Aller au contenu principal

Déploiement d'une application

Pré-requis

L'archive de l'application (.zip), packagée selon les recommandations de la documentation est disponible sur le poste de l'utilisateur.

Les espaces de stockage dans l'environnement cible nécessaires à l'application sont créés par l'Administrateur Données : Créer un EdS.

Une revue de code a été effectuée (par exemple en comparant les branches dans Gitlab, ...).

Déploiement d'une application par le service applicatif

L'Administrateur Applications accède au service applicatif pour importer l'application.

A la suite de l'import, l'application pourra être déployée pour être testée dans l'EID, puis déployée en production. Les déploiements dans l'EID et en production s'effectuent de la même façon, via le service applicatif (SAp).

remarque

Si pour une application, un traitement est fourni, il est déployé suivant le process Déployer un flux.

Processus Mettre en Service - Déploiement des applications

L'Administrateur Applications crée l'instance de l'application en choisissant l'environnement, puis il active (démarre) l'application.

La création suivie de l'activation effectuent automatiquement les opérations suivantes :

  • La déclaration dans le portail métier, s'il s'agit d'une application IHM : les éléments utiles pour que la tuile apparaisse dans le portail sont automatiquement créés avec les paramètres précisés dans le packaging de l'application.
  • La création dans keycloak des rôles fins de l'application tels que fournis par l'application. Ce sont ces rôles fins (permissions) qui seront associés aux profils (groupe) définis pour cette application.
info

Si des services, autres que les accès aux espaces de stockage sont nécessaires, ils doivent être fournis dans le package de l'application sous forme de KI pour être consommés par d'autres applications.

Donner les accès aux utilisateurs métiers à l'application déployée

Il est recommandé de gérer les accès aux applications métier en créant des groupes keycloak propres à chaque application, voire à chaque profil d'utilisateurs de l'application.

Pour cela, il faut donc que l'Administrateur Système accède à Keycloak pour gérer les groupes.

En complément, le certificat associé à chaque application IHM doit être installé dans le WAF par un Administrateur Sécurité ou Administrateur Système.

Affecter le groupe aux utilisateurs

L'Administrateur Accès accède à l'outil GDA pour affecter le groupe permettant l'accès à la nouvelle application aux utilisateurs qui en ont besoin.

Compléments

Filtrage des applications dans le SAp

Dans l'IHM du SAp, un Administrateur Applications ne voit que les applications autorisées par la politique ABAC d'accès aux ressources.

La politique (à l'installation puis consultable via le référentiel des labels cf. DTU-MA) est la suivante :

  • l'organisation (zone) de l'application est vide ou fait partie de celles de l'utilisateur (au moins 1)
  • l'environnement de l'application est inclus dans ceux de l'utilisateur

Cette politique ABAC s'applique (en complément du controle RBAC qui autorise l'accès ou non à l'IHM SAp), dans les cas suivants :

Processus SAp - Accès aux applications

Désactiver / réactiver une application

Il peut être nécessaire de désactiver une application (par exemple stopper l'accès aux utilisateurs sur une période).

L'Administrateur Applications accède au SAp et peut 'stopper' l'application.

L'arrêt de l'application :

  • ne supprime PAS les clients keycloak.

De ce fait, lorsque l'application est réactivée, elle retrouve tous ses accès. Les utilisateurs qui y accédaient avant l'arrêt ont à nouveau accès (inutile de refaire des déclarations keycloak, WAf et GDA).

Mise à jour d'une application déployée

Les applications métier sont composées d'applications et de traitements sur des données. Les évolutions peuvent porter sur l'un ou l'autre de ces sujets.

Dans tous les cas, la première étape est l'import de la nouvelle version.

L'Administrateur Applications importe l'application avec la nouvelle version packagée dans une nouvelle archive, puis crée et déploie la nouvelle version.

Il supprime si besoin l'ancienne version de l'application.

Conseil

Afin de ne pas provoquer d'interruption de service lors de cette mise à jour, nous conseillons de déployer les deux applications en parallèle et de gérer leur accès via les droits.

Suppression d'une application

La suppression d'une application peut survenir par exemple :

  • lorsqu'une nouvelle version doit être déployée : l'ancienne version est supprimée
  • lors du décommissionnement d'une application obsolète

En première étape, l'Administrateur Applications accède au SAp pour désactiver puis supprimer l'application. Si ses droits le permettent, il peut supprimer l'application et ses artéfacts dans les dépots, il peut auparavant exporter l'application depuis l'IHM du SAp s'il possède le droit de le faire.

La suppression complète d'une application implique la suppression des composants dans les différents référentiels (Gitlab, Zot Gitea). La suppression peut être réalisée par l'Administrateur Applications selon ses droits dans les différents référentiels, ou par un Administrateur Système qui est administrateur des référentiels.

Il informe ensuite l'Administrateur Système pour supprimer les autorisations :

  • dans le catalogue des applications
  • dans keycloak (éventuellement avec son groupe)

Supervision

Les logs d'une application déployée sont consultable dans le rapport de logs de Grafana pour un utilisateur ayant les droits.