Publicidad
Check these out next
2014-12-01-Kansallinen palveluväylä
1 de Dec de 2014•0 recomendaciones•721 vistas
0 recomendaciones
Sé el primero en que te guste
ver más
vistas
Total de vistas
0
En Slideshare
0
De embebidos
0
Número de embebidos
0
Descargar para leer sin conexión
Denunciar
Petteri KivimäkiSeguir
CTO en Nordic Institute for Interoperability Solutions (NIIS)Publicidad
Publicidad
Publicidad
Recomendados
Oikeudet omiin sote-tietoihin 2016-12Olli Pitkänen
Tekninen palvelualusta / Antti JakobssonMaa- ja metsätalousministeriö
Valinnanvapauden tiedonhallintapalvelut 2018Kela
Palveluväylä ja tietoturva -selvitysSitra
Palveluväyläkokemuksia, Espoon palveluväyläpilottiSitra / Hyvinvointi
Espoon palveluväyläkokemuksiaSitra / Hyvinvointi
2014-12-01-Kansallinen palveluväylä
- Kansallisen palveluväylän tekniset ratkaisut 1.12.2014 Eero Konttaniemi Petteri Kivimäki Hankepäällikkö Järjestelmäpäällikkö
- Sisältö • Yleisesittely • X-Road versio 6 • Tiedonsiirtoprotokolla • Sovitinpalvelu • Tekniset vaatimukset • Muut vaatimukset • Aikataulu • Jatkokehitys
- Kansallinen palveluarkkitehtuuri • Yhteentoimiva digitaalisten palvelujen infrastruktuuri, jonka avulla tiedon siirto organisaatioiden ja palvelujen välillä on helppoa • Ohjelmassa luodaan – Kansallinen palveluväylä – Kansalaisten, yritysten ja viranomaisten tarvitsemat yhteiset palvelunäkymät – Uusi kansallinen sähköinen tunnistusratkaisu – Kansalliset ratkaisut organisaatioiden ja luonnollisten henkilöiden roolien ja valtuutusten hallintaan
- Kansallisen tunnistamisen malli Tunnistus-välineet Palvelunäkymät Yht.palvelut Organisaatioiden • Sisäiset järjestelmät • Yhteiset järjestelmät Perus-rekisterit Muut perustieto varannot Roolit: Attrib. rekisterit Tunnistuspalvelut Kokoavat tietopalvelut Tietovarantojen hallinta Roolit ja valtuutukset Sähköiset palvelut Julkiset palvelut Kuntien tieto-varannot … Roolit ja valtuutukset Karttapalvelu Maksaminen Valtuutusten hallinta Tavoitetta-vuustiedot Palveluun ohjaus Palveluportaalit (esim. nykyiset suomi.fi ja yrityssuomi.fi) Oman Asiointitilit asioinnin hallinta Allekirjoitus VIA integraatiopalvelu Palveluväylä Palveluväylän metatietopalvelut Kansalainen Huoltaja Edunvalvoja Organisaatio … … Omat tiedot Yritys / Viranomainen Asiakkaat Kansalainen yhteisö PTV palvelutie-tovaranto EU-asiointi PEPS … VRK / JKa 27.11.2014 Herätteet
- Kansallinen palveluarkkitehtuuri Palvelunäkymät Perustieto-varannot Omien tietojen katselu Uusi palveluhaku + karttanäkymä Palveluoppaat Sähköiset palvelut (federointi, koonti) Personoitu palvelunäkymä Portaalialusta sisällöntuotantoon, hakumoottori… Valtion yhteiset palvelut Julkisen hallinnon kohdealue- ja toimialakohtaiset palvelut Kuntien palvelut Yrityssektorin palvelut Palveluväylän hallinta Tunnistus-palvelut Rooli/ valtuus-hallinta Palvelu-tietovaranto PTV Tietoturva, raportointi. lokipalvelu Palveluväylä välttämättömiä heti keskeiset palvelut liitettävä alkuvaiheessa, muut myöhemmässä vaiheessa
- Yleisesittely • Tiedonvälityskokonaisuus, joka toimii viestiväylänä siihen liitettyjen palveluiden ja tietovarantojen välillä – Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva tiedonvälityskerros – Kytkee toisiinsa erilaisia palveluita ja tietovarantoja • Ei itsessään muuta tai luo uusia toiminnallisia palveluprosesseja • Hyödyt syntyvät väylään kytketyistä tiedoista ja palveluista, ei väylästä itsestään • Palveluväylän arvo on sen muodostamassa standardoidussa tietojen vaihdon ratkaisumallissa
- Yleisesittely • Voidaan kytkeä sekä julkisen että yksityisen sektorin palveluita – Kytkettävien palveluiden on täytettävä määritellyt tekniset rajapintavaatimukset • Väylään kytketyt palvelut ja tiedot voivat olla vapaasti käytettävissä tai sopimuksenvaraisia – Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa) – Myös avoimen datan palvelut tervetulleita
- Yleisesittely • Alustana Virossa käytössä olevan X-Road-ratkaisun versio 6 • Palveluväylän ydin koostuu – Siihen liittyneiden organisaatioiden liityntäpalvelimista – Palveluväylän keskuspalvelimista • Palveluväylän sisäinen liikenne on julkisen internetin yli tapahtuvaa liityntäpalvelinten välistä liikennettä – Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti • Ei yhtä yksittäistä palveluväyläkomponenttia – Palveluväylä on hajautettu järjestelmä
- Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Palveluväylä Liityntäpalvelin Yleisesittely
- Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Liityntäpalvelin Yleisesittely Palveluväylä
- Yleisesittely • Luotettava ja turvallinen tiedonsiirtokanava julkisen internetin yli – Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen • Kaikki palveluväylää kulkeva liikenne salataan ja allekirjoitetaan digitaalisesti – Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla – Kaikki tieto allekirjoitetaan varmenteilla • Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseen lokiin, joka mahdollistaa tapahtumien todentamisen jälkikäteen – Lokien muuttumattomuus varmistetaan varmennettujen aikaleimojen kautta
- Yleisesittely
- Yleisesittely • Keskuskomponentit – Keskuspalvelin • Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistä organisaatioista – Paikalliset kopiot liityntäpalvelimilla – Keskuspalvelimen liityntäpalvelin • Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän muiden liityntäpalvelinten käyttöön – Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto
- Yleisesittely • Varmennepalvelu (Certificate Authority, CA) – Keskus- ja liityntäpalvelinten palvelinvarmenteet – Organisaatioiden allekirjoitusvarmenteet – OCSP-palvelin (Online Certificate Status Protocol) • Sertifikaattien voimassaolon tarkistus • Aikaleimapalvelu (Time Stamping Authority, TSA) – Väylän kautta lähetettyihin sanomiin lisätään varmennettu aikaleima – Mahdollistaa lokien muuttumattomuuden todentamisen
- Yleisesittely • Liityntäpalvelin – Tietojärjestelmien ja –lähteiden liityntäpiste palveluväylään – Kokoonpano vakioitu – Voi olla organisaatiokohtainen tai monen organisaation kesken yhteinen – Jokaisella liityntäpalvelimella oma sertifikaatti • Käytetään liityntäpalvelinten välisissä yhteyksissä – Jokaisella organisaatiolla sekä tarvittaessa organisaation eri järjestelmillä omat sertifikaatit • Käytetään organisaation/järjestelmän lähettämien sanomien allekirjoittamiseen
- Yleisesittely
- Yleisesittely • VRK ja CSC vastaavat keskuskomponenttien ylläpidosta • VRK vastaa varmennepalvelun ja aikaleimapalvelun ylläpidosta ja toteutuksesta • Väylään liittynyt organisaatio – Vastaa omien tietojensa ja palveluidensa ylläpidosta – Päättää kenelle jakaa tietojaan – Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt tekniset rajapintavaatimukset – Vastaa tietojen välityksestä liityntäpalvelimeensa – Ylläpitää liityntäpalvelimensa
- Yleisesittely • Palveluväylä vastaa keskitetyistä palveluista ja liikenteestä liityntäpalvelinten välillä – Osoitteiden hallinta – Reititys – Käyttöoikeuksien hallinta – Salaus – Aikaleimat – Lokitus • Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia – Virheiden käsittely
- Yleisesittely • Palveluväylä säilyy toiminnallisena määräajan myös ilman keskuspalvelimia – Väylään liittyneiden organisaatioiden ja liityntäpalvelinten tiedot keskuspalvelimella – Tiedoista paikalliset kopiot liityntäpalvelimilla • Päivitetään määräajoin • Voimassaoloaika määriteltävissä – Väylä toimii niin kauan, kunnes liityntäpalvelinten paikalliset kopiot vanhenevat • Aikaleimapalvelun ja OCSP-tarkistusten jatkuva toiminta väylän kannalta kriittistä – voimassaoloaika minuutteja, ei päiviä
- X-Road versio 6 • Toteutustekniikka uudistettu – C/C++ -> Java, Ruby • Federointi – valtioiden välisten X-Road-instanssien liittäminen toisiinsa • Tuki usealle rajapintakuvaukselle (WSDL) per organisaatio • Sanomien aikaleimaus • Liityntä- ja keskuspalvelimen käyttöliittymät • Tuki turvamoduulin käytölle (Hardware Security Module, HSM) – Allekirjoituksiin käytettävien yksityisten avainten säilytys
- X-Road versio 6 • Hierarkkiset organisaatio-, järjestelmä- ja palvelutunnisteet – instance/memberClass/organizationCode/subsystem/service/version – Esim. FI/GOV/12345-6/DemoService/helloService/v1 – Palveluväyläoperaattori määrittelee: instance, memberClass, organizationCode – Organisaatio määrittelee: subsystem, service, version • Palvelukohtaisten käyttöoikeuksien määrittely mahdollista organisaation ja yksittäisen tietojärjestelmän tasolla – Suosituksena on käyttää aina tietojärjestelmätasoa
- Tiedonsiirtoprotokolla • Palveluväylään liittyminen edellyttää X-Road-tiedonsiirtoprotokollan toteuttamista liitettävään järjestelmään – SOAP 1.1 – X-Road määrittee • Otsikkotietojen rakenteen • Body-osan rakenteen – Rajapintakuvaukset (WSDL) • Lisätietoja – https://confluence.csc.fi/display/Palveluvayla/X-Road-tiedonsiirtoprotokolla
- Tiedonsiirtoprotokolla - request
- Tiedonsiirtoprotokolla - response
- Sovitinpalvelu • Palveluväylän edellyttämät sanomamuunnokset voidaan toteuttaa erillisessä sovitinpalvelussa – Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin – SOAP-pohjaisten järjestelmien kohdalla muutokset suoraviivaisia – REST-mallisten järjestelmien kohdalla muutokset työläämpiä • Sovitinpalvelu voidaan toteuttaa – Suoraan liitettävään järjestelmään – Erillisenä komponenttina samalla palvelimella järjestelmän kanssa – Erillisenä komponenttina omalla palvelimellaan tai jo käytössä olevassa integraatioratkaisussa
- Sovitinpalvelu
- Sovitinpalvelu
- Tekniset vaatimukset • Liityntäpalvelin – Kokoonpano vakioitu • Poikkeuksina varmuuskopiointiin ja valvontaan käytettävät ohjelmistot – Ubuntu 14.04 LTS • 64 bit, 4GB RAM, 3GB levytilaa – Vähintään tietoturvallisuuden perustaso, liitettävästä järjestelmästä riippuen voi myös olla korotettu taso • Liitettävä järjestelmä – X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu) • Ensin liittyminen testiympäristöön ja vasta sitten tuotantoon
- Muut vaatimukset ja käyttöehdot (sekä keskeiset tietojenvaihdot) • Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet – (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä) • Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet • Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä -> VRK) – järjestelmän ja palvelun nimi ja kuvaus, versio – liitettävän järjestelmän elinkaari – rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja vastaussanomia) – tietojen maksullisuus? – tietolupakäytännöt, lisenssi – luokittelu – palvelulupaus (saatavuus, osallistuminen testaukseen) – vastuuhenkilöt ja yhteystiedot
- Aikataulu • 12/2014 uusi kehitysympäristö (versio 6) – CA ja TSA osa kehitysympäristöä – Halukkaat organisaatiot pääsevät liittymään kehitysympäristöön 12/2014-01/2015 -> • Auditoinnit Q1/2015 -> – Arkkitehtuurin katselmointi – Keskuspalvelinympäristö – Liityntäpalvelimen referenssitoteutus – Lähdekoodi • Ensimmäinen tuotantoympäristö Q1-Q2/2015 – CA ja TSA VRK:n käyttöpalveluympäristössä – Liityntäpalvelimen lähdekoodin avaaminen
- Aikataulu 2015 • Keskeisten tietovarantojen liittämisen tukeminen – VTJ ensimmäisenä – Keskusteluja meneillään eri rekisterinpitäjien kanssa • Palveluväylän ylläpidon ja käytön sekä palveluväylään liittymisen edellyttämien hallintamallien käyttöönotto – Sisäinen ja ulkoinen tuotteistus • Avoimen kehittämisen mallin suunnittelu ja käyttöönotto
- Jatkokehitys • Jo tunnistetut jatkokehityskohteet sekä käyttöönoton jälkeen esille nousevat tarpeet, mm.: – REST-tuki – RHEL-tuki • Alustava aikataulu Q1-Q2/2015 – Valvontatyökalut – Lokitukseen liittyvät käytännöt – Rajapintakuvausten (WSDL) validointi • Päivitykset vuosina 2015-> • Viroyhteistyö
- Kiitos!
Publicidad