Kansallisen palveluväylän tekniset ratkaisut 1.12.2014 Eero Konttaniemi Petteri Kivimäki Hankepäällikkö Järjestelmäpäällikkö
Sisältö Yleisesittely X-Road versio 6 Tiedonsiirtoprotokolla Sovitinpalvelu Tekniset vaatimukset Muut vaatimukset Aikataulu Jatkokehitys
Kansallinen palveluarkkitehtuuri Yhteentoimiva digitaalisten palvelujen infrastruktuuri, jonka avulla tiedon siirto organisaatioiden ja palvelujen välillä on helppoa Ohjelmassa luodaan Kansallinen palveluväylä Kansalaisten, yritysten ja viranomaisten tarvitsemat yhteiset palvelunäkymät Uusi kansallinen sähköinen tunnistusratkaisu Kansalliset ratkaisut organisaatioiden ja luonnollisten henkilöiden roolien ja valtuutusten hallintaan
Kansallisen tunnistamisen malli Asiakkaat Kansalainen Yritys / yhteisö Viranomainen Tunnistusvälineet Palvelunäkymät Yht.palvelut EUasiointi Palveluun ohjaus Oman asioinnin hallinta Palveluportaalit (esim. nykyiset suomi.fi ja yrityssuomi.fi) Omat tiedot Tavoitettavuustiedot Asiointitilit Valtuutusten hallinta Herätteet Organisaatioiden Sisäiset järjestelmät Yhteiset järjestelmät Tunnistuspalvelut Roolit ja valtuutukset Karttapalvelu Maksaminen PEPS Kansalainen Huoltaja Edunvalvoja Sähköiset palvelut Julkiset palvelut Allekirjoitus Organisaatio Kokoavat tietopalvelut Roolit ja valtuutukset VIA integraatiopalvelu Palveluväylä Tietovarantojen hallinta Perusrekisterit Muut perustieto varannot Roolit: Attrib. rekisterit PTV palvelutietovaranto Kuntien tietovarannot Palveluväylän metatietopalvelut VRK / JKa 27.11.2014
Kansallinen palveluarkkitehtuuri Perustietovarannot Julkisen hallinnon kohdealue- ja toimialakohtaiset palvelut Valtion yhteiset palvelut Kuntien palvelut Yrityssektorin palvelut Palveluväylä Omien tietojen katselu Palvelunäkymät Palveluoppaat Uusi palveluhaku + karttanäkymä Personoitu palvelunäkymä Sähköiset palvelut (federointi, koonti) Rooli/ valtuushallinta Palvelutietovaranto PTV Tunnistuspalvelut Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Portaalialusta sisällöntuotantoon, hakumoottori välttämättömiä heti keskeiset palvelut liitettävä alkuvaiheessa, muut myöhemmässä vaiheessa
Yleisesittely Tiedonvälityskokonaisuus, joka toimii viestiväylänä siihen liitettyjen palveluiden ja tietovarantojen välillä Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva tiedonvälityskerros Kytkee toisiinsa erilaisia palveluita ja tietovarantoja Ei itsessään muuta tai luo uusia toiminnallisia palveluprosesseja Hyödyt syntyvät väylään kytketyistä tiedoista ja palveluista, ei väylästä itsestään Palveluväylän arvo on sen muodostamassa standardoidussa tietojen vaihdon ratkaisumallissa
Yleisesittely Voidaan kytkeä sekä julkisen että yksityisen sektorin palveluita Kytkettävien palveluiden on täytettävä määritellyt tekniset rajapintavaatimukset Väylään kytketyt palvelut ja tiedot voivat olla vapaasti käytettävissä tai sopimuksenvaraisia Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa) Myös avoimen datan palvelut tervetulleita
Yleisesittely Alustana Virossa käytössä olevan X-Road-ratkaisun versio 6 Palveluväylän ydin koostuu Siihen liittyneiden organisaatioiden liityntäpalvelimista Palveluväylän keskuspalvelimista Palveluväylän sisäinen liikenne on julkisen internetin yli tapahtuvaa liityntäpalvelinten välistä liikennettä Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti Ei yhtä yksittäistä palveluväyläkomponenttia Palveluväylä on hajautettu järjestelmä
Yleisesittely Palveluväylä Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Liityntäpalvelin
Yleisesittely Palveluväylä Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Liityntäpalvelin
Yleisesittely Luotettava ja turvallinen tiedonsiirtokanava julkisen internetin yli Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen Kaikki palveluväylää kulkeva liikenne salataan ja allekirjoitetaan digitaalisesti Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla Kaikki tieto allekirjoitetaan varmenteilla Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseen lokiin, joka mahdollistaa tapahtumien todentamisen jälkikäteen Lokien muuttumattomuus varmistetaan varmennettujen aikaleimojen kautta
Yleisesittely
Yleisesittely Keskuskomponentit Keskuspalvelin Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistä organisaatioista Paikalliset kopiot liityntäpalvelimilla Keskuspalvelimen liityntäpalvelin Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän muiden liityntäpalvelinten käyttöön Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto
Yleisesittely Varmennepalvelu (Certificate Authority, CA) Keskus- ja liityntäpalvelinten palvelinvarmenteet Organisaatioiden allekirjoitusvarmenteet OCSP-palvelin (Online Certificate Status Protocol) Sertifikaattien voimassaolon tarkistus Aikaleimapalvelu (Time Stamping Authority, TSA) Väylän kautta lähetettyihin sanomiin lisätään varmennettu aikaleima Mahdollistaa lokien muuttumattomuuden todentamisen
Yleisesittely Liityntäpalvelin Tietojärjestelmien ja lähteiden liityntäpiste palveluväylään Kokoonpano vakioitu Voi olla organisaatiokohtainen tai monen organisaation kesken yhteinen Jokaisella liityntäpalvelimella oma sertifikaatti Käytetään liityntäpalvelinten välisissä yhteyksissä Jokaisella organisaatiolla sekä tarvittaessa organisaation eri järjestelmillä omat sertifikaatit Käytetään organisaation/järjestelmän lähettämien sanomien allekirjoittamiseen
Yleisesittely
Yleisesittely VRK ja CSC vastaavat keskuskomponenttien ylläpidosta VRK vastaa varmennepalvelun ja aikaleimapalvelun ylläpidosta ja toteutuksesta Väylään liittynyt organisaatio Vastaa omien tietojensa ja palveluidensa ylläpidosta Päättää kenelle jakaa tietojaan Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt tekniset rajapintavaatimukset Vastaa tietojen välityksestä liityntäpalvelimeensa Ylläpitää liityntäpalvelimensa
Yleisesittely Palveluväylä vastaa keskitetyistä palveluista ja liikenteestä liityntäpalvelinten välillä Osoitteiden hallinta Reititys Käyttöoikeuksien hallinta Salaus Aikaleimat Lokitus Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia Virheiden käsittely
Yleisesittely Palveluväylä säilyy toiminnallisena määräajan myös ilman keskuspalvelimia Väylään liittyneiden organisaatioiden ja liityntäpalvelinten tiedot keskuspalvelimella Tiedoista paikalliset kopiot liityntäpalvelimilla Päivitetään määräajoin Voimassaoloaika määriteltävissä Väylä toimii niin kauan, kunnes liityntäpalvelinten paikalliset kopiot vanhenevat Aikaleimapalvelun ja OCSP-tarkistusten jatkuva toiminta väylän kannalta kriittistä voimassaoloaika minuutteja, ei päiviä
X-Road versio 6 Toteutustekniikka uudistettu C/C++ -> Java, Ruby Federointi valtioiden välisten X-Road-instanssien liittäminen toisiinsa Tuki usealle rajapintakuvaukselle (WSDL) per organisaatio Sanomien aikaleimaus Liityntä- ja keskuspalvelimen käyttöliittymät Tuki turvamoduulin käytölle (Hardware Security Module, HSM) Allekirjoituksiin käytettävien yksityisten avainten säilytys
X-Road versio 6 Hierarkkiset organisaatio-, järjestelmä- ja palvelutunnisteet instance/memberclass/organizationcode/subsystem/service/version Esim. FI/GOV/12345-6/DemoService/helloService/v1 Palveluväyläoperaattori määrittelee: instance, memberclass, organizationcode Organisaatio määrittelee: subsystem, service, version Palvelukohtaisten käyttöoikeuksien määrittely mahdollista organisaation ja yksittäisen tietojärjestelmän tasolla Suosituksena on käyttää aina tietojärjestelmätasoa
Tiedonsiirtoprotokolla Palveluväylään liittyminen edellyttää X-Roadtiedonsiirtoprotokollan toteuttamista liitettävään järjestelmään SOAP 1.1 X-Road määrittee Otsikkotietojen rakenteen Body-osan rakenteen Rajapintakuvaukset (WSDL) Lisätietoja https://confluence.csc.fi/display/palveluvayla/x-roadtiedonsiirtoprotokolla
Tiedonsiirtoprotokolla - request
Tiedonsiirtoprotokolla - response
Sovitinpalvelu Palveluväylän edellyttämät sanomamuunnokset voidaan toteuttaa erillisessä sovitinpalvelussa Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin SOAP-pohjaisten järjestelmien kohdalla muutokset suoraviivaisia REST-mallisten järjestelmien kohdalla muutokset työläämpiä Sovitinpalvelu voidaan toteuttaa Suoraan liitettävään järjestelmään Erillisenä komponenttina samalla palvelimella järjestelmän kanssa Erillisenä komponenttina omalla palvelimellaan tai jo käytössä olevassa integraatioratkaisussa
Sovitinpalvelu
Sovitinpalvelu
Tekniset vaatimukset Liityntäpalvelin Kokoonpano vakioitu Poikkeuksina varmuuskopiointiin ja valvontaan käytettävät ohjelmistot Ubuntu 14.04 LTS 64 bit, 4GB RAM, 3GB levytilaa Vähintään tietoturvallisuuden perustaso, liitettävästä järjestelmästä riippuen voi myös olla korotettu taso Liitettävä järjestelmä X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu) Ensin liittyminen testiympäristöön ja vasta sitten tuotantoon
Muut vaatimukset ja käyttöehdot (sekä keskeiset tietojenvaihdot) Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä) Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä -> VRK) järjestelmän ja palvelun nimi ja kuvaus, versio liitettävän järjestelmän elinkaari rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja vastaussanomia) tietojen maksullisuus? tietolupakäytännöt, lisenssi luokittelu palvelulupaus (saatavuus, osallistuminen testaukseen) vastuuhenkilöt ja yhteystiedot
Aikataulu 12/2014 uusi kehitysympäristö (versio 6) CA ja TSA osa kehitysympäristöä Halukkaat organisaatiot pääsevät liittymään kehitysympäristöön 12/2014-01/2015 -> Auditoinnit Q1/2015 -> Arkkitehtuurin katselmointi Keskuspalvelinympäristö Liityntäpalvelimen referenssitoteutus Lähdekoodi Ensimmäinen tuotantoympäristö Q1-Q2/2015 CA ja TSA VRK:n käyttöpalveluympäristössä Liityntäpalvelimen lähdekoodin avaaminen
Aikataulu 2015 Keskeisten tietovarantojen liittämisen tukeminen VTJ ensimmäisenä Keskusteluja meneillään eri rekisterinpitäjien kanssa Palveluväylän ylläpidon ja käytön sekä palveluväylään liittymisen edellyttämien hallintamallien käyttöönotto Sisäinen ja ulkoinen tuotteistus Avoimen kehittämisen mallin suunnittelu ja käyttöönotto
Jatkokehitys Jo tunnistetut jatkokehityskohteet sekä käyttöönoton jälkeen esille nousevat tarpeet, mm.: REST-tuki RHEL-tuki Alustava aikataulu Q1-Q2/2015 Valvontatyökalut Lokitukseen liittyvät käytännöt Rajapintakuvausten (WSDL) validointi Päivitykset vuosina 2015-> Viroyhteistyö
Kiitos!