Kansallinen palveluväylä 11.2.2015 Eero Konttaniemi VRK / KPA
Kansallinen palveluarkkitehtuuri Luo digitaalisen perusinfrastruktuurin, joka mahdollistaa Tietojen helpomman liikuttamisen organisaatioiden ja palveluiden välillä Palvelujen kehittämisen tehostumisen Uudenlaiset palvelut 2
Palveluväylä -hanke Pauli Kartano, VM Ohjausryhmä Eero Konttaniemi VRK, hankepäällikkö Projektiryhmä KaPA-organisointi Strateginen johtoryhmä Pj Martti Hetemäki VM Ohjelmaryhmä Pj Anna-Maija Karjalainen VM Maria Nikkilä VM Ohjelmapäällikkö Palvelunäkymät -hanke Tunnistus -hanke RoVa -hanke Marjukka Ala-Harja, VM Kimmo Mäkinen,VM Petteri Ohvo, TEM Ohjausryhmä Ohjausryhmä Ohjausryhmä Jani Ruuskanen VRK, hankepäällikkö Matti Hiltunen VRK, hankepäällikkö, CSC, Jarkko Leskinen VRK, hankepäällikkö Projektiryhmä Projektiryhmä Projektiryhmä Kokonais- & tietoarkkitehtuuri Tietoturva Hankinnat Viestintä ja sidosryhmäyhteistyö Lainsäädäntö 3
Palveluväylä - mikä se on? Tiedonvälityskokonaisuus, joka toimii viestiväylänä siihen liitettyjen palveluiden ja tietovarantojen välillä Hajautettu ratkaisu, joka tarjoaa vakioidun ja tietoturvallisen tavan sekä julkaista että käyttää erilaisia tietovarantoja ja palveluita Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva tiedonvälityskerros Kytkee toisiinsa erilaisia palveluita ja tietovarantoja Ei itsessään muuta tai luo uusia toiminnallisia palveluprosesseja Hyödyt syntyvät väylään kytketyistä tiedoista ja palveluista, ei väylästä itsestään Palveluväylän arvo on sen muodostamassa standardoidussa tietojen vaihdon ratkaisumallissa
Palveluita väylästä? Voidaan kytkeä sekä julkisen että yksityisen sektorin palveluita Kytkettävien palveluiden on täytettävä määritellyt tekniset rajapintavaatimukset Jokaisella palveluväylään kytketyllä organisaatiolla oma turvapalvelin, jonka kautta palveluväylän kanssa kommunikointi tapahtuu Väylään kytketyt palvelut ja tiedot voivat olla vapaasti käytettävissä tai sopimuksenvaraisia Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa) Ensimmäisessä vaiheessa kansalliset perustietovarannot sekä julkisen hallinnon tietovarannot ja palvelut
Kansallinen palveluarkkitehtuuri ja palveluväylä Perustietovarannot Julkisen hallinnon kohdealue- ja toimialakohtaiset palvelut Valtion yhteiset palvelut Kuntien palvelut Yrityssektorin palvelut Palveluväylä Omien tietojen katselu Palvelunäkymät Palveluoppaat Uusi palveluhaku + karttanäkymä Personoitu palvelunäkymä Sähköiset palvelut (federointi, koonti) Rooli/ valtuushallinta Palvelutietovaranto PTV Tunnistuspalvelut Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Portaalialusta sisällöntuotantoon, hakumoottori välttämättömiä heti keskeiset palvelut liitettävä alkuvaiheessa, muut myöhemmässä vaiheessa
Palveluväylähankkeen tavoitteet Tavoitteena on edistää yhteentoimivuutta eri tasoilla luomalla toimintakykyinen palveluväylä Teknisesti Organisatorisesti Hallinnollisesti Rahoituksellisesti Lainsäädännöllisesti
Hyödyt organisaatiolle Muiden tiedot helpommin käytettävissä mahdollistaa toiminnan uudistamiset voidaan karsia päällekkäisyyksiä Oma tieto helpommin muiden käytettävissä organisaation tiedon arvo kasvaa Integraatioiden teko selkeämpää Ensi vaiheessa liittyjiä tuetaan Kokonaisuus hyötyy, kun useampi käyttää ja tietoa enemmän tarjolla
Palveluväylä mistä se koostuu? Palveluväylä ja X-Road Keskeisenä osana Virossa käytössä olevan X-Roadratkaisun versio 6 Tältä osin palveluväylän ydin koostuu Siihen liittyneiden organisaatioiden liityntäpalvelimista Palveluväylän keskuspalvelimista Palveluväylän sisäinen liikenne on julkisen internetin yli tapahtuvaa liityntäpalvelinten välistä liikennettä Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti Ei yhtä yksittäistä palveluväyläkomponenttia Palveluväylä on hajautettu järjestelmä Yhteinen palvelukatalogi (liityntäkatalogi)
Palveluväyläkokonaisuus Rakennettu ympäristö TUVE VY EAI & Turvaväylä Rakennettu ympäristö VIA Valtiohallinnon integraatioalusta X KY ESB X ESB Y Internet Liittymäkatalogi Kansallinen palveluväylä (X-Road -osuus) ESB Z
Kansallinen palveluarkkitehtuuri Perustietovarannot Julkisen hallinnon kohdealue- ja toimialakohtaiset palvelut Valtion yhteiset palvelut Kuntien palvelut Yrityssektorin palvelut Palveluväylä Omien tietojen katselu Palvelunäkymät Palveluoppaat Uusi palveluhaku + karttanäkymä Personoitu palvelunäkymä Sähköiset palvelut (federointi, koonti) Rooli/ valtuushallinta Palvelutietovaranto PTV Tunnistuspalvelut Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Portaalialusta sisällöntuotantoon, hakumoottori välttämättömiä heti keskeiset palvelut liitettävä alkuvaiheessa, muut myöhemmässä vaiheessa
Palveluväylä Palveluväylän hallinta Palveluväylä ei ole keskitetty ratkaisu, vaan läpinäkyvä tietojärjestelmien välillä toimiva tiedonvälityskerros. Organisaation tietojärjestelmät ovat yhteydessä (omaan) turvapalvelimeen. Palveluväylä on joukko toisiinsa kytkettyjä liityntäpalvelimia ja kaikki palveluväylän liikenne on turvapalvelimien välistä liikennettä. Tietoturva, raportointi. lokipalvelu CA, OSCP, TSA Liityntäpalvelin
Palveluväylän ominaisuuksia Luotettava ja turvallinen tiedonsiirtokanava julkisen internetin yli Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen Kaikki palveluväylää kulkeva liikenne salataan ja allekirjoitetaan digitaalisesti Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla Kaikki tieto allekirjoitetaan varmenteilla Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseen lokiin, joka mahdollistaa tapahtumien todentamisen jälkikäteen Lokien muuttumattomuus varmistetaan varmennettujen aikaleimojen kautta
Komponentit
Komponentit Keskuskomponentit Keskuspalvelin Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistä organisaatioista Paikalliset kopiot liityntäpalvelimilla Keskuspalvelimen liityntäpalvelin Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän muiden liityntäpalvelinten käyttöön Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto
Komponentit Varmennepalvelu (Certificate Authority, CA) Keskus- ja liityntäpalvelinten palvelinvarmenteet OCSP-palvelin (Online Certificate Status Protocol) Sertifikaattien voimassaolon tarkistus Aikaleimapalvelu (Time Stamping Authority, TSA) Väylän kautta lähetettyihin sanomiin lisätään varmennettu aikaleima Mahdollistaa lokien muuttumattomuuden todentamisen
Komponentit Liityntäpalvelin Tietojärjestelmien ja lähteiden liityntäpiste palveluväylään Kokoonpano vakioitu Voi olla organisaatiokohtainen tai monen organisaation kesken yhteinen Jokaisella liityntäpalvelimella oma sertifikaatti Käytetään liityntäpalvelinten välisissä yhteyksissä Jokaisella organisaatiolla sekä tarvittaessa organisaation eri järjestelmillä omat sertifikaatit Käytetään organisaation/järjestelmän lähettämien sanomien allekirjoittamiseen
Toimijoiden vastuut VRK ja CSC vastaavat keskuskomponenttien ylläpidosta VRK vastaa varmennepalvelun ja aikaleimapalvelun ylläpidosta ja toteutuksesta Väylään liittynyt organisaatio Vastaa omien tietojensa ja palveluidensa ylläpidosta Päättää kenelle jakaa tietojaan Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt tekniset rajapintavaatimukset Vastaa tietojen välityksestä liityntäpalvelimeensa Ylläpitää liityntäpalvelimensa
Väylän vastuut, mitä se tarjoaa? Palveluväylä vastaa keskitetyistä palveluista ja liikenteestä liityntäpalvelinten välillä Osoitteiden hallinta Reititys Käyttöoikeuksien hallinta Salaus Aikaleimat Lokitus Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia Virheiden käsittely
Komponenttien roolista Palveluväylä säilyy toiminnallisena määräajan myös ilman keskuspalvelimia Väylään liittyneiden organisaatioiden ja liityntäpalvelinten tiedot keskuspalvelimella Tiedoista paikalliset kopiot liityntäpalvelimilla Päivitetään määräajoin Voimassaoloaika määriteltävissä Väylä toimii niin kauan, kunnes liityntäpalvelinten paikalliset kopiot vanhenevat Aikaleimapalvelun ja OCSP-tarkistusten jatkuva toiminta väylän kannalta kriittistä voimassaoloaika minuutteja, ei päiviä
X-Road versio 6 Toteutustekniikka uudistettu (vrt. v5) C/C++ -> Java, Ruby Federointi valtioiden välisten X-Road-instanssien liittäminen toisiinsa Tuki usealle rajapintakuvaukselle (WSDL) per organisaatio Sanomien aikaleimaus Liityntä- ja keskuspalvelimen käyttöliittymät Tuki turvamoduulin käytölle (Hardware Security Module, HSM) Allekirjoituksiin käytettävien yksityisten avainten säilytys
X-Road versio 6 Hierarkkiset organisaatio-, järjestelmä- ja palvelutunnisteet instance/memberclass/organizationcode/subsystem/service/version Esim. FI/GOV/12345-6/DemoService/helloService/v1 Palveluväyläoperaattori määrittelee: instance, memberclass, organizationcode Organisaatio määrittelee: subsystem, service, version Palvelukohtaisten käyttöoikeuksien määrittely mahdollista organisaation ja yksittäisen tietojärjestelmän tasolla Suosituksena on käyttää aina tietojärjestelmätasoa
Tiedonsiirtoprotokolla Palveluväylään liittyminen edellyttää X-Roadtiedonsiirtoprotokollan toteuttamista liitettävään järjestelmään SOAP 1.1 X-Road määrittee Otsikkotietojen rakenteen Body-osan rakenteen Rajapintakuvaukset (WSDL) Lisätietoja https://confluence.csc.fi/display/palveluvayla/x-roadtiedonsiirtoprotokolla
Sovitinpalvelu Palveluväylän edellyttämät sanomamuunnokset voidaan toteuttaa erillisessä sovitinpalvelussa Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin SOAP-pohjaisten järjestelmien kohdalla muutokset suoraviivaisia REST-mallisten järjestelmien kohdalla muutokset työläämpiä Sovitinpalvelu voidaan toteuttaa Suoraan liitettävään järjestelmään Erillisenä komponenttina samalla palvelimella järjestelmän kanssa Erillisenä komponenttina omalla palvelimellaan tai jo käytössä olevassa integraatioratkaisussa
Sovitinpalvelu
Sovitinpalvelu
Tekniset vaatimukset Liityntäpalvelin Kokoonpano vakioitu Poikkeuksina varmuuskopiointiin ja valvontaan käytettävät ohjelmistot Ubuntu 14.04 LTS 64 bit, 4GB RAM, 3GB levytilaa Vähintään tietoturvallisuuden perustaso, liitettävästä järjestelmästä riippuen voi myös olla korotettu taso Liitettävä järjestelmä X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu) Ensin liittyminen kehitysympäristöön ja vasta sitten tuotantoon
Muut vaatimukset ja käyttöehdot (sekä keskeiset tietojenvaihdot) Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä) Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä -> VRK) järjestelmän ja palvelun nimi ja kuvaus, versio liitettävän järjestelmän elinkaari rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja vastaussanomia) tietojen maksullisuus? tietolupakäytännöt, lisenssi luokittelu palvelulupaus (saatavuus, osallistuminen testaukseen) vastuuhenkilöt ja yhteystiedot Liityntäkatalogin (palvelukatalogi) käyttö
Palveluväylähankkeen osakokonaisuudet ja tiimit Kehityspäällikkö Pauli Kartano (VM/JulkICT) Tuoteomistaja, Hankepäällikkö Eero Konttaniemi X-road kehitystiimi Palvelutuotanto Tietoturvatiimi Hankintalakimies Laajennettu palveluväyläkonsepti Tuotteistus Tuoteomistaja, Järjestelmäpäällikkö Petteri Kivimäki Kehittäjä 1 Järjestelmäpäällikkö Petteri Kivimäki Tietoturvaasiantuntija Outi Juntura Integraatioarkkitehti (ESB:t+X-Road) Järjestelmäpäällikkö Petteri Kivimäki Asiantuntijat Palvelupäällikkö Jani-Matti Kaukonen Kehittäjä 2 Kehittäjä 3 Palvelupäällikkö Jani-Matti Kaukonen Tietoturvaauditoija Asiantuntijat Palvelupäällikkö Jani-Matti Kaukonen Projektipäällikkö (palveluhallinta) Pertivaalatyöryhmät Asiantuntijat (CSC) Asiantuntijat (muut) Asiantuntija 1 (CSC) Asiantuntijat (VY / VIA) Projektipäällikkö (katalogialusta) Asiantuntijat 2 Pertivaalatyöryhmät Asiantuntija 2 (CSC) Kehittäjä 1 Kehittäjä 2 Toimittajat VRK Valtori / Valtorin toimittaja Erilaiset sidosryhmät Toimittaja
Yleinen aikataulutus 2014 2015 2016 2017 Joulu Tammi Helmi Maalis huhti Touko Kesä Heinä Elo Syys Loka Marras Joulu Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Kehitysympäristö 5.75 CA, OCSP, TSA Palveluväylä 6.x Palveluväylä 7 Tekninen ympäristö ja palvelutuotanto Kehitysympäristö 6.0 REST POC RHEL Kehitysympäristö 6.1 Tuotantoympäristö 6.1 Hyväksymistestaus Tuotantoympäristön avaus Valvontatoiminnallisuudet Tuotteistus Sovitinratkaisujen referenssitoteutukset REST Proxy VTJ kehitysympäristössä VTJ tuotannossa 20 kpl organisaatioita väylään 30 kpl organisaatioita väylään Arkkitehtuurikatselmointi CS-auditoinnit Auditointi Auditointi ViVi-katselmointi Referenssiauditoinnit Lähdekoodin auditointi Palveluväylän käyttöehdot Palveluväylän tiedottaminen Sopimusten, käyttöehtojen ja liitteiden hallinta Palvelusopimusprosessi Palveluväylään liittyjien vaiheistaminen Sidosryhmätapaamiset Sopimus: tuotantoympäristö Tuotannon tuki Sidosryhmäyhteistyön, palveluprosessin ja palveluiden seurantamalli Hankinta: kehityskumppani, KYP Jatkokehitys, vaatimusmäärittely 3 0
Tilanne ja tavoitteet / alkuvuosi 2015 CA, OCSP, TSA kokonaisuuden hankinta Palveluväylän palvelukuvaukset, hallintamalli Käyttöehdot kenelle palveluväylä on, missä laajuudessa mihinkin tarkoitukseen? Tuotantoympäristön sopimus helmikuussa CSC:n kanssa Palveluväylän (X-Road) jatkokehityskumppanin kilpailutus jatkokehityskohteiden määrittelytyötä Kehitysympäristön avaus helmikuusta alkaen ensimmäiset (VTJ-soso) maaliskuussa avoin kaikille, korkeimmalla prioriteetilla loppuvuodesta tuotantoon siirrettävät palvelut Arkkitehtuurityö, auditoinnit Liityntäkatalogi ( palvelukatalogi ) projektin käynnistys Portaali/ratkaisu, jonka kautta löytyy kaikki palveluväylästä löytyvät liitynnät teknisine ja hallinnollisine kuvauksineen
Aikataulusta / loppuvuosi 2015 Q3/2015: kehitysympäristön päivitys (6.1 beta, eli ensimmäinen erä omia jatkokehityskohteita) Palveluväylän tuotantoympäristöä vastaavan testiympäristön (6.1) avaus Tuotantoon siirrettävien liityntöjen testaus Auditoinnit, testaukset 18.11.2015: Palveluväylän tuotantoympäristön (6.1) avaus Ensimmäiset liitynnät tuotannossa, mm. VTJ:n soso-liittymän (tuotanto) Trafin tieliikenteen kuljettajan lupatiedot (tuotanto) MML:n kiinteistötietojen kyselypalvelu (tuotanto) PRH:n tietovarannot (yritys- ja yhteisötietojärjestelmä, omien tietojen tarkasteluun liittyvät tiedot - tuotanto) joulukuu 2015: Lisää liityntöjä tuotantoympäristöön, mm. Veron verovelkatieto (tuotanto) Kansalliskirjaston FINTO (tuotanto) PRH:n tietovarannot (kaupparekisterin kuulutustiedot tuotanto) Trafin Ajoneuvot, Vesikulkuneuvot (tuotanto)
Miten mukaan? Ilman tarjottavia tietoja ja niitä hyödyntäviä palveluita väylästä ei ole hyötyä Hallinnonaloilta kerätään tietoa väylään liitettävistä tietovarannoista ja palveluista Etenemissuunnitelma Lähdetään liikkeelle keskeisistä tietovarannoista Yhteistyön tarve Väylän edistämiseksi tarvitaan yhä tietoa, mitä rajapintoja organisaatiot olisivat ensimmäisinä avaamassa ja millä aikataululla Kartoitetaan myös palveluväylän käyttötapauksia organisaatioiden tietovarantojen tai muualta tarvittavien tietojen kautta tuottavat lisäarvoa toiminnan tehostamiseksi viranomaistoiminnassa välillisesti ja/tai suoraan kansalaiselle tietoa siitä, mitä konkreettisia tietoja/rajapintoja/järjestelmiä nämä koskisivat hanke toimia yhdyskäytävänä näiden toteutuksia edistettäessä
Miten mukaan? Hanke tukemassa liittymien testaukseen, rajapintojen aikataulutukseen ja käyttötapauksiin liittyen Ohjelmatasolla tukea liittymiseen tuetaan kuntia ja valtiohallintoa tuetaan suunnittelua ja integraatioita, ei järjestelmien itsensä rakentamista kriteerejä mm. potentiaalinen laajuus, saatavat prosessihyödyt, toimijoiden lukumäärä Tuotteistusta kehitetään dokumentaatio,ohjeistus yms. toimintamallien kartoitus (käyttötapaukset kunnat, yritykset)
Liittymisestä Lähtökohtaisesti järjestelmien luonnollisen elinkaaren kautta Järjestelmien ja integraatioiden uusimisen yhteydessä Uusia integraatioita toteutettaessa Toimintaa tehostavien käyttötapausten tunnistaminen ja toteuttaminen Loppukäyttäjille, virkamiehille, viranomaisille, yrityksille näkyviä Puhtaasti järjestelmien välisiä Käyttötapauksista voi nousta esiin palveluväyläliittymiä, jotka eivät suoraan linjassa järjestelmien luonnollisen elinkaaren vaiheen kanssa Palvelunäkymissä näytettävät tiedot Useiden eri toimijoiden käyttämät tiedot Esim. henkilötiedot (VTJ) Liittymisen aikataulu organisaatioiden itsensä päätettävissä Tavoitteena saada uusia liittyjiä tasaisesti heti tuotantokäytön aloittamisesta lähtien
Liittyminen kehitysympäristöön Palveluvayla.fi Esuomi.fi
Kiitos! Hankepäällikkö Eero Konttaniemi eero.konttaniemi@vrk.fi 0295 535 024 palveluvayla.fi