Kansallisen palveluväyläntekniset ratkaisut1.12.2014

Eero Konttaniemi Petteri KivimäkiHankepäällikkö Järjestelmäpäällikkö

Sisältö

• Yleisesittely• X-Road versio 6• Tiedonsiirtoprotokolla• Sovitinpalvelu• Tekniset vaatimukset• Muut vaatimukset• Aikataulu• Jatkokehitys

Kansallinen palveluarkkitehtuuri

• Yhteentoimiva digitaalisten palvelujen infrastruktuuri,jonka avulla tiedon siirto organisaatioiden japalvelujen välillä on helppoa

• Ohjelmassa luodaan– Kansallinen palveluväylä– Kansalaisten, yritysten ja viranomaisten tarvitsemat yhteiset

palvelunäkymät– Uusi kansallinen sähköinen tunnistusratkaisu– Kansalliset ratkaisut organisaatioiden ja luonnollisten

henkilöiden roolien ja valtuutusten hallintaan

Organisaatioiden• Sisäiset

järjestelmät• Yhteiset

järjestelmät

Perus-rekisterit

Muutperustietovarannot

Roolit:Attrib.

rekisterit

Tunnistuspalvelut

Tietovarantojenhallinta

Kokoavattietopalvelut

Roolit javaltuutukset

Sähköisetpalvelut

Julkisetpalvelut

Kuntientieto-

varannot

…

Maksaminen

Valtuutustenhallinta

Tavoitetta-vuustiedot

Palveluunohjaus

Palveluportaalit(esim. nykyiset suomi.fi ja yrityssuomi.fi)

AsiointitilitOmanasioinninhallinta

Allekirjoitus

VIAintegraatiopalvelu

Palvelunäkymät Yht.palvelut

Roolit javaltuutukset

PalveluväyläPalveluväylän

metatietopalvelut

Tunnistus-Tunnistus-välineet

Kansallisentunnistamisen

malli

Kansalainen

Organisaatio

Huoltaja

Edunvalvoja

…

…

Omattiedot

ViranomainenYritys /yhteisöKansalainenAsiakkaat

PTVpalvelutie-tovaranto

EU-asiointi

PEPS

… VRK / JKa 27.11.2014

KarttapalveluHerätteet

Kansallinen palveluarkkitehtuuri

Portaalialusta sisällöntuotantoon, hakumoottori…

Palvelunäkymät

Omien tietojenkatselu

Uusipalveluhaku

+ karttanäkymä

Palveluoppaat

Sähköisetpalvelut

(federointi, koonti)

Personoitupalvelunäkymä

Perustieto-varannot

Valtionyhteiset palvelut

Julkisen hallinnonkohdealue- ja

toimialakohtaiset palvelut

Kuntienpalvelut

Yrityssektorinpalvelut

Palveluväylänhallinta

Tunnistus-palvelut

Rooli/valtuus-hallinta

Palvelu-tietovaranto

PTV

Tietoturva,raportointi.lokipalvelu

Palveluväylä

välttämättömiä heti

keskeiset palvelut liitettävä alkuvaiheessa,muut myöhemmässä vaiheessa

välttämättömiä heti

keskeiset palvelut liitettävä alkuvaiheessa,muut myöhemmässä vaiheessa

Yleisesittely

• Tiedonvälityskokonaisuus, joka toimii viestiväylänäsiihen liitettyjen palveluiden ja tietovarantojen välillä– Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva

tiedonvälityskerros– Kytkee toisiinsa erilaisia palveluita ja tietovarantoja

• Ei itsessään muuta tai luo uusia toiminnallisiapalveluprosesseja

• Hyödyt syntyvät väylään kytketyistä tiedoista japalveluista, ei väylästä itsestään

• Palveluväylän arvo on sen muodostamassastandardoidussa tietojen vaihdon ratkaisumallissa

Yleisesittely

• Voidaan kytkeä sekä julkisen että yksityisen sektorinpalveluita– Kytkettävien palveluiden on täytettävä määritellyt tekniset

rajapintavaatimukset

• Väylään kytketyt palvelut ja tiedot voivat olla vapaastikäytettävissä tai sopimuksenvaraisia– Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa)– Myös avoimen datan palvelut tervetulleita

Yleisesittely

• Alustana Virossa käytössä olevan X-Road-ratkaisunversio 6

• Palveluväylän ydin koostuu– Siihen liittyneiden organisaatioiden liityntäpalvelimista– Palveluväylän keskuspalvelimista

• Palveluväylän sisäinen liikenne on julkisen internetinyli tapahtuvaa liityntäpalvelinten välistä liikennettä– Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti

• Ei yhtä yksittäistä palveluväyläkomponenttia– Palveluväylä on hajautettu järjestelmä

Palveluväylänhallinta

Tietoturva,raportointi.lokipalvelu

Palveluväylä

LiityntäpalvelinLiityntäpalvelin

Yleisesittely

Palveluväylänhallinta

Tietoturva,raportointi.lokipalvelu

LiityntäpalvelinLiityntäpalvelin

Palveluväylä

Yleisesittely

Yleisesittely

• Luotettava ja turvallinen tiedonsiirtokanava julkiseninternetin yli– Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen

• Kaikki palveluväylää kulkeva liikenne salataan jaallekirjoitetaan digitaalisesti– Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla– Kaikki tieto allekirjoitetaan varmenteilla

• Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseenlokiin, joka mahdollistaa tapahtumien todentamisenjälkikäteen– Lokien muuttumattomuus varmistetaan varmennettujen

aikaleimojen kautta

Yleisesittely

Yleisesittely

• Keskuskomponentit– Keskuspalvelin

• Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistäorganisaatioista

– Paikalliset kopiot liityntäpalvelimilla

– Keskuspalvelimen liityntäpalvelin• Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän

muiden liityntäpalvelinten käyttöön– Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto

Yleisesittely

• Varmennepalvelu (Certificate Authority, CA)– Keskus- ja liityntäpalvelinten palvelinvarmenteet– Organisaatioiden allekirjoitusvarmenteet– OCSP-palvelin (Online Certificate Status Protocol)

• Sertifikaattien voimassaolon tarkistus

• Aikaleimapalvelu (Time Stamping Authority, TSA)– Väylän kautta lähetettyihin sanomiin lisätään varmennettu

aikaleima– Mahdollistaa lokien muuttumattomuuden todentamisen

Yleisesittely

• Liityntäpalvelin– Tietojärjestelmien ja –lähteiden liityntäpiste palveluväylään– Kokoonpano vakioitu– Voi olla organisaatiokohtainen tai monen organisaation

kesken yhteinen– Jokaisella liityntäpalvelimella oma sertifikaatti

• Käytetään liityntäpalvelinten välisissä yhteyksissä– Jokaisella organisaatiolla sekä tarvittaessa organisaation eri

järjestelmillä omat sertifikaatit• Käytetään organisaation/järjestelmän lähettämien sanomien

allekirjoittamiseen

Yleisesittely

Yleisesittely

• VRK ja CSC vastaavat keskuskomponenttienylläpidosta

• VRK vastaa varmennepalvelun ja aikaleimapalvelunylläpidosta ja toteutuksesta

• Väylään liittynyt organisaatio– Vastaa omien tietojensa ja palveluidensa ylläpidosta– Päättää kenelle jakaa tietojaan– Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt

tekniset rajapintavaatimukset– Vastaa tietojen välityksestä liityntäpalvelimeensa– Ylläpitää liityntäpalvelimensa

Yleisesittely

• Palveluväylä vastaa keskitetyistä palveluista jaliikenteestä liityntäpalvelinten välillä– Osoitteiden hallinta– Reititys– Käyttöoikeuksien hallinta– Salaus– Aikaleimat– Lokitus

• Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia– Virheiden käsittely

Yleisesittely

• Palveluväylä säilyy toiminnallisena määräajan myösilman keskuspalvelimia– Väylään liittyneiden organisaatioiden ja liityntäpalvelinten

tiedot keskuspalvelimella– Tiedoista paikalliset kopiot liityntäpalvelimilla

• Päivitetään määräajoin• Voimassaoloaika määriteltävissä

– Väylä toimii niin kauan, kunnes liityntäpalvelinten paikallisetkopiot vanhenevat

• Aikaleimapalvelun ja OCSP-tarkistusten jatkuvatoiminta väylän kannalta kriittistä– voimassaoloaika minuutteja, ei päiviä

X-Road versio 6

• Toteutustekniikka uudistettu– C/C++ -> Java, Ruby

• Federointi – valtioiden välisten X-Road-instanssienliittäminen toisiinsa

• Tuki usealle rajapintakuvaukselle (WSDL) perorganisaatio

• Sanomien aikaleimaus• Liityntä- ja keskuspalvelimen käyttöliittymät• Tuki turvamoduulin käytölle (Hardware Security

Module, HSM)– Allekirjoituksiin käytettävien yksityisten avainten säilytys

X-Road versio 6

• Hierarkkiset organisaatio-, järjestelmä- japalvelutunnisteet– instance/memberClass/organizationCode/subsystem/service/version

– Esim. FI/GOV/12345-6/DemoService/helloService/v1– Palveluväyläoperaattori määrittelee: instance, memberClass,

organizationCode– Organisaatio määrittelee: subsystem, service, version

• Palvelukohtaisten käyttöoikeuksien määrittelymahdollista organisaation ja yksittäisentietojärjestelmän tasolla– Suosituksena on käyttää aina tietojärjestelmätasoa

Tiedonsiirtoprotokolla

• Palveluväylään liittyminen edellyttää X-Road-tiedonsiirtoprotokollan toteuttamista liitettäväänjärjestelmään– SOAP 1.1– X-Road määrittee

• Otsikkotietojen rakenteen• Body-osan rakenteen

– Rajapintakuvaukset (WSDL)

• Lisätietoja– https://confluence.csc.fi/display/Palveluvayla/X-Road-

tiedonsiirtoprotokolla

Tiedonsiirtoprotokolla - request

Tiedonsiirtoprotokolla - response

Sovitinpalvelu

• Palveluväylän edellyttämät sanomamuunnoksetvoidaan toteuttaa erillisessä sovitinpalvelussa– Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin– SOAP-pohjaisten järjestelmien kohdalla muutokset

suoraviivaisia– REST-mallisten järjestelmien kohdalla muutokset työläämpiä

• Sovitinpalvelu voidaan toteuttaa– Suoraan liitettävään järjestelmään– Erillisenä komponenttina samalla palvelimella järjestelmän

kanssa– Erillisenä komponenttina omalla palvelimellaan tai jo

käytössä olevassa integraatioratkaisussa

Sovitinpalvelu

Sovitinpalvelu

Tekniset vaatimukset

• Liityntäpalvelin– Kokoonpano vakioitu

• Poikkeuksina varmuuskopiointiin ja valvontaan käytettävätohjelmistot

– Ubuntu 14.04 LTS• 64 bit, 4GB RAM, 3GB levytilaa

– Vähintään tietoturvallisuuden perustaso, liitettävästäjärjestelmästä riippuen voi myös olla korotettu taso

• Liitettävä järjestelmä– X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu)

• Ensin liittyminen testiympäristöön ja vasta sittentuotantoon

Muut vaatimukset ja käyttöehdot(sekä keskeiset tietojenvaihdot)

• Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet– (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä)

• Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet• Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä ->

VRK)– järjestelmän ja palvelun nimi ja kuvaus, versio– liitettävän järjestelmän elinkaari– rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja

vastaussanomia)– tietojen maksullisuus?– tietolupakäytännöt, lisenssi– luokittelu– palvelulupaus (saatavuus, osallistuminen testaukseen)– vastuuhenkilöt ja yhteystiedot

Aikataulu

• 12/2014 uusi kehitysympäristö (versio 6)– CA ja TSA osa kehitysympäristöä– Halukkaat organisaatiot pääsevät liittymään kehitysympäristöön

12/2014-01/2015 ->• Auditoinnit Q1/2015 ->

– Arkkitehtuurin katselmointi– Keskuspalvelinympäristö– Liityntäpalvelimen referenssitoteutus– Lähdekoodi

• Ensimmäinen tuotantoympäristö Q1-Q2/2015– CA ja TSA VRK:n käyttöpalveluympäristössä– Liityntäpalvelimen lähdekoodin avaaminen

Aikataulu 2015

• Keskeisten tietovarantojen liittämisen tukeminen– VTJ ensimmäisenä– Keskusteluja meneillään eri rekisterinpitäjien kanssa

• Palveluväylän ylläpidon ja käytön sekäpalveluväylään liittymisen edellyttämienhallintamallien käyttöönotto– Sisäinen ja ulkoinen tuotteistus

• Avoimen kehittämisen mallin suunnittelu jakäyttöönotto

Jatkokehitys

• Jo tunnistetut jatkokehityskohteet sekä käyttöönotonjälkeen esille nousevat tarpeet, mm.:– REST-tuki– RHEL-tuki

• Alustava aikataulu Q1-Q2/2015– Valvontatyökalut– Lokitukseen liittyvät käytännöt– Rajapintakuvausten (WSDL) validointi

• Päivitykset vuosina 2015->• Viroyhteistyö

Kiitos!