kombineret med Microsoft ADFStjenester som identitets broker imellem AD, Nem ID, KMD s Novell-systemer (OPUS), Mainframemiljøet m.v. Man kan populært sagt via CPR-nummeret veksle en brugers identitet fra et directory til et andet. 1.3.2 Desktop Alle desktops er managed med Symantec Altiris. Applikationer deployeres i pakker streamet eller som MSI installationer. Antivirus er Symantec Endpoint Protection. OS er Win 7 Professional Plus OEM. Side 4/10
Der er ca. 4.000 bærbare af fabrikat Lenovo og ca. 8.000 stationære af fabrikat HP. Porteføljen er konsolideret på forholdstvist få modeltyper, da al arbejdspladshardware er anskaffet inden for de seneste tre år. 1.3.3 Mobiltelefoner / tablets Porteføljen er spredt på forskellige platforme, og forventes ikke konsolideret. Der anvendes ca. 45% iphone, 45% Android og 10% WinPhone. Tablets til generelt kontorbrug er typisk ipad, mens tablets dedikeret til fagsystemer typisk er Android. Alle mobiltelefoner og tablets forventes underlagt et MDM-system til management og deployering i løbet af 2016. Implementeringen er påbegyndt november 2015. SIM-kort i mobile devices leveres af Telenor, og der anvendes p.t. et lukket MPLS/VPN adgangspunkt der forbinder SIM kortets Mobildataforbindelse til administrativt netværk. I takt med implementering af MDM løsningen i løbet af 2016 udfases det lukkede adgangspunkt, og Mobile devices skal herefter aktivt oprette forbindelse til administrativt netværk med Cisco AnyConnect, i det omfang tjenesten ikke udbyde på sikker vis i DMZ. 1.3.4 Print Ca. 900 Konica-Minolta Multifunktionsprintere, der er managed med Konica-Minoltas produkter hertil, og som understøtter sikker udskrift og follow-me udskrift. Lokalt tilsluttede printere understøttes ikke. 1.3.5 Applikationsservere Alle ca. 400 applikationsservere er som udgangspunkt virtualiserede og hostes i et outsourcet driftsmiljø, - p.t. et VMware miljø hos ATEA. Der understøttes Win 2008 R2, Win 2012 R2 og RedHat Linux. Driftsmiljøet er SPLA licenseret for Operativsystem og Microsoft SQL server Std. og Enterprise. 1.3.6 Filsystem Alle filshares, herunder brugernes homedirectory, afvikles i et ADFSbaseret filsystem hos den eksterne serverdriftsoperatør. 1.3.7 Kontorplatform Der migreres p.t. fra Microsoft Office 2007 / Exchange 2013 til Office365. Omlægningen forventes gennemført i 2016. 1.3.8 Webplatform Intranet afvikles i Sharepoint 2007, Dokumenthåndteringssystem afvikles i Sharepoint 2010, Collaboration og Projektrum afvikles i Sharepoint 2013. Aarhus kommunes offentlige hjemmeside (www.aarhus.dk) afvikles i Sitecore. Side 5/10
1.4 Standarder (infrastrukturen) 1.4.1 Logiske netværk (VRF) Aarhus kommune anvender sikkerhedsmæssigt adskilte netværk til forskellige formål. Netværkene er logisk delt i VRF er, og trafikken imellem dem reguleres af firewallregler. De væsentligste VRF er er: Administrativt netværk (Fælles) Anvendes af alle typer af medarbejdere til administrative formål, - tjenester der tilbydes er eksempelvis E-mail og dokumenthånbtering, Fagsystemer, ERP systemer, print m.v. Tilbydes trådet og trådløst til domænemaskiner på administrativt netværks AD. Pædagogisk netværk (Magistratsafdelingen for Børn og Unge) Anvendes af elever og undervisere i magistratsafdelingen for Børn og Unge til undervisningsformål) Tilbydes trådet og trådløst til domænemaskiner på pædagogisk netværks AD. Tilbydes trådløst til BYOD maskiner hvor brugeren kan autentificere sig med UniLogin. Publikumsnetvæket (Magistratsafdelingen for Kultur og Borgerservice) Anvendes af Lånere på dedikerede trådede maskiner i Bibliotekeres publikumsområde. Teknisk netværk (Fælles) Anvendes til bygningstekniske formål, herunder f.eks. CTS-anlæg, overvågning, låsesystemer, kaldeanlæg m.v. SmartAarhus (Offentligt) Tilbydes trådløst til byens borgere og gæster, der ved anvendelse skal autentificere sig med NemID eller SMS-passcode. Herudover er der et antal VRF er til IT-driftsmæssige og andre interne formål, samt et antal trådløse netværk der kun broadcastes lokalt i specifikke bygninger og til specifikke formål. 1.4.2 LAN I kommunens bygninger patches de relevante netværk til vægstik til krydsfelter med UTP kabel kat 5 eller nyere. Krydsfelterne er bestykket med Cisco aktive enheder af varierende alder og kapacitet, men udstyret kasseres når det når Ciscos End_of_Life termin for det pågældende udstyr. I de fleste bygninger er opsat AP er, der broadcaster de trådløse netværk.. P.t. er der ca. 5.500 Cisco Access points på ca. 1.000 lokationer. Hele porteføljen styrs af en redundant, central Cisco WLC. Side 6/10
Aarhus kommune har anskaffet Cisco ISE til netværksadgangsstyring, og i løbet af 2016 / 17 forventes det at Cisco ISE erstatter den nuværende fysiske patchning til specifikt netværk, således at det fremadrettet er devicens og brugerens credentials, der afgør hvilket netværk der tilbydes. 1.4.3 WAN Aarhus kommune ejer sin egen fiberinfrastruktur, der forbinder de ca. 1.400 lokationer igennem 61 POPskabe placeret på 4 fiberringe, der igen er forbundet til en core backbone med to redundante knudepunkter. Alle lokationer kan tilbydes alle tjenester og alle netværk igennem denne infrastruktur. Hele infrastrukturen er i 2015 opgraderet til seneste teknologi, og har derfor den kapacitet der skal til. Eksterne driftsoperatører er tilsluttet infrastrukturen med direkte via kommercielle fiberforbindelser fra TDC, Nianet eller GlobalConnect, - eller med PtP VPN over Internettet. En særstatus har KMD, der er tilsluttet via en proprietær VPN teknologi. 1.4.4 Perimeter Der anvendes én ISP (p.t. TDC) som leverer en redundant 10 Gbit/s Internetforbindelse. Aarhus kommune disponerer selv over tre C-klasser offentlige PI IPadresser. Firewallteknologien er Cisco ASA. Al udgående trafik fra et internt VRF er NAT tes til en fælles public IP. Trafik fra og til servere i DMZ NAT tes til dedikerede Public IP-adresser. Indgående VPN sker med Cisco AnyConnect mod en dedikeret ASA firewall. WEB-proxi for publicering af webløsninger primært på administrativt netværk - varetages af en Microsoft TMG-server, der forventes udfaset til fordel for Citrix NetScaler i løbet af 2016. Perimetersikkerheden i forhold til e-mail (mailgateway, antivirus og antispamfiltrering, sikker e-mail m.v.) håndteres særskilt af Aarhus kommunes driftsoperatør på post. 1.4.5 IT-Sikkerhed Aarhus kommunes sikkerhedshåndbog er baseret på DS484, og relevante uddrag er vedlagt i Underbilag 2c Aarhus Kommunes IT Sikkerhedspolitik. 1.5 Systemlandskab (pædagogisk netværk) I dette afsnit følger en beskrivelse af de væsentligste systemer på Aarhus Kommunes skoleområde (pædagogiske netværk). Microsoft Office På alle domænemaskiner er Microsoft Office 2010 tilgængelig. Migrering af Microsoft Office klienten til Office 365 forventes gennemført i 2016. Google Apps for Education Side 7/10
Der tilbydes kontorpakke og diverse apps fra Google Apps for Education. Implementeringsgraden varierer fra skole til skole. Its Learning Skoleintra Samarbejds- og kommunikationsplatform. Skoleintra erstattes i løbet af 2017/18 af den kommende samarbejdsportal i regi af brugerportalsinitiativet. IdM-, management-, deploymentsystemer som beskrevet under Standarder (pædagogisk netværk) 1.6 Systemlandskab (administrativt netværk) 1.6.1 Status For en administrativ medarbejder i Aarhus kommune er systemlandskabet delt i de fælles systemer, og de fagspecifikke systemer. Fælles systemer er, ud over kontorpakken: Fujitsu e-doc Journalsystem. Systemet håndterer på tværs af alle afdelinger journalisering og dokumentation af sager og dokumenter, herunder e-mails. Systemet genererer de offentlige postlister. Fujitsu e-doc integrerer med Microsoft Office gennem tilføjelsesprogrammer og plug-ins, men har også en webbaseret brugerflade og en APP til mobile devices. Mødebooking RessourceFinder). Systemet er indlejret i Microsoft Office gennem tilføjelsesprogrammer og plug-ins. Dokumentskabeloner. dynamictemplate Systemet er indlejret i Microsoft Office gennem tilføjelsesprogrammer og plug-ins. Sikker e-mail TietoEnator Systemet er indlejret i Microsoft Office gennem tilføjelsesprogrammer og plug-ins. ERP (KMD OPUS) Systemet tilgås dels med SAP klient lokalt deployeret til desktoppen, og med browserbaseret brugerflade (KMD Rollebaseret Indgang). Systemet omfatter funktioner til såvel løn- og personale administration og økonomistyring. Herudover er der i den browserbaserede brugerflade og i en egenudviklet APP til Mobile devices adgang til personlig administration af fravær, sygdom og kørsel. Side 8/10
Intranet (WMdata) Intranettet er baseret på en platform udviklet i Sharepoint 2007 og anskaffet i 2007 fra daværende WMdata. Den grundlæggende struktur og opbygning er uændret siden. Intranettet har en fælles del, og seks magistratsafdelingsspecifikke dele. Funktionalitet og indhold i den fælles del og de magistratsafdelingsspecifikke dele er delvist overlappende. Herudover har en administrativ bruger helt afhængigt af vedkommendes funktion adgang til en række fagspecifikke systemer. En del afvikles som client/server med serveren placeret internt i Aarhus kommunes hostede driftsmiljø, andre afvikle som client/server med serveren hostet hos systemleverandøren. Den administrative bruger anvender i udstrakt grad mobiltelefon og/eller tablet til læsning af mail og opslag i dokumenthåndteringssystemet, men den strukturerede og planlagte udbredelse af apps, hvis primære funktionalitet ligger på den mobile device, er meget begrænset for den administrative bruger. Fagspecifikke systemer i Børn og Unge, relateret til Læringsplatformen er Tabulex TEA fra IST Elevadministration og elevfravær. Tabulex TRIO fra IST Arbejdstidsplanlægning for pædagogisk personale Tabulex Skema samt Fleksible Skemaer fra IST Skemalægningsværktøj for elever Børn og Unges ledelsesinformationssystem Ledelsesinformation og styringsværktøjer baseret på SAS platform 1.6.2 Planlagte forandringer 2016 ff. I løbet af 2016 udfases den lokalt installerede Office 2007 kontorpakke med en lokalt installeret Office365 (2013) kontorpakke, kombineret med de cloudbaserede tjenester i Office 365. Ikke mindst fordi en stor del af de fælles systemer jf. ovenstående integrerer kraftigt med Officepakken, er denne forandring omfattende, - både teknisk og supportmæssigt. Introduktionen af OneDrive for Business vil gøre det muligt for brugerne at få adgang til deres personlige dataarkiver fra flere platforme, og det vil muliggøre intern dokumentdeling i et hidtil ikke opnåeligt omfang. Effekten vil ikke komme samtidigt med introduktionen, - men på den mellemlange bane vil introduktionen af den dropboxlignende funktionalitet på sikker og autoriseret grundlag forandre brugen af shares, homedir og mailforsendelse af dokumenter til gennemsyn. Introduktionen af Mobile Device Management vil gøre det muligt at foretage strukturerede og supporterede deployeringer af applikationer til mobile devices. En væsentlig årsag til at de ofte uhyre avancerede mobildevices i dag primært anvendes til læsning af post, er netop at det ikke har været muligt at deployere apps til dem. Desktops vil muligvis i løbet af 2016 blive opgraderet fra Win 7 til Win 10. Det forventes ikke at medføre større tekniske eller supportmæssige udfordringer. Side 9/10
1.7 Datakommunikation Da løsningens servere er placeret hos udbyderen af løsningen, eller ved 3. part, skal trafikken krypteres enten med certifikater fra Aarhus kommunes interne PKI, eller med tidssvarende certifikater stillet til rådighed af udbyderen. Aarhus kommune er fleksibel med hensyn til etablering af lukket datakommunikation med en ekstern driftsudbyder, og understøtter: routning igennem eksisterende kommerciel fiber, - TDC MPLS, Nianet eller GlobalConnect. Disse operatører har alle redundante fysiske fibere termineret direkte i Aarhus kommunes netværksknudepunkter. routning igennem en for udbyderens regning etableret ny fiber til Aarhus Kommunes infrastruktur (redundant indgang på hhv. Rådhuset og Grøndalsvej 1, Viby. Point to Point VPN over Internetforbindelsen SSL over internetforbindelsen 1.8 Udstyr lokaliseret hos Aarhus Kommune eller tredjemand 1.8.1 Servermiljø Leverandøren skal tilbyde sin løsning hostet hos Leverandøren selv, eller ved 3. part på kontrakt med Leverandøren. Hele omkostningen er indregnet i løsningens tilbudte pris. Løsningen afleveres og måles i Aarhus kommunes infrastrukturs coremiljø, enten via kommerciel fiber, SSL over Internettet eller Point to Point VPN over Internettet. 1.8.2 Klientmiljø Løsningen skal som minimum understøtte Microsoft Internet Explorer i nuværende og seneste version og kunne afvikles med mindre og ubetydelige funktionstab i Google Chrome, Mozilla Firefox, Microsoft Edge og Safari nuværende version. I det omfang løsningen forudsætter installation af plug-ins og tilføjelsesprogrammer til Microsoft Office og eller Microsoft Internet Explorer, skal disse kunne installeres på Microsoft Office 2010 og 2013 under Windows 7 og Windows 10, og leveres i form af komplette MSI pakker der kan installeres unattended og silent. Alle opdateringer til plugins skal leveres som komplette MSI pakker, der kan installeres unattended og silent. Side 10/10