Visma Econet Pro SEPA Konversioliittymän käyttöönotto-opas
Oppaan päiväys: 9/2011 Asiakaspalvelu: Helpdesk: kirjautuminen Visma Econet infolinen tai osoitteen www.visma.fi kautta Visma Econet Pro: 0600-39-7261 Visma Software Oy pidättää itsellään oikeuden mahdollisiin parannuksiin ja/tai muutoksiin tässä oppaassa ja/tai ohjelmassa ilman eri ilmoitusta. Oppaan ja siihen liittyvän muun materiaalin kopiointi on kielletty ilman Visma Software Oy:n kirjallista lupaa. Microsoft, MS, SQL Server, Microsoft Word ja Windows ovat Microsoft Corporationin rekisteröityjä tavaramerkkejä. Visma Software Oy, 2011 www.visma.fi
Sisällysluettelo 1 Yleistä... 2 1.1 Johdanto... 2 1.2 Tuetut SEPA-ominaisuudet... 2 1.3 Liitteet... 2 2 Toimenpiteet... 3 2.1.1 OnDemand -palvelun tilaus... 3 2.1.2 OnDemand palvelun aktivointi... 3 2.1.3 Lisäohjelmien hakeminen ja asennus... 5 2.1.4 Visma Econet Pro ja konversioliittymän asennus... 6 2.1.5 Visma Econet Pro SEPA-asetukset... 6 2.1.6 Visma Econet Pro palkat SEPA-asetukset... 8 3 Liitteet... 11 3.1 Lisäohjelmien asennus Visma Updater ohjelmalla... 11 3.1.1 OnPremises Gatewayn asennus... 11 3.1.2 Visma Update Clientin asennus... 18 3.1.3 Visma Update... 21 3.1.4 Asennuksen tarkistaminen... 22 3.1.5 Tarvittavat ympäristövaatimukset... 23 3.2 On Premises -palveluiden tietoturva On Demand integraatioratkaisuissa... 24 3.2.1 Alustavat toimenpiteet... 24 3.2.2 Liikennöinnin salaus ja osapuolten varmentaminen... 25 3.2.3 Liikennöinti palvelun ja paikallisen sovelluksen välillä... 25 Yleistä - 1
1 Yleistä Tässä ohjeessa kuvataan ja Visma Econet Pro ohjelmien SEPA maksuaineistojen käyttöönoton vaiheet. Econet Pro ohjelmiston versio 6.40 toi mukanaan tarvittavat ominaisuudet. Näiden päivitysten lisäksi on tilattava Visman OnDemand/Visma Banking Central palvelu ja asennettava tarvittavat lisäohjelmat (On Premises Gateway ja Visma Updater). Tarvittava Visma SEPA-konversioliittymä ja Visma Econet Pro ohjelmistojen päivitykset ja päivitysten asennusohjeet on toimitettu asiakkaille automaattisesti. Lisäohjelmat asennetaan netistä ladattavasta paketista. Visma SEPA-konversioliittymää käyttävät asiakkaat määrittelevät SEPA asetukset Visma Econet Pro ohjelmissa. Asennuksissa ja asetusten teossa on seuraavat vaiheet: Tarvittavat sopimukset pankin tai pankkien kanssa koskien SEPA maksuaineistoja Visma Banking Central ratkaisun tilaus Visma Banking Central ratkaisuun rekisteröinti ja asiakkaan tunnusten aktivointi Ohjelmistojen asennukset/päivitykset ja asetusten määrittäminen 1.1 Johdanto Ne Visma Econet Pron asiakkaat, joilla ei ole käytössä Visma Monipankki ohjelmaa, saavat SEPA maksujen konvertointia varten Visma SEPA-konversioliittymä ohjelman, joka pitää sisällään Monipankki ohjelman SEPA ominaisuuden osat. Tämän dokumentin lisäksi löydät tietoa Sepasta Visma Econet Pro ohjelman ylävalikon Avusta sanan alta Infoline link SEPA välilehti sekä verkkosivuiltamme osoitteesta http://www.visma.fi/sepa. 1.2 Tuetut SEPA-ominaisuudet Visma SEPA-konversioliittymässä on julkaistu ensimmäiset SEPA -ominaisuudet. Versio 6.40 tukee kotimaanmaksuaineistojen SEPA-konversioita. SEPA konversio vaatii Visma Banking palvelun tilaamista Vismalta. 1.3 Liitteet Tässä oppaassa viitataan seuraaviin oppaan lopusta löytyviin liitteisiin: 1. OnPremises Gatewayn asennus Visma Updater ohjelmalla, joka sisältää asennusohjeet - On Premises Gateway:n (OPG) ja - Visma Updaten asentamiseen 2. On Premises -palveluiden tietoturva On Demand -integraatioratkaisuissa Yleistä - 2
2 Toimenpiteet Tässä luvussa kerrotaan SEPA -ominaisuuksien käyttöönsaamiseksi tarvittavat toimenpiteet. Huomioi myös, että maksuliikennesopimukset SEPA-muotoisen aineiston lähettämisestä pankin kanssa ovat kunnossa. 2.1.1 OnDemand -palvelun tilaus Visman SEPA-ratkaisu perustuu kokonaisuuteen, jossa osa toiminnoista on rakennettu Visman OnDemand-palveluiksi, sovellukseen nimeltä Banking Central. Palvelu pitää tilata ja palvelun käyttöönottoon liittyy rekisteröityminen palveluun. Vain tämä palvelu mahdollistaa SEPA -muotoisten aineistojen konvertoinnin. Tilauksen voi tehdä osoitteessa: https://sepa.visma.fi/mobile/?dbsettings=143&userid=84&username=sepa&password=sepa&linkpage=tailor_sepa1.html Kun annat tilauslomakkeelle asiakasnumerosi (löytyy esim. laskusta) ja yrityksen Y- tunnuksen, järjestelmä tuo yritystiedot niille varattuihin kenttiin. Tilauslomakkeelta löytyy tarkempi lomakkeen täyttöohje. 2.1.2 OnDemand palvelun aktivointi Kun palvelun tilaus on tehty, lomake lähetetään Visman tilaustoimistoon (lähetys toiminto tilauslomakkeella). Saatte sieltä seuraavanlaisen automaattiviestin: Kun tämä ilmoitus suljetaan, näyttöön tulee teksti: Istuntosi on päättynyt. / Your session has ended. Tämän jälkeen voit sulkea selaimen. Tilausvahvistussähköpostissa toimitetaan linkki rekisteröintilomakkeelle, jolle täydennetään seuraavassa kerrotut tiedot. Toimenpiteet - 3
1. Syötä lomakkeelle järjestelmän pääkäyttäjän sähköpostiosoite. Tämä tieto rekisteröidään Visman OnDemand -järjestelmään ja tälle käyttäjälle lähetetään järjestelmästä viesti, kun yritykset on perustettu. 2. Lisäksi syötä rekisteröitävien yritysten nimi + y-tunnus -parit lomakkeelle. Tallenna yksittäisen yrityksen tiedot Lisää-painikkeella. Voit liittää Yritykset-kenttään myös listan yritystiedoista, esimerkiksi kopioida Excelistä vierekkäisissä sarakkeissa olevat yritysnimet ja y-tunnukset lomakkeelle leikepöydän kautta. Esimerkki asiakkaan yritystietojen rekisteröintilomakkeesta. Toimenpiteet - 4
Rekisteröidyille pääkäyttäjille lähetetään Visma OnDemand -järjestelmästä sähköpostia ( Tili muodostettu ), jossa pyydetään aktivoimaan käyttäjätili seuraamalla postissa olevaa Tilin aktivointi -linkkiä Visma OnDemand -sivustolle. Esimerkki käyttäjätilin luomisesta kertovasta sähköpostista. Aktivoi käyttäjätili asettamalla uusi salasana. Näillä tunnuksilla (sähköpostiosoite + OnDemand salasana) voidaan asentaa tarvittavat lisäohjelmat On Premises Gateway (OPG) ja Visma Update. Asennusohjeet liitteessä 3.1. 2.1.3 Lisäohjelmien hakeminen ja asennus Ennen tarvittavien lisäohjelmien asennuksen aloittamista hae erillinen asennusohjelma osoitteesta: http://static.visma.net/ipp/current/opg_installer/opg_installer.zip Tallenna ja pura/asenna zip-arkiston sisältämät tiedostot palvelimelle/työasemalle, jonka kautta hoidetaan liikennöinti Visman On Demand -palveluihin. Palvelimella/työasemalla tulee olla pääsy Internetiin. Tyypillisesti tämä on tietokone, jolle Visma Econet palvelinosa on asennettu. Aloita asennus suorittamalla Gateway Updater -hakemistosta löytyvä Setup.exe. Visma Gateway Updater on työkalu, joka suorittaa On Demand -palveluiden käyttämiseen tarvittavien lisäohjelmien asennuksen. Visma Gateway Updater -työkalua tarvitaan siis vain käyttöönottovaiheessa ja se on Econet tuotteesta riippumaton ohjelma. Toimenpiteet - 5
Katso erillisohjeet asennuksen vaiheista tämän oppaan liitteet osiosta 3.1. HUOM! Ennen asennusta pitää olla ylläkuvattu OnDemand rekisteröinti tehtynä! Asennusta ei suorittaa ilman OnDemand palveluun myönnettyjä tunnuksia tietoturva syistä. Visma pidättää oikeudet asennusohjelman jakelukanavan muutoksiin tai jakelun rajoittamiseen. 2.1.3.1 OnPremises Gateway SEPA aineistojen kovertointia varten pitää asentaa kaksi lisäohjelmaa. Ensimmäinen on OnPremises Gateway (OPG). Se on palvelu, jonka tehtävä on huolehtia salatun ja suojatun yhteyden luomisesta Visman verkossa toimiviin On Demand palveluihin SEPA - ratkaisussa siis Banking Centraliin. OPG -asennus suoritetaan edellä mainitulla Visma Gateway Updater -sovelluksella. Tarkemmat ohjeet asennuksesta löytyvät tämän oppaan liitteet osiosta 3.1. 2.1.3.2 Visma Update Toinen asennettava lisäohjelma on Visma Update. Se on toimintaperiaatteiltaan kuten Windowsin automaattiset päivitykset toiminto, mutta Windowsin komponenttien päivittämisen sijaan se tarkkailee onko OnPremises Gateway ohjelmaan saatavilla päivityksiä. Huom! Työkalun tekemät järjestelmäpäivitykset voivat vaatia tietokoneen uudelleen käynnistystarpeen. Tämä on hyvä tiedostaa, mikäli asennuksia tehdään ajankohtana, jolloin tietokoneella, esim. tietokantapalvelimella, on aktiivisia käyttäjiä. 2.1.4 Visma Econet Pro ja konversioliittymän asennus SEPA maksuaineistojen muodostaminen vaatii päivitykset sekä Visma Econet Pro ohjelmista (versio vähintään 6.40) että Visma SEPA-konversioliittymän asennuksen. Asennusohjeet ja konversioliittymän asennus CD ovat version 6.40 toimituspaketeissa. 2.1.5 Visma Econet Pro SEPA-asetukset Yleiset SEPA asetukset: Asetukset Perusasetukset Maksutavat SEPA Toimenpiteet - 6
Konversioliittymä määritys on se hakemisto, johon työasemasi/palvelimen Visma SEPA konversioliittymä (tai Visma Monipankki) on asennettu. Esim. C:\Econet Pro\MP Gateway osoite (OPG) -kenttään annetaan osoite siihen koneeseen, johon Visma OnPremises Gateway -palvelu on asennettu (erikseen suoritettava asennus) työasema tai palvelin. Osoite annetaan muodossa palvelimennimi:portti. Portin oletusarvo on 55555. Mikäli Visma Monipankki/Visma SEPA-konversioliittymä on verkkoversiona, annetaan sen palvelinkoneen IP osoite/palvelimen nimi, johon Visma Monipankki/Visma SEPAkonversioliittymä on asennettu, localhost sanan tilalle. Oletuspolkumääritys (työasema): Asetus tehdään yhdeltä työasemalta verkkoversiossa ja SEPA-konversioliittymä on sen jälkeen muiden käytettävissä. Konversion Y-tunnus: se Y-tunnus, jolla on rekisteröidytty Visma Banking Centraliin. Kielivalinta: Kielivalinta valikossa on yrityksen maakoodi, oletuksen Suomi FI Testaus-painikkeen kautta voit testata määritellyillä SEPA-asetuksilla yhteyttä Visman Banking Centeriin käyttäen suojattua Gateway-yhteyttä. ja tarkistaa Visman Banking - palvelun tilan. Jos palvelu ei toimi, ohjelma antaa virheviestin, jossa ongelma on kuvattu tarkemmin. Virheilmoituksen sisällön mahdollisen teknisyyden vuoksi ota virheestä kuvakaappaus esimerkiksi HelpDesk -pyyntöön liitettäväksi. Onnistuneesta yhteydestä saat ilmoituksen: Määritykset maksuaineistojen konversiota varten tehdään pankkitilikohtaisesti Econet Pro:ssa: Asetukset Perusasetukset Maksutavat Aktivoi SEPA optiot ja määritä käyttämäsi pankkiohjelman aineistopolut ja tiedostonimet. Kotimaan ostoreskontra-aineiston lähettäminen SEPA muotoisena voi vaatia aineistoon yrityksen Y-tunnuksesta poikkeavan maksajatunnuksen syötä se tarvittaessa Maksajatunnus kenttään. Määrittele myös pankin käyttämä SEPA merkistö vetolaatikosta (pankin ohjeista). Toimenpiteet - 7
2.1.5.1 Virhe-ilmoitusten tulkintaa Jos saat SEPA muotoista maksuaineistoa luodessasi ilmoituksen: Ratkaisu: tarkista Asetukset Perusasetukset Maksutavat SEPA Konversioliittymä. Liittymää ei ole määritelty tai polku on väärä. Määrittele hakemistoksi se, mihin olet asentanut Visma SEPA-konversioliittymän. 2.1.6 Visma Econet Pro palkat SEPA-asetukset Perustiedot Yritystiedot SEPA muunnos-kenttään määritellään polku, jossa sijaitsee MP_SConv.exe. (Asentuu Visma SEPA konversioliittymän asennuksen yhteydessä) Gateway-kentässä polku, johon On Premises Gateway (OPG) on käyttöympäristössä asennettu. Mikäli ohjelma on asennettu verkkoversiona, annetaan sen palvelinkoneen IP osoite/palvelimen nimi, localhost sanan tilalle. Uusi gateway-kentässä päästään muuttamaan polkua ja Päivitä-painikkeella siirtämään Gateway-kenttään Hyväksy-painikkeella tallennetaan muutokset Toimenpiteet - 8
Perustiedot Pankkitilit SEPA käytössä-kenttä aktivoidaan Konversiotunnus-kenttään määritellään Visma OnDemand rekisteröinnissä käytetty yritysnumero (yleensä yrityksen y-tunnus) Liitäntätiedosto-kenttään määritellään palkka-aineiston maksupolku ja tiedoston nimi Merkistö-kentän valintalistasta valitaan pankkiryhmässä käytettävää koodia. Vaihtoehtona ovat UTF-8, ISO-8859-1 ja ISO-8859-15 Poikkeavat pankkipäivät (SEPA-päivämäärä) Palkanlaskenta huomioi SEPA päivämäärässä arkipyhät, jotka löytyvät Komentovalikosta Erikoistoiminnot Poikkeavat pankkipäivät Toimenpiteet - 9
SEPA päivämäärä-kenttä on lisätty myös palkkakauden lisäykseen Palkka-aineiston muodostaminen Palkka-aineisto muodostetaan samalla tavalla kuin aiemminkin. Pankkiliitäntä-ikkunassa näkyy myös SEPA-päivämäärä, joka on päivää aikaisemmin (-1 pankkipäivä) kuin palkan maksupäivä. Tapahtumat Palkkakauden listat Palkka pankkiin Toimenpiteet - 10
3 Liitteet 3.1 Lisäohjelmien asennus Visma Updater ohjelmalla Visma Updater asennusohjelma asentaa sekä OnPremises Gateway yhdyskäytävä ohjelman että Visma Update päivitysohjelman. 3.1.1 OnPremises Gatewayn asennus 3.1.1.1 Lataa Gateway Updater paketti: http://static.visma.net/ipp/current/opg_installer/opg_installer.zip Tallenna paketti omalle koneellesi Save-painikkeella. 3.1.1.2 Pura zip-paketti ja käynnistä setup.exe Tee uusi kansio esim. C:\SEPA Install\OPG Updater ja pura paketin sisältö sinne. Käynnistä asennus setup.exe ohjelmalla. Ensin saattaa tulla tietoturvakysymys: Liitteet - 11
Tähän vastataan Run Jos ympäristössä ei ole tai on vanhat versiot Windows Installer- tai.net ympäristöstä, tekee ohjelma tarvittavat päivitykset. 3.1.1.3 Käynnistä asennus Install-painikkeella. Tässä esimerkissä puuttuu ympäristöstä Windows Installer 4.5, joten sen asennus alkaa ja asennuksen päättymisestä ilmoitetaan: Kun ympäristö on tarvittaessa päivitetty, on kone käynnistettävä uudelleen vastaamalla Yes. Huomaa, että asennuksen suorittavalla käyttäjällä täytyy olla järjestelmän pääkäyttäjän oikeudet. Windows Installerin ja.net Frameworkin asennus voi kestää useita kymmeniä minuutteja riippuen Internet-yhteyden nopeudesta ja asennuksessa käytettävän tietokoneen suorituskyvystä. Liitteet - 12
3.1.1.4 Uudelleen käynnistyksen jälkeen asennus jatkuu: Ensin saattaa tulla tietoturvakysymys: vastaus taas Run jatka Seuraava-painikkeella Liitteet - 13
3.1.1.5 Asennettavat sovellukset OP Premises Gateaway ja Visma Update client: 3.1.1.6 Jatka Seuraava-painikkeelle Ohjelma jää odottamaan, että vahvistat valinnan painamalla Seuraava: Liitteet - 14
3.1.1.7 Ohjelma aloittaa OnPremises Gatewayn asennuksen: Tämä vaihe jää odottamaan tähän ikkunaan ilmaisimien pyöriessä, joka osoittaa prosessin olevan vielä kesken. Samalla aukeaa uusi ikkuna. Jos ikkuna ei aukea, tarkista ettei se jää Visma Updater ikkunan alle: Klikkaa silloin tummempaa kuvaketta. Valitse seuraava 3.1.1.8 Valitse asennustyypiksi Vakio tai Mukautettu Erona on vain se, että Mukautettu valinnalla voit itse valita asennushakemiston Liitteet - 15
Jatka Seuraavalla 3.1.1.9 Valitse työasema-asennus tai asennus palvelimelle. OnPremises Gateway asennetaan palvelimelle, jos Visma Monipankkia käytetään useammalta työasemalta. Muutoin se asennetaan sille samalla työasemalle, jolle Visma Monipankkikin. Työasema-asennus valitaan valitsemalla OnPremises Gateway on käytettävissä vain paikalliselta työasemalta ruutu. Jatka seuraavalla Liitteet - 16
3.1.1.10 Anna OnDemand Platform alustan -rekisteröintitietosi Eli pääkäyttäjän sähköpostiosoite, johon sait OnDemand palvelun rekisteröintilinkin ja salasana jonka määritit palvelun sivulla. 3.1.1.11 Seuraava-painikkeella näytetään asiakaslista Jos olet useamman yrityksen pääkäyttäjä, asennusohjelma pyytää erikseen valitsemaan asiakaslistalta haluamasi asiakas, jolle asennus tehdään. (Asiakas tarkoittaa tässä Visman asiakasta). Tämä on käytössä vain erikoistilanteissa; normaalisti asennus jatkuu suoraan. Valitse tarvittaessa listalta yritys, jonka käyttöön asennat OnPremises Gatewayn. Liitteet - 17
3.1.1.12 Paina seuraava Tämän jälkeen asennusohjelma lataa suojatun yhteyden luomiseen (OpenSSH) tarvittavia tiedostoja Visman palvelimelta ja asentaa ne. 3.1.1.13 Asennuksen jälkeen voit lopettaa asennusohjelman painamalla Valmis. Kun OnPremises Gateway on asentunut aloittaa Gateway Updater automaattisesti Visma Update Clientin asennuksen. 3.1.2 Visma Update Clientin asennus Visma Update on ohjelma, joka pitää huolen siitä, että äsken asennettu OnPremises Gateway yhdyskäytävästä on käytössä tuorein versio. Ohjelma toimii samaan tapaan kuin Windows Update. Liitteet - 18
Valitse joko vakio tai mukautettu asennus, erona asennuskansion valinta. Paina seuraava painiketta. 3.1.2.1 Tiedostojen lataamisen Lataa tiedostot ja aloita asennus Seuraava painikkeella Oikean yläreunan Vakio ja Laajennettu valinta vaikuttaa vain oikean reunan seurantalistan yksityiskohtien määrään eikä sillä ole vaikutusta itse asennukseen. Liitteet - 19
3.1.2.2 Kun asennus on valmis, paina vielä Seuraava 3.1.2.3 Lopeta asennus Lopeta painikkeella Tämä päättää myös Gateway Updater ohjelman. Liitteet - 20
Seuraava painikkeella tulee vielä loppuvarmennus: 3.1.3 Visma Update Lopeta painike sulkee ohjelman. Kun Visma Update on käytössä, koneen käynnistyessä saattaa tulla ilmoitus, joka kehottaa tarkistamaan päivitykset: Liitteet - 21
Jos saatavilla ei ole päivityksiä, ohjelma voidaan sulkea. Asetuksista voidaan valita OnPremises Gatewayn asennustapa 3.1.4 Asennuksen tarkistaminen Tee tämä Visma Update Client asennuksen jälkeen, kun olet lopettanut Gateway Updater asennusohjelman. Voit varmistaa asennuksen onnistumisen tarkistamalla, että Visma On Premises Gateway on palveluissa Käynnistetty-tilalla. Ohjauspaneeli Suorituskyky ja ylläpito Valvontatyökalut Palvelut (XPkäyttöjärjestelmässä). Liitteet - 22
3.1.4.1 Asennuslokit OnPremise Gatewayn asennusohjelma kirjoittaa lokitiedostot: Windows XP tai Windows Server 2003 ympäristöissä ne tallentuvat hakemistoon: C:\Documents and Settings\All Users\Application Data\Visma\OPGatewayService\XXX\Logging\log Windows Vista, Windows Server 2008 tai Windows 7: C:\ProgramData\Visma\OPGatewayService\XXX\Logging\log ( XXX on asennetun OnPremises Gatewayn versio, esim. 1.1.1.) 3.1.5 Tarvittavat ympäristövaatimukset Visma SEPA-konversioliittymä tarvitsee toimiakseen Microsoft.NET Framework 3.5 SP1 -ohjelmistokomponenttikirjaston. Visma konversioliittymän asennusrutiini asentaa tämän lisäosan (optio asennuksessa). Huom! Asennettavien uusien lisäohjelmien asennuspakettien mukana tulee myös oikea versio.net Frameworkista ja se asennetaan automaattisesti siihen koneeseen, johon lisäohjelmat asennetaan. Verkkoversiossa kuitenkin lisäohjelmat asennetaan tietokantapalvelimelle, jossa Visma konversioliittymä toimii. Tällöin kaikille niille työasemille, jotka käyttävät Visma konversioliittymä sovellusta, on erikseen asennettava Microsoft.NET Framework 3.5 SP1 ohjelmistokomponenttikirjasto. Ohjelmistokomponenttikirjasto tarvitaan koneille, joilla käytetään konversioohjelmaa. Vaadittu versio on.net Framework 3.5 SP1 tai uudempi. Tämän ohjeen kirjoitushetkellä.net Framework 3.5 SP1 on ladattavissa tästä linkistä: http://www.microsoft.com/downloads/details.aspx?familyid=ab99342f- 5D1A-413D-8319-81DA479AB0D7&displaylang=en. Mikäli em. linkki vanhentuu, voit etsiä oikean.net Frameworkin osoitteesta http://www.microsoft.com/net/. Voit tarkistaa koneeseen asennetun.net Framework -version mm. täältä: %windir%\microsoft.net\framework\ Liitteet - 23
missä %windir% on hakemisto, esimerkiksi Windows XP -käyttöjärjestelmässä C:\WINDOWS\ \Microsoft.NET\Framework-hakemistossa pitäisi olla alihakemistot asennettujen versioiden mukaan, esimerkiksi v2.0.50727 tarkoittaa, että koneeseen on asennettu.net Framework 2 -versio. Katso myös: http://msdn.microsoft.com/en-us/kb/kb00318785.aspx 3.2 On Premises -palveluiden tietoturva On Demand integraatioratkaisuissa Visma tarjoaa On Demand -palveluita. Näillä palveluilla tarkoitetaan Visman ylläpitämiä Internetin kautta käytettäviä ohjelmia. Palvelut laajentavat asiakkaan paikallisesti asennettujen sovellusten (kutsutaan On Premises -sovelluksiksi) toiminnallisuutta. Laajentavat siinä mielessä, että ne eivät yksinään tarjoa kokonaisratkaisua asiakkaalle, vaan ovat osa isompaa kokonaisuutta. Tällaisia lisäosia kutsutaan Add-On -ohjelmiksi. Tarjottujen On Demand -palvelujen perustana on tietoturvallinen kaksisuuntainen kommunikaatio On Premises -sovellusten kanssa. Tässä dokumentissa kerrotaan lyhyesti toteutusta tietoturvaratkaisusta. Kuva: Ratkaisun arkkitehtuurinen yleiskuvaus. 3.2.1 Alustavat toimenpiteet Jokaisen asiakkaan on asennettava ympäristöönsä Visman tarjoama On Premises yhdyskäytävä (OnPremise Gateway). Asiakkaan ympäristöön asennettu yhdyskäytävä huolehtii salatun yhteyden luomisesta Visman verkossa toimivaan On Demand yhdyskäytäväohjelmistoon ja tätä kautta On Demand -palveluihin. Liitteet - 24
Asiakkaan aloittaessa Visman On Demand -palveluiden käyttämisen Visma rekisteröi asiakkaan yrityksen palveluiden piiriin ja määrittää yritykselle On Demand palveluiden pääkäyttäjän. Pääkäyttäjä saa käyttöoikeuden tarvittavan yhdyskäytävän asennusohjelmaan sekä Visman OnDemand web-palveluun. Kun OnPremises -yhdyskäytävää asennetaan, järjestelmä varmentaa pääkäyttäjän henkilöllisyyden rekisteröidyn Visma On Demand - käyttäjätunnuksen ja salasanan avulla, ja luo tämän jälkeen sertifikaatin OnPremises - yhdyskäytävälle. Sertifikaatti identifioi kyseisen yhdyskäytävän ja tätä tietoa käytetään jatkossa varmentamaan, että käytettävä yhdyskäytävä on rekisteröity juuri kyseessä olevalle asiakkaalle. 3.2.2 Liikennöinnin salaus ja osapuolten varmentaminen On Premises yhdyskäytävän käynnistyessä se muodostaa salatun SSH-tunnelin On Demand yhdyskäytävään. SSH on lyhenne sanoista Secure Shell ja tässä ratkaisussa käytetty SSH-ohjelmisto on OpenSSH. SSH mahdollistaa käyttäjän tunnistuksen ja välitettävän datan salaamisen käyttäen julkisen avaimen menetelmää. SSH-tunneloinnin toimintaperiaate on seuraava: SSH-asiakasohjelma yhdistyy SSH-palvelinohjelmaan. Prosessissa sekä SSHasiakas että SSH-palvelin todentavat toisensa, jonka jälkeen muodostetaan yksilöllinen istuntoavain. Todennus suoritetaan ennalta luotujen julkisten ja yksityisten avainten perusteella. Kaikki myöhempi kommunikaatio SSH-asiakkaan ja SSH-palvelimen välillä salataan ensin lähettäjän toimesta ja salaus puretaan sen jälkeen vastaanottajan toimesta. Liikenne salataan käyttämällä AES:ää (Advanced Encryption Standard). Lisätietoa AES:stä löytyy osoitteesta http://en.wikipedia.org/wiki/advanced_encryption_standard Huomaa, että On Premises -yhdyskäytävä ei aktiivisesti kuuntele mitään portteja eikä näin ollen hyväksy sisääntulevia yhteyspyyntöjä. Palomuuriin ei näin ollen pitäisi avata portteja ratkaisun vuoksi. Kun SSH-tunneli on perustettu, On Demand -yhdyskäytävä todentaa vielä On Premises -yhdyskäytävän On Premises -yhdyskäytävän sertifikaatilla varmistaakseen sen, että se kuuluu voimassa olevalle asiakkaalle ja rekisteröi asiakkaan tunnelin omistajaksi. Edellä mainittujen toimien jälkeen tunneli on perustettu ja liikennöintiä voidaan tehdä molempiin suuntiin. 3.2.3 Liikennöinti palvelun ja paikallisen sovelluksen välillä Liikennöinnissä sertifikaattia käytetään varmentamaan, että On Demand palveluista lähetetään dataa vain asiakkaalle, joka omistaa datan. Käytännössä On Demand puolelta viestit reititetään siis SSH-tunneliin, josta on pääsy kyseisen asiakkaan On Premises - yhdyskäytävään. Lisäksi On Premises puolella yhdyskäytävä tarkastaa, että vastaanotettu sanoma on peräisin rekisteröidystä Visman On Demand palvelusta. Tällä menettelyllä taataan, että tunnelointia ei voida väärinkäyttää pääsyssä muihin palveluihin tai resursseihin. Asiakkaalla on pääsy On Demand palveluissa vain niihin sovelluksiin ja datoihin, joihin asiakas on rekisteröity. Asiakkaan lähettämät sanomat reititetään luotuun SSH-tunneliin On Premises yhdyskäytävässä ja On Demand yhdyskäytävä tarkistaa, että sanoman palvelupyyntö kohdistuu juuri siihen asiakkaaseen, jolle SSH-tunneli on rekisteröity. Tällä menettelyllä varmistetaan, että asiakas ei voi väärinkäyttää muita palveluita tai päästä käsiksi vääriin datoihin. Ratkaisu on siis toteutettu: Liitteet - 25
Sallimaan vain rekisteröityjen Visman On Demand palvelukutsujen vastaanotto ja käsittely On Premises puolella. Sallimaan pääsy vain rekisteröityihin On Demand palveluihin asiakkaan verkosta. Eristämään asiakkaat toisistaan niin, että asiakkailla ei missään olosuhteissa ole pääsyä muiden asiakkaiden dataan ja palveluihin siitä riippumatta, onko ne tallennettu/saatavissa On Premisesin vai On Demandin kautta. Liitteet - 26