SlideShare a Scribd company logo
Kansallisen palveluväylän 
tekniset ratkaisut 
1.12.2014 
Eero Konttaniemi Petteri Kivimäki 
Hankepäällikkö Järjestelmäpäällikkö
Sisältö 
• Yleisesittely 
• X-Road versio 6 
• Tiedonsiirtoprotokolla 
• Sovitinpalvelu 
• Tekniset vaatimukset 
• Muut vaatimukset 
• Aikataulu 
• Jatkokehitys
Kansallinen palveluarkkitehtuuri 
• Yhteentoimiva digitaalisten palvelujen infrastruktuuri, 
jonka avulla tiedon siirto organisaatioiden ja 
palvelujen välillä on helppoa 
• Ohjelmassa luodaan 
– Kansallinen palveluväylä 
– Kansalaisten, yritysten ja viranomaisten tarvitsemat yhteiset 
palvelunäkymät 
– Uusi kansallinen sähköinen tunnistusratkaisu 
– Kansalliset ratkaisut organisaatioiden ja luonnollisten 
henkilöiden roolien ja valtuutusten hallintaan
Kansallisen 
tunnistamisen 
malli 
Tunnistus-välineet 
Palvelunäkymät Yht.palvelut 
Organisaatioiden 
• Sisäiset 
järjestelmät 
• Yhteiset 
järjestelmät 
Perus-rekisterit 
Muut 
perustieto 
varannot 
Roolit: 
Attrib. 
rekisterit 
Tunnistuspalvelut 
Kokoavat 
tietopalvelut 
Tietovarantojen 
hallinta 
Roolit ja 
valtuutukset 
Sähköiset 
palvelut 
Julkiset 
palvelut 
Kuntien 
tieto-varannot 
… 
Roolit ja 
valtuutukset 
Karttapalvelu 
Maksaminen 
Valtuutusten 
hallinta 
Tavoitetta-vuustiedot 
Palveluun 
ohjaus 
Palveluportaalit 
(esim. nykyiset suomi.fi ja yrityssuomi.fi) 
Oman Asiointitilit 
asioinnin 
hallinta 
Allekirjoitus 
VIA 
integraatiopalvelu 
Palveluväylä 
Palveluväylän 
metatietopalvelut 
Kansalainen 
Huoltaja 
Edunvalvoja 
Organisaatio 
… 
… 
Omat 
tiedot 
Yritys / Viranomainen 
Asiakkaat Kansalainen yhteisö 
PTV 
palvelutie-tovaranto 
EU-asiointi 
PEPS 
… VRK / JKa 27.11.2014 
Herätteet
Kansallinen palveluarkkitehtuuri 
Palvelunäkymät 
Perustieto-varannot 
Omien tietojen 
katselu 
Uusi 
palveluhaku 
+ karttanäkymä 
Palveluoppaat 
Sähköiset 
palvelut 
(federointi, koonti) 
Personoitu 
palvelunäkymä 
Portaalialusta sisällöntuotantoon, hakumoottori… 
Valtion 
yhteiset palvelut 
Julkisen hallinnon 
kohdealue- ja 
toimialakohtaiset palvelut 
Kuntien 
palvelut 
Yrityssektorin 
palvelut 
Palveluväylän 
hallinta Tunnistus-palvelut 
Rooli/ 
valtuus-hallinta 
Palvelu-tietovaranto 
PTV 
Tietoturva, 
raportointi. 
lokipalvelu 
Palveluväylä 
välttämättömiä heti 
keskeiset palvelut liitettävä alkuvaiheessa, 
muut myöhemmässä vaiheessa
Yleisesittely 
• Tiedonvälityskokonaisuus, joka toimii viestiväylänä 
siihen liitettyjen palveluiden ja tietovarantojen välillä 
– Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva 
tiedonvälityskerros 
– Kytkee toisiinsa erilaisia palveluita ja tietovarantoja 
• Ei itsessään muuta tai luo uusia toiminnallisia 
palveluprosesseja 
• Hyödyt syntyvät väylään kytketyistä tiedoista ja 
palveluista, ei väylästä itsestään 
• Palveluväylän arvo on sen muodostamassa 
standardoidussa tietojen vaihdon ratkaisumallissa
Yleisesittely 
• Voidaan kytkeä sekä julkisen että yksityisen sektorin 
palveluita 
– Kytkettävien palveluiden on täytettävä määritellyt tekniset 
rajapintavaatimukset 
• Väylään kytketyt palvelut ja tiedot voivat olla vapaasti 
käytettävissä tai sopimuksenvaraisia 
– Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa) 
– Myös avoimen datan palvelut tervetulleita
Yleisesittely 
• Alustana Virossa käytössä olevan X-Road-ratkaisun 
versio 6 
• Palveluväylän ydin koostuu 
– Siihen liittyneiden organisaatioiden liityntäpalvelimista 
– Palveluväylän keskuspalvelimista 
• Palveluväylän sisäinen liikenne on julkisen internetin 
yli tapahtuvaa liityntäpalvelinten välistä liikennettä 
– Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti 
• Ei yhtä yksittäistä palveluväyläkomponenttia 
– Palveluväylä on hajautettu järjestelmä
Palveluväylän 
hallinta 
Tietoturva, 
raportointi. 
lokipalvelu 
Palveluväylä 
Liityntäpalvelin 
Yleisesittely
Palveluväylän 
hallinta 
Tietoturva, 
raportointi. 
lokipalvelu 
Liityntäpalvelin 
Yleisesittely 
Palveluväylä
Yleisesittely 
• Luotettava ja turvallinen tiedonsiirtokanava julkisen 
internetin yli 
– Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen 
• Kaikki palveluväylää kulkeva liikenne salataan ja 
allekirjoitetaan digitaalisesti 
– Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla 
– Kaikki tieto allekirjoitetaan varmenteilla 
• Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseen 
lokiin, joka mahdollistaa tapahtumien todentamisen 
jälkikäteen 
– Lokien muuttumattomuus varmistetaan varmennettujen 
aikaleimojen kautta
Yleisesittely
Yleisesittely 
• Keskuskomponentit 
– Keskuspalvelin 
• Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistä 
organisaatioista 
– Paikalliset kopiot liityntäpalvelimilla 
– Keskuspalvelimen liityntäpalvelin 
• Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän 
muiden liityntäpalvelinten käyttöön 
– Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto
Yleisesittely 
• Varmennepalvelu (Certificate Authority, CA) 
– Keskus- ja liityntäpalvelinten palvelinvarmenteet 
– Organisaatioiden allekirjoitusvarmenteet 
– OCSP-palvelin (Online Certificate Status Protocol) 
• Sertifikaattien voimassaolon tarkistus 
• Aikaleimapalvelu (Time Stamping Authority, TSA) 
– Väylän kautta lähetettyihin sanomiin lisätään varmennettu 
aikaleima 
– Mahdollistaa lokien muuttumattomuuden todentamisen
Yleisesittely 
• Liityntäpalvelin 
– Tietojärjestelmien ja –lähteiden liityntäpiste palveluväylään 
– Kokoonpano vakioitu 
– Voi olla organisaatiokohtainen tai monen organisaation 
kesken yhteinen 
– Jokaisella liityntäpalvelimella oma sertifikaatti 
• Käytetään liityntäpalvelinten välisissä yhteyksissä 
– Jokaisella organisaatiolla sekä tarvittaessa organisaation eri 
järjestelmillä omat sertifikaatit 
• Käytetään organisaation/järjestelmän lähettämien sanomien 
allekirjoittamiseen
Yleisesittely
Yleisesittely 
• VRK ja CSC vastaavat keskuskomponenttien 
ylläpidosta 
• VRK vastaa varmennepalvelun ja aikaleimapalvelun 
ylläpidosta ja toteutuksesta 
• Väylään liittynyt organisaatio 
– Vastaa omien tietojensa ja palveluidensa ylläpidosta 
– Päättää kenelle jakaa tietojaan 
– Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt 
tekniset rajapintavaatimukset 
– Vastaa tietojen välityksestä liityntäpalvelimeensa 
– Ylläpitää liityntäpalvelimensa
Yleisesittely 
• Palveluväylä vastaa keskitetyistä palveluista ja 
liikenteestä liityntäpalvelinten välillä 
– Osoitteiden hallinta 
– Reititys 
– Käyttöoikeuksien hallinta 
– Salaus 
– Aikaleimat 
– Lokitus 
• Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia 
– Virheiden käsittely
Yleisesittely 
• Palveluväylä säilyy toiminnallisena määräajan myös 
ilman keskuspalvelimia 
– Väylään liittyneiden organisaatioiden ja liityntäpalvelinten 
tiedot keskuspalvelimella 
– Tiedoista paikalliset kopiot liityntäpalvelimilla 
• Päivitetään määräajoin 
• Voimassaoloaika määriteltävissä 
– Väylä toimii niin kauan, kunnes liityntäpalvelinten paikalliset 
kopiot vanhenevat 
• Aikaleimapalvelun ja OCSP-tarkistusten jatkuva 
toiminta väylän kannalta kriittistä 
– voimassaoloaika minuutteja, ei päiviä
X-Road versio 6 
• Toteutustekniikka uudistettu 
– C/C++ -> Java, Ruby 
• Federointi – valtioiden välisten X-Road-instanssien 
liittäminen toisiinsa 
• Tuki usealle rajapintakuvaukselle (WSDL) per 
organisaatio 
• Sanomien aikaleimaus 
• Liityntä- ja keskuspalvelimen käyttöliittymät 
• Tuki turvamoduulin käytölle (Hardware Security 
Module, HSM) 
– Allekirjoituksiin käytettävien yksityisten avainten säilytys
X-Road versio 6 
• Hierarkkiset organisaatio-, järjestelmä- ja 
palvelutunnisteet 
– instance/memberClass/organizationCode/subsystem/service/version 
– Esim. FI/GOV/12345-6/DemoService/helloService/v1 
– Palveluväyläoperaattori määrittelee: instance, memberClass, 
organizationCode 
– Organisaatio määrittelee: subsystem, service, version 
• Palvelukohtaisten käyttöoikeuksien määrittely 
mahdollista organisaation ja yksittäisen 
tietojärjestelmän tasolla 
– Suosituksena on käyttää aina tietojärjestelmätasoa
Tiedonsiirtoprotokolla 
• Palveluväylään liittyminen edellyttää X-Road-tiedonsiirtoprotokollan 
toteuttamista liitettävään 
järjestelmään 
– SOAP 1.1 
– X-Road määrittee 
• Otsikkotietojen rakenteen 
• Body-osan rakenteen 
– Rajapintakuvaukset (WSDL) 
• Lisätietoja 
– https://confluence.csc.fi/display/Palveluvayla/X-Road-tiedonsiirtoprotokolla
Tiedonsiirtoprotokolla - request
Tiedonsiirtoprotokolla - response
Sovitinpalvelu 
• Palveluväylän edellyttämät sanomamuunnokset 
voidaan toteuttaa erillisessä sovitinpalvelussa 
– Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin 
– SOAP-pohjaisten järjestelmien kohdalla muutokset 
suoraviivaisia 
– REST-mallisten järjestelmien kohdalla muutokset työläämpiä 
• Sovitinpalvelu voidaan toteuttaa 
– Suoraan liitettävään järjestelmään 
– Erillisenä komponenttina samalla palvelimella järjestelmän 
kanssa 
– Erillisenä komponenttina omalla palvelimellaan tai jo 
käytössä olevassa integraatioratkaisussa
Sovitinpalvelu
Sovitinpalvelu
Tekniset vaatimukset 
• Liityntäpalvelin 
– Kokoonpano vakioitu 
• Poikkeuksina varmuuskopiointiin ja valvontaan käytettävät 
ohjelmistot 
– Ubuntu 14.04 LTS 
• 64 bit, 4GB RAM, 3GB levytilaa 
– Vähintään tietoturvallisuuden perustaso, liitettävästä 
järjestelmästä riippuen voi myös olla korotettu taso 
• Liitettävä järjestelmä 
– X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu) 
• Ensin liittyminen testiympäristöön ja vasta sitten 
tuotantoon
Muut vaatimukset ja käyttöehdot 
(sekä keskeiset tietojenvaihdot) 
• Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet 
– (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä) 
• Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet 
• Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä -> 
VRK) 
– järjestelmän ja palvelun nimi ja kuvaus, versio 
– liitettävän järjestelmän elinkaari 
– rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja 
vastaussanomia) 
– tietojen maksullisuus? 
– tietolupakäytännöt, lisenssi 
– luokittelu 
– palvelulupaus (saatavuus, osallistuminen testaukseen) 
– vastuuhenkilöt ja yhteystiedot
Aikataulu 
• 12/2014 uusi kehitysympäristö (versio 6) 
– CA ja TSA osa kehitysympäristöä 
– Halukkaat organisaatiot pääsevät liittymään kehitysympäristöön 
12/2014-01/2015 -> 
• Auditoinnit Q1/2015 -> 
– Arkkitehtuurin katselmointi 
– Keskuspalvelinympäristö 
– Liityntäpalvelimen referenssitoteutus 
– Lähdekoodi 
• Ensimmäinen tuotantoympäristö Q1-Q2/2015 
– CA ja TSA VRK:n käyttöpalveluympäristössä 
– Liityntäpalvelimen lähdekoodin avaaminen
Aikataulu 2015 
• Keskeisten tietovarantojen liittämisen tukeminen 
– VTJ ensimmäisenä 
– Keskusteluja meneillään eri rekisterinpitäjien kanssa 
• Palveluväylän ylläpidon ja käytön sekä 
palveluväylään liittymisen edellyttämien 
hallintamallien käyttöönotto 
– Sisäinen ja ulkoinen tuotteistus 
• Avoimen kehittämisen mallin suunnittelu ja 
käyttöönotto
Jatkokehitys 
• Jo tunnistetut jatkokehityskohteet sekä käyttöönoton 
jälkeen esille nousevat tarpeet, mm.: 
– REST-tuki 
– RHEL-tuki 
• Alustava aikataulu Q1-Q2/2015 
– Valvontatyökalut 
– Lokitukseen liittyvät käytännöt 
– Rajapintakuvausten (WSDL) validointi 
• Päivitykset vuosina 2015-> 
• Viroyhteistyö
Kiitos!

More Related Content

Similar to 2014-12-01-Kansallinen palveluväylä

Palveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysPalveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitys
Sitra
 
Palveluväyläkokemuksia, Espoon palveluväyläpilotti
Palveluväyläkokemuksia, Espoon palveluväyläpilottiPalveluväyläkokemuksia, Espoon palveluväyläpilotti
Palveluväyläkokemuksia, Espoon palveluväyläpilotti
Sitra / Hyvinvointi
 
Pohjoismainen taseselvitysmalli - koulutus 9.2.2016 - Niko Jauhiainen, Yhteis...
Pohjoismainen taseselvitysmalli - koulutus 9.2.2016 - Niko Jauhiainen, Yhteis...Pohjoismainen taseselvitysmalli - koulutus 9.2.2016 - Niko Jauhiainen, Yhteis...
Pohjoismainen taseselvitysmalli - koulutus 9.2.2016 - Niko Jauhiainen, Yhteis...
eSett
 
Coss koulutus 20161124 avaus ja jit2015 20161124 final
Coss koulutus 20161124 avaus ja jit2015 20161124 finalCoss koulutus 20161124 avaus ja jit2015 20161124 final
Coss koulutus 20161124 avaus ja jit2015 20161124 final
willebra
 
Avaus ja JIT 2015
Avaus ja JIT 2015Avaus ja JIT 2015
Avaus ja JIT 2015
COSS
 
Sähköisen palvelusetelin mallintaminen geneeriseksi ratkaisuksi, FCG-seminaar...
Sähköisen palvelusetelin mallintaminen geneeriseksi ratkaisuksi, FCG-seminaar...Sähköisen palvelusetelin mallintaminen geneeriseksi ratkaisuksi, FCG-seminaar...
Sähköisen palvelusetelin mallintaminen geneeriseksi ratkaisuksi, FCG-seminaar...
Palveluseteli-hanke
 
Valinnanvapauden tiedonhallintapalvelut 2018
Valinnanvapauden tiedonhallintapalvelut 2018Valinnanvapauden tiedonhallintapalvelut 2018
Valinnanvapauden tiedonhallintapalvelut 2018
Kela
 
Legacy systeemin uusiminen
Legacy systeemin uusiminenLegacy systeemin uusiminen
Legacy systeemin uusiminen
Vesa Keskinen
 
Esiselvityksen tulosraportti - asianhallintajärjestelmät
Esiselvityksen tulosraportti - asianhallintajärjestelmätEsiselvityksen tulosraportti - asianhallintajärjestelmät
Esiselvityksen tulosraportti - asianhallintajärjestelmät
AKUSTI - tietohallintoyhteistyöfoorumi
 
Marko Latvanen: Sähköinen kansalaisuus tietoyhteiskunnassa - Suomi.fin uuden ...
Marko Latvanen: Sähköinen kansalaisuus tietoyhteiskunnassa - Suomi.fin uuden ...Marko Latvanen: Sähköinen kansalaisuus tietoyhteiskunnassa - Suomi.fin uuden ...
Marko Latvanen: Sähköinen kansalaisuus tietoyhteiskunnassa - Suomi.fin uuden ...
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
Finceptum Oy
 
Tyopaja3 tuottajahallintapalvelu
Tyopaja3 tuottajahallintapalveluTyopaja3 tuottajahallintapalvelu
Tyopaja3 tuottajahallintapalvelu
Sosiaali- ja terveysministeriö / yleiset
 
Vvtiedonhallintapalvelut17012019
Vvtiedonhallintapalvelut17012019Vvtiedonhallintapalvelut17012019
Vvtiedonhallintapalvelut17012019
Sosiaali- ja terveysministeriö / yleiset
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Planeetta Internet
 
ITSM-integraatiot palveluna
ITSM-integraatiot palvelunaITSM-integraatiot palveluna
ITSM-integraatiot palveluna
Verco Ltd.
 
KDK-PAS
KDK-PASKDK-PAS
KDK-PAS
Serafia Kari
 
Vimanan esittely
Vimanan esittelyVimanan esittely
Vimanan esittely
Vimana Oy
 
Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...
Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...
Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...
Sami Suo-Heikki
 

Similar to 2014-12-01-Kansallinen palveluväylä (20)

Palveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysPalveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitys
 
Palveluväyläkokemuksia, Espoon palveluväyläpilotti
Palveluväyläkokemuksia, Espoon palveluväyläpilottiPalveluväyläkokemuksia, Espoon palveluväyläpilotti
Palveluväyläkokemuksia, Espoon palveluväyläpilotti
 
Espoon palveluväyläkokemuksia
Espoon palveluväyläkokemuksiaEspoon palveluväyläkokemuksia
Espoon palveluväyläkokemuksia
 
Pohjoismainen taseselvitysmalli - koulutus 9.2.2016 - Niko Jauhiainen, Yhteis...
Pohjoismainen taseselvitysmalli - koulutus 9.2.2016 - Niko Jauhiainen, Yhteis...Pohjoismainen taseselvitysmalli - koulutus 9.2.2016 - Niko Jauhiainen, Yhteis...
Pohjoismainen taseselvitysmalli - koulutus 9.2.2016 - Niko Jauhiainen, Yhteis...
 
Coss koulutus 20161124 avaus ja jit2015 20161124 final
Coss koulutus 20161124 avaus ja jit2015 20161124 finalCoss koulutus 20161124 avaus ja jit2015 20161124 final
Coss koulutus 20161124 avaus ja jit2015 20161124 final
 
Avaus ja JIT 2015
Avaus ja JIT 2015Avaus ja JIT 2015
Avaus ja JIT 2015
 
Sähköisen palvelusetelin mallintaminen geneeriseksi ratkaisuksi, FCG-seminaar...
Sähköisen palvelusetelin mallintaminen geneeriseksi ratkaisuksi, FCG-seminaar...Sähköisen palvelusetelin mallintaminen geneeriseksi ratkaisuksi, FCG-seminaar...
Sähköisen palvelusetelin mallintaminen geneeriseksi ratkaisuksi, FCG-seminaar...
 
Valinnanvapauden tiedonhallintapalvelut 2018
Valinnanvapauden tiedonhallintapalvelut 2018Valinnanvapauden tiedonhallintapalvelut 2018
Valinnanvapauden tiedonhallintapalvelut 2018
 
Legacy systeemin uusiminen
Legacy systeemin uusiminenLegacy systeemin uusiminen
Legacy systeemin uusiminen
 
Esiselvityksen tulosraportti - asianhallintajärjestelmät
Esiselvityksen tulosraportti - asianhallintajärjestelmätEsiselvityksen tulosraportti - asianhallintajärjestelmät
Esiselvityksen tulosraportti - asianhallintajärjestelmät
 
Marko Latvanen: Sähköinen kansalaisuus tietoyhteiskunnassa - Suomi.fin uuden ...
Marko Latvanen: Sähköinen kansalaisuus tietoyhteiskunnassa - Suomi.fin uuden ...Marko Latvanen: Sähköinen kansalaisuus tietoyhteiskunnassa - Suomi.fin uuden ...
Marko Latvanen: Sähköinen kansalaisuus tietoyhteiskunnassa - Suomi.fin uuden ...
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
 
Tyopaja3 tuottajahallintapalvelu
Tyopaja3 tuottajahallintapalveluTyopaja3 tuottajahallintapalvelu
Tyopaja3 tuottajahallintapalvelu
 
Vvtiedonhallintapalvelut17012019
Vvtiedonhallintapalvelut17012019Vvtiedonhallintapalvelut17012019
Vvtiedonhallintapalvelut17012019
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
 
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
 
ITSM-integraatiot palveluna
ITSM-integraatiot palvelunaITSM-integraatiot palveluna
ITSM-integraatiot palveluna
 
KDK-PAS
KDK-PASKDK-PAS
KDK-PAS
 
Vimanan esittely
Vimanan esittelyVimanan esittely
Vimanan esittely
 
Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...
Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...
Viitesiirtoaineiston nouto Osuuspankista käyttäen Web Services -yhteyskäytänt...
 

More from Petteri Kivimäki

X-Road as a Platform to Exchange MyData
X-Road as a Platform to Exchange MyDataX-Road as a Platform to Exchange MyData
X-Road as a Platform to Exchange MyData
Petteri Kivimäki
 
2016-09-16-NationalArchitectureForDigitalServices
2016-09-16-NationalArchitectureForDigitalServices2016-09-16-NationalArchitectureForDigitalServices
2016-09-16-NationalArchitectureForDigitalServices
Petteri Kivimäki
 
2016-09-23-KaPA ja avoin lähdekoodi
2016-09-23-KaPA ja avoin lähdekoodi2016-09-23-KaPA ja avoin lähdekoodi
2016-09-23-KaPA ja avoin lähdekoodi
Petteri Kivimäki
 
2015-11-20-Avoimet lisenssit ja parhaat käytännöt julkisen hallinnon ICTssä -...
2015-11-20-Avoimet lisenssit ja parhaat käytännöt julkisen hallinnon ICTssä -...2015-11-20-Avoimet lisenssit ja parhaat käytännöt julkisen hallinnon ICTssä -...
2015-11-20-Avoimet lisenssit ja parhaat käytännöt julkisen hallinnon ICTssä -...
Petteri Kivimäki
 
X-Road in Finland & REST Gateway
X-Road in Finland & REST GatewayX-Road in Finland & REST Gateway
X-Road in Finland & REST Gateway
Petteri Kivimäki
 
Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...
Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...
Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...
Petteri Kivimäki
 

More from Petteri Kivimäki (6)

X-Road as a Platform to Exchange MyData
X-Road as a Platform to Exchange MyDataX-Road as a Platform to Exchange MyData
X-Road as a Platform to Exchange MyData
 
2016-09-16-NationalArchitectureForDigitalServices
2016-09-16-NationalArchitectureForDigitalServices2016-09-16-NationalArchitectureForDigitalServices
2016-09-16-NationalArchitectureForDigitalServices
 
2016-09-23-KaPA ja avoin lähdekoodi
2016-09-23-KaPA ja avoin lähdekoodi2016-09-23-KaPA ja avoin lähdekoodi
2016-09-23-KaPA ja avoin lähdekoodi
 
2015-11-20-Avoimet lisenssit ja parhaat käytännöt julkisen hallinnon ICTssä -...
2015-11-20-Avoimet lisenssit ja parhaat käytännöt julkisen hallinnon ICTssä -...2015-11-20-Avoimet lisenssit ja parhaat käytännöt julkisen hallinnon ICTssä -...
2015-11-20-Avoimet lisenssit ja parhaat käytännöt julkisen hallinnon ICTssä -...
 
X-Road in Finland & REST Gateway
X-Road in Finland & REST GatewayX-Road in Finland & REST Gateway
X-Road in Finland & REST Gateway
 
Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...
Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...
Evaluating Open Source Software - New Library Sytem for Finnish Libraries in ...
 

2014-12-01-Kansallinen palveluväylä

  • 1. Kansallisen palveluväylän tekniset ratkaisut 1.12.2014 Eero Konttaniemi Petteri Kivimäki Hankepäällikkö Järjestelmäpäällikkö
  • 2. Sisältö • Yleisesittely • X-Road versio 6 • Tiedonsiirtoprotokolla • Sovitinpalvelu • Tekniset vaatimukset • Muut vaatimukset • Aikataulu • Jatkokehitys
  • 3. Kansallinen palveluarkkitehtuuri • Yhteentoimiva digitaalisten palvelujen infrastruktuuri, jonka avulla tiedon siirto organisaatioiden ja palvelujen välillä on helppoa • Ohjelmassa luodaan – Kansallinen palveluväylä – Kansalaisten, yritysten ja viranomaisten tarvitsemat yhteiset palvelunäkymät – Uusi kansallinen sähköinen tunnistusratkaisu – Kansalliset ratkaisut organisaatioiden ja luonnollisten henkilöiden roolien ja valtuutusten hallintaan
  • 4. Kansallisen tunnistamisen malli Tunnistus-välineet Palvelunäkymät Yht.palvelut Organisaatioiden • Sisäiset järjestelmät • Yhteiset järjestelmät Perus-rekisterit Muut perustieto varannot Roolit: Attrib. rekisterit Tunnistuspalvelut Kokoavat tietopalvelut Tietovarantojen hallinta Roolit ja valtuutukset Sähköiset palvelut Julkiset palvelut Kuntien tieto-varannot … Roolit ja valtuutukset Karttapalvelu Maksaminen Valtuutusten hallinta Tavoitetta-vuustiedot Palveluun ohjaus Palveluportaalit (esim. nykyiset suomi.fi ja yrityssuomi.fi) Oman Asiointitilit asioinnin hallinta Allekirjoitus VIA integraatiopalvelu Palveluväylä Palveluväylän metatietopalvelut Kansalainen Huoltaja Edunvalvoja Organisaatio … … Omat tiedot Yritys / Viranomainen Asiakkaat Kansalainen yhteisö PTV palvelutie-tovaranto EU-asiointi PEPS … VRK / JKa 27.11.2014 Herätteet
  • 5. Kansallinen palveluarkkitehtuuri Palvelunäkymät Perustieto-varannot Omien tietojen katselu Uusi palveluhaku + karttanäkymä Palveluoppaat Sähköiset palvelut (federointi, koonti) Personoitu palvelunäkymä Portaalialusta sisällöntuotantoon, hakumoottori… Valtion yhteiset palvelut Julkisen hallinnon kohdealue- ja toimialakohtaiset palvelut Kuntien palvelut Yrityssektorin palvelut Palveluväylän hallinta Tunnistus-palvelut Rooli/ valtuus-hallinta Palvelu-tietovaranto PTV Tietoturva, raportointi. lokipalvelu Palveluväylä välttämättömiä heti keskeiset palvelut liitettävä alkuvaiheessa, muut myöhemmässä vaiheessa
  • 6. Yleisesittely • Tiedonvälityskokonaisuus, joka toimii viestiväylänä siihen liitettyjen palveluiden ja tietovarantojen välillä – Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva tiedonvälityskerros – Kytkee toisiinsa erilaisia palveluita ja tietovarantoja • Ei itsessään muuta tai luo uusia toiminnallisia palveluprosesseja • Hyödyt syntyvät väylään kytketyistä tiedoista ja palveluista, ei väylästä itsestään • Palveluväylän arvo on sen muodostamassa standardoidussa tietojen vaihdon ratkaisumallissa
  • 7. Yleisesittely • Voidaan kytkeä sekä julkisen että yksityisen sektorin palveluita – Kytkettävien palveluiden on täytettävä määritellyt tekniset rajapintavaatimukset • Väylään kytketyt palvelut ja tiedot voivat olla vapaasti käytettävissä tai sopimuksenvaraisia – Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa) – Myös avoimen datan palvelut tervetulleita
  • 8. Yleisesittely • Alustana Virossa käytössä olevan X-Road-ratkaisun versio 6 • Palveluväylän ydin koostuu – Siihen liittyneiden organisaatioiden liityntäpalvelimista – Palveluväylän keskuspalvelimista • Palveluväylän sisäinen liikenne on julkisen internetin yli tapahtuvaa liityntäpalvelinten välistä liikennettä – Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti • Ei yhtä yksittäistä palveluväyläkomponenttia – Palveluväylä on hajautettu järjestelmä
  • 9. Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Palveluväylä Liityntäpalvelin Yleisesittely
  • 10. Palveluväylän hallinta Tietoturva, raportointi. lokipalvelu Liityntäpalvelin Yleisesittely Palveluväylä
  • 11. Yleisesittely • Luotettava ja turvallinen tiedonsiirtokanava julkisen internetin yli – Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen • Kaikki palveluväylää kulkeva liikenne salataan ja allekirjoitetaan digitaalisesti – Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla – Kaikki tieto allekirjoitetaan varmenteilla • Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseen lokiin, joka mahdollistaa tapahtumien todentamisen jälkikäteen – Lokien muuttumattomuus varmistetaan varmennettujen aikaleimojen kautta
  • 13. Yleisesittely • Keskuskomponentit – Keskuspalvelin • Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistä organisaatioista – Paikalliset kopiot liityntäpalvelimilla – Keskuspalvelimen liityntäpalvelin • Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän muiden liityntäpalvelinten käyttöön – Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto
  • 14. Yleisesittely • Varmennepalvelu (Certificate Authority, CA) – Keskus- ja liityntäpalvelinten palvelinvarmenteet – Organisaatioiden allekirjoitusvarmenteet – OCSP-palvelin (Online Certificate Status Protocol) • Sertifikaattien voimassaolon tarkistus • Aikaleimapalvelu (Time Stamping Authority, TSA) – Väylän kautta lähetettyihin sanomiin lisätään varmennettu aikaleima – Mahdollistaa lokien muuttumattomuuden todentamisen
  • 15. Yleisesittely • Liityntäpalvelin – Tietojärjestelmien ja –lähteiden liityntäpiste palveluväylään – Kokoonpano vakioitu – Voi olla organisaatiokohtainen tai monen organisaation kesken yhteinen – Jokaisella liityntäpalvelimella oma sertifikaatti • Käytetään liityntäpalvelinten välisissä yhteyksissä – Jokaisella organisaatiolla sekä tarvittaessa organisaation eri järjestelmillä omat sertifikaatit • Käytetään organisaation/järjestelmän lähettämien sanomien allekirjoittamiseen
  • 17. Yleisesittely • VRK ja CSC vastaavat keskuskomponenttien ylläpidosta • VRK vastaa varmennepalvelun ja aikaleimapalvelun ylläpidosta ja toteutuksesta • Väylään liittynyt organisaatio – Vastaa omien tietojensa ja palveluidensa ylläpidosta – Päättää kenelle jakaa tietojaan – Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt tekniset rajapintavaatimukset – Vastaa tietojen välityksestä liityntäpalvelimeensa – Ylläpitää liityntäpalvelimensa
  • 18. Yleisesittely • Palveluväylä vastaa keskitetyistä palveluista ja liikenteestä liityntäpalvelinten välillä – Osoitteiden hallinta – Reititys – Käyttöoikeuksien hallinta – Salaus – Aikaleimat – Lokitus • Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia – Virheiden käsittely
  • 19. Yleisesittely • Palveluväylä säilyy toiminnallisena määräajan myös ilman keskuspalvelimia – Väylään liittyneiden organisaatioiden ja liityntäpalvelinten tiedot keskuspalvelimella – Tiedoista paikalliset kopiot liityntäpalvelimilla • Päivitetään määräajoin • Voimassaoloaika määriteltävissä – Väylä toimii niin kauan, kunnes liityntäpalvelinten paikalliset kopiot vanhenevat • Aikaleimapalvelun ja OCSP-tarkistusten jatkuva toiminta väylän kannalta kriittistä – voimassaoloaika minuutteja, ei päiviä
  • 20. X-Road versio 6 • Toteutustekniikka uudistettu – C/C++ -> Java, Ruby • Federointi – valtioiden välisten X-Road-instanssien liittäminen toisiinsa • Tuki usealle rajapintakuvaukselle (WSDL) per organisaatio • Sanomien aikaleimaus • Liityntä- ja keskuspalvelimen käyttöliittymät • Tuki turvamoduulin käytölle (Hardware Security Module, HSM) – Allekirjoituksiin käytettävien yksityisten avainten säilytys
  • 21. X-Road versio 6 • Hierarkkiset organisaatio-, järjestelmä- ja palvelutunnisteet – instance/memberClass/organizationCode/subsystem/service/version – Esim. FI/GOV/12345-6/DemoService/helloService/v1 – Palveluväyläoperaattori määrittelee: instance, memberClass, organizationCode – Organisaatio määrittelee: subsystem, service, version • Palvelukohtaisten käyttöoikeuksien määrittely mahdollista organisaation ja yksittäisen tietojärjestelmän tasolla – Suosituksena on käyttää aina tietojärjestelmätasoa
  • 22. Tiedonsiirtoprotokolla • Palveluväylään liittyminen edellyttää X-Road-tiedonsiirtoprotokollan toteuttamista liitettävään järjestelmään – SOAP 1.1 – X-Road määrittee • Otsikkotietojen rakenteen • Body-osan rakenteen – Rajapintakuvaukset (WSDL) • Lisätietoja – https://confluence.csc.fi/display/Palveluvayla/X-Road-tiedonsiirtoprotokolla
  • 25. Sovitinpalvelu • Palveluväylän edellyttämät sanomamuunnokset voidaan toteuttaa erillisessä sovitinpalvelussa – Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin – SOAP-pohjaisten järjestelmien kohdalla muutokset suoraviivaisia – REST-mallisten järjestelmien kohdalla muutokset työläämpiä • Sovitinpalvelu voidaan toteuttaa – Suoraan liitettävään järjestelmään – Erillisenä komponenttina samalla palvelimella järjestelmän kanssa – Erillisenä komponenttina omalla palvelimellaan tai jo käytössä olevassa integraatioratkaisussa
  • 28. Tekniset vaatimukset • Liityntäpalvelin – Kokoonpano vakioitu • Poikkeuksina varmuuskopiointiin ja valvontaan käytettävät ohjelmistot – Ubuntu 14.04 LTS • 64 bit, 4GB RAM, 3GB levytilaa – Vähintään tietoturvallisuuden perustaso, liitettävästä järjestelmästä riippuen voi myös olla korotettu taso • Liitettävä järjestelmä – X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu) • Ensin liittyminen testiympäristöön ja vasta sitten tuotantoon
  • 29. Muut vaatimukset ja käyttöehdot (sekä keskeiset tietojenvaihdot) • Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet – (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä) • Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet • Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä -> VRK) – järjestelmän ja palvelun nimi ja kuvaus, versio – liitettävän järjestelmän elinkaari – rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja vastaussanomia) – tietojen maksullisuus? – tietolupakäytännöt, lisenssi – luokittelu – palvelulupaus (saatavuus, osallistuminen testaukseen) – vastuuhenkilöt ja yhteystiedot
  • 30. Aikataulu • 12/2014 uusi kehitysympäristö (versio 6) – CA ja TSA osa kehitysympäristöä – Halukkaat organisaatiot pääsevät liittymään kehitysympäristöön 12/2014-01/2015 -> • Auditoinnit Q1/2015 -> – Arkkitehtuurin katselmointi – Keskuspalvelinympäristö – Liityntäpalvelimen referenssitoteutus – Lähdekoodi • Ensimmäinen tuotantoympäristö Q1-Q2/2015 – CA ja TSA VRK:n käyttöpalveluympäristössä – Liityntäpalvelimen lähdekoodin avaaminen
  • 31. Aikataulu 2015 • Keskeisten tietovarantojen liittämisen tukeminen – VTJ ensimmäisenä – Keskusteluja meneillään eri rekisterinpitäjien kanssa • Palveluväylän ylläpidon ja käytön sekä palveluväylään liittymisen edellyttämien hallintamallien käyttöönotto – Sisäinen ja ulkoinen tuotteistus • Avoimen kehittämisen mallin suunnittelu ja käyttöönotto
  • 32. Jatkokehitys • Jo tunnistetut jatkokehityskohteet sekä käyttöönoton jälkeen esille nousevat tarpeet, mm.: – REST-tuki – RHEL-tuki • Alustava aikataulu Q1-Q2/2015 – Valvontatyökalut – Lokitukseen liittyvät käytännöt – Rajapintakuvausten (WSDL) validointi • Päivitykset vuosina 2015-> • Viroyhteistyö