Upload
petteri-kivimaeki
View
179
Download
0
Embed Size (px)
Citation preview
Kansallisen palveluväyläntekniset ratkaisut1.12.2014
Eero Konttaniemi Petteri KivimäkiHankepäällikkö Järjestelmäpäällikkö
Sisältö
• Yleisesittely• X-Road versio 6• Tiedonsiirtoprotokolla• Sovitinpalvelu• Tekniset vaatimukset• Muut vaatimukset• Aikataulu• Jatkokehitys
Kansallinen palveluarkkitehtuuri
• Yhteentoimiva digitaalisten palvelujen infrastruktuuri,jonka avulla tiedon siirto organisaatioiden japalvelujen välillä on helppoa
• Ohjelmassa luodaan– Kansallinen palveluväylä– Kansalaisten, yritysten ja viranomaisten tarvitsemat yhteiset
palvelunäkymät– Uusi kansallinen sähköinen tunnistusratkaisu– Kansalliset ratkaisut organisaatioiden ja luonnollisten
henkilöiden roolien ja valtuutusten hallintaan
Organisaatioiden• Sisäiset
järjestelmät• Yhteiset
järjestelmät
Perus-rekisterit
Muutperustietovarannot
Roolit:Attrib.
rekisterit
Tunnistuspalvelut
Tietovarantojenhallinta
Kokoavattietopalvelut
Roolit javaltuutukset
Sähköisetpalvelut
Julkisetpalvelut
Kuntientieto-
varannot
…
Maksaminen
Valtuutustenhallinta
Tavoitetta-vuustiedot
Palveluunohjaus
Palveluportaalit(esim. nykyiset suomi.fi ja yrityssuomi.fi)
AsiointitilitOmanasioinninhallinta
Allekirjoitus
VIAintegraatiopalvelu
Palvelunäkymät Yht.palvelut
Roolit javaltuutukset
PalveluväyläPalveluväylän
metatietopalvelut
Tunnistus-Tunnistus-välineet
Kansallisentunnistamisen
malli
Kansalainen
Organisaatio
Huoltaja
Edunvalvoja
…
…
Omattiedot
ViranomainenYritys /yhteisöKansalainenAsiakkaat
PTVpalvelutie-tovaranto
EU-asiointi
PEPS
… VRK / JKa 27.11.2014
KarttapalveluHerätteet
Kansallinen palveluarkkitehtuuri
Portaalialusta sisällöntuotantoon, hakumoottori…
Palvelunäkymät
Omien tietojenkatselu
Uusipalveluhaku
+ karttanäkymä
Palveluoppaat
Sähköisetpalvelut
(federointi, koonti)
Personoitupalvelunäkymä
Perustieto-varannot
Valtionyhteiset palvelut
Julkisen hallinnonkohdealue- ja
toimialakohtaiset palvelut
Kuntienpalvelut
Yrityssektorinpalvelut
Palveluväylänhallinta
Tunnistus-palvelut
Rooli/valtuus-hallinta
Palvelu-tietovaranto
PTV
Tietoturva,raportointi.lokipalvelu
Palveluväylä
välttämättömiä heti
keskeiset palvelut liitettävä alkuvaiheessa,muut myöhemmässä vaiheessa
välttämättömiä heti
keskeiset palvelut liitettävä alkuvaiheessa,muut myöhemmässä vaiheessa
Yleisesittely
• Tiedonvälityskokonaisuus, joka toimii viestiväylänäsiihen liitettyjen palveluiden ja tietovarantojen välillä– Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva
tiedonvälityskerros– Kytkee toisiinsa erilaisia palveluita ja tietovarantoja
• Ei itsessään muuta tai luo uusia toiminnallisiapalveluprosesseja
• Hyödyt syntyvät väylään kytketyistä tiedoista japalveluista, ei väylästä itsestään
• Palveluväylän arvo on sen muodostamassastandardoidussa tietojen vaihdon ratkaisumallissa
Yleisesittely
• Voidaan kytkeä sekä julkisen että yksityisen sektorinpalveluita– Kytkettävien palveluiden on täytettävä määritellyt tekniset
rajapintavaatimukset
• Väylään kytketyt palvelut ja tiedot voivat olla vapaastikäytettävissä tai sopimuksenvaraisia– Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa)– Myös avoimen datan palvelut tervetulleita
Yleisesittely
• Alustana Virossa käytössä olevan X-Road-ratkaisunversio 6
• Palveluväylän ydin koostuu– Siihen liittyneiden organisaatioiden liityntäpalvelimista– Palveluväylän keskuspalvelimista
• Palveluväylän sisäinen liikenne on julkisen internetinyli tapahtuvaa liityntäpalvelinten välistä liikennettä– Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti
• Ei yhtä yksittäistä palveluväyläkomponenttia– Palveluväylä on hajautettu järjestelmä
Palveluväylänhallinta
Tietoturva,raportointi.lokipalvelu
Palveluväylä
LiityntäpalvelinLiityntäpalvelin
Yleisesittely
Palveluväylänhallinta
Tietoturva,raportointi.lokipalvelu
LiityntäpalvelinLiityntäpalvelin
Palveluväylä
Yleisesittely
Yleisesittely
• Luotettava ja turvallinen tiedonsiirtokanava julkiseninternetin yli– Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen
• Kaikki palveluväylää kulkeva liikenne salataan jaallekirjoitetaan digitaalisesti– Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla– Kaikki tieto allekirjoitetaan varmenteilla
• Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseenlokiin, joka mahdollistaa tapahtumien todentamisenjälkikäteen– Lokien muuttumattomuus varmistetaan varmennettujen
aikaleimojen kautta
Yleisesittely
• Keskuskomponentit– Keskuspalvelin
• Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistäorganisaatioista
– Paikalliset kopiot liityntäpalvelimilla
– Keskuspalvelimen liityntäpalvelin• Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän
muiden liityntäpalvelinten käyttöön– Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto
Yleisesittely
• Varmennepalvelu (Certificate Authority, CA)– Keskus- ja liityntäpalvelinten palvelinvarmenteet– Organisaatioiden allekirjoitusvarmenteet– OCSP-palvelin (Online Certificate Status Protocol)
• Sertifikaattien voimassaolon tarkistus
• Aikaleimapalvelu (Time Stamping Authority, TSA)– Väylän kautta lähetettyihin sanomiin lisätään varmennettu
aikaleima– Mahdollistaa lokien muuttumattomuuden todentamisen
Yleisesittely
• Liityntäpalvelin– Tietojärjestelmien ja –lähteiden liityntäpiste palveluväylään– Kokoonpano vakioitu– Voi olla organisaatiokohtainen tai monen organisaation
kesken yhteinen– Jokaisella liityntäpalvelimella oma sertifikaatti
• Käytetään liityntäpalvelinten välisissä yhteyksissä– Jokaisella organisaatiolla sekä tarvittaessa organisaation eri
järjestelmillä omat sertifikaatit• Käytetään organisaation/järjestelmän lähettämien sanomien
allekirjoittamiseen
Yleisesittely
• VRK ja CSC vastaavat keskuskomponenttienylläpidosta
• VRK vastaa varmennepalvelun ja aikaleimapalvelunylläpidosta ja toteutuksesta
• Väylään liittynyt organisaatio– Vastaa omien tietojensa ja palveluidensa ylläpidosta– Päättää kenelle jakaa tietojaan– Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt
tekniset rajapintavaatimukset– Vastaa tietojen välityksestä liityntäpalvelimeensa– Ylläpitää liityntäpalvelimensa
Yleisesittely
• Palveluväylä vastaa keskitetyistä palveluista jaliikenteestä liityntäpalvelinten välillä– Osoitteiden hallinta– Reititys– Käyttöoikeuksien hallinta– Salaus– Aikaleimat– Lokitus
• Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia– Virheiden käsittely
Yleisesittely
• Palveluväylä säilyy toiminnallisena määräajan myösilman keskuspalvelimia– Väylään liittyneiden organisaatioiden ja liityntäpalvelinten
tiedot keskuspalvelimella– Tiedoista paikalliset kopiot liityntäpalvelimilla
• Päivitetään määräajoin• Voimassaoloaika määriteltävissä
– Väylä toimii niin kauan, kunnes liityntäpalvelinten paikallisetkopiot vanhenevat
• Aikaleimapalvelun ja OCSP-tarkistusten jatkuvatoiminta väylän kannalta kriittistä– voimassaoloaika minuutteja, ei päiviä
X-Road versio 6
• Toteutustekniikka uudistettu– C/C++ -> Java, Ruby
• Federointi – valtioiden välisten X-Road-instanssienliittäminen toisiinsa
• Tuki usealle rajapintakuvaukselle (WSDL) perorganisaatio
• Sanomien aikaleimaus• Liityntä- ja keskuspalvelimen käyttöliittymät• Tuki turvamoduulin käytölle (Hardware Security
Module, HSM)– Allekirjoituksiin käytettävien yksityisten avainten säilytys
X-Road versio 6
• Hierarkkiset organisaatio-, järjestelmä- japalvelutunnisteet– instance/memberClass/organizationCode/subsystem/service/version
– Esim. FI/GOV/12345-6/DemoService/helloService/v1– Palveluväyläoperaattori määrittelee: instance, memberClass,
organizationCode– Organisaatio määrittelee: subsystem, service, version
• Palvelukohtaisten käyttöoikeuksien määrittelymahdollista organisaation ja yksittäisentietojärjestelmän tasolla– Suosituksena on käyttää aina tietojärjestelmätasoa
Tiedonsiirtoprotokolla
• Palveluväylään liittyminen edellyttää X-Road-tiedonsiirtoprotokollan toteuttamista liitettäväänjärjestelmään– SOAP 1.1– X-Road määrittee
• Otsikkotietojen rakenteen• Body-osan rakenteen
– Rajapintakuvaukset (WSDL)
• Lisätietoja– https://confluence.csc.fi/display/Palveluvayla/X-Road-
tiedonsiirtoprotokolla
Sovitinpalvelu
• Palveluväylän edellyttämät sanomamuunnoksetvoidaan toteuttaa erillisessä sovitinpalvelussa– Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin– SOAP-pohjaisten järjestelmien kohdalla muutokset
suoraviivaisia– REST-mallisten järjestelmien kohdalla muutokset työläämpiä
• Sovitinpalvelu voidaan toteuttaa– Suoraan liitettävään järjestelmään– Erillisenä komponenttina samalla palvelimella järjestelmän
kanssa– Erillisenä komponenttina omalla palvelimellaan tai jo
käytössä olevassa integraatioratkaisussa
Tekniset vaatimukset
• Liityntäpalvelin– Kokoonpano vakioitu
• Poikkeuksina varmuuskopiointiin ja valvontaan käytettävätohjelmistot
– Ubuntu 14.04 LTS• 64 bit, 4GB RAM, 3GB levytilaa
– Vähintään tietoturvallisuuden perustaso, liitettävästäjärjestelmästä riippuen voi myös olla korotettu taso
• Liitettävä järjestelmä– X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu)
• Ensin liittyminen testiympäristöön ja vasta sittentuotantoon
Muut vaatimukset ja käyttöehdot(sekä keskeiset tietojenvaihdot)
• Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet– (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä)
• Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet• Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä ->
VRK)– järjestelmän ja palvelun nimi ja kuvaus, versio– liitettävän järjestelmän elinkaari– rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja
vastaussanomia)– tietojen maksullisuus?– tietolupakäytännöt, lisenssi– luokittelu– palvelulupaus (saatavuus, osallistuminen testaukseen)– vastuuhenkilöt ja yhteystiedot
Aikataulu
• 12/2014 uusi kehitysympäristö (versio 6)– CA ja TSA osa kehitysympäristöä– Halukkaat organisaatiot pääsevät liittymään kehitysympäristöön
12/2014-01/2015 ->• Auditoinnit Q1/2015 ->
– Arkkitehtuurin katselmointi– Keskuspalvelinympäristö– Liityntäpalvelimen referenssitoteutus– Lähdekoodi
• Ensimmäinen tuotantoympäristö Q1-Q2/2015– CA ja TSA VRK:n käyttöpalveluympäristössä– Liityntäpalvelimen lähdekoodin avaaminen
Aikataulu 2015
• Keskeisten tietovarantojen liittämisen tukeminen– VTJ ensimmäisenä– Keskusteluja meneillään eri rekisterinpitäjien kanssa
• Palveluväylän ylläpidon ja käytön sekäpalveluväylään liittymisen edellyttämienhallintamallien käyttöönotto– Sisäinen ja ulkoinen tuotteistus
• Avoimen kehittämisen mallin suunnittelu jakäyttöönotto
Jatkokehitys
• Jo tunnistetut jatkokehityskohteet sekä käyttöönotonjälkeen esille nousevat tarpeet, mm.:– REST-tuki– RHEL-tuki
• Alustava aikataulu Q1-Q2/2015– Valvontatyökalut– Lokitukseen liittyvät käytännöt– Rajapintakuvausten (WSDL) validointi
• Päivitykset vuosina 2015->• Viroyhteistyö