Kansallinen palveluväylä 11.2.2015 Eero Konttaniemi VRK / KPA Kansallinen palveluarkkitehtuuri Luo digitaalisen perusinfrastruktuurin, joka mahdollistaa • Tietojen helpomman liikuttamisen organisaatioiden ja palveluiden välillä • Palvelujen kehittämisen tehostumisen • Uudenlaiset palvelut 2 KaPA-organisointi Strateginen johtoryhmä Pj Martti Hetemäki VM Ohjelmaryhmä Pj Anna-Maija Karjalainen VM Maria Nikkilä VM Ohjelmapäällikkö Palveluväylä -hanke Palvelunäkymät -hanke Pauli Kartano, VM Marjukka Ala-Harja, VM Tunnistus -hanke Kimmo Mäkinen ,VM RoVa -hanke Kokonais- & tietoarkkitehtuuri Petteri Ohvo, TEM Tietoturva Ohjausryhmä Ohjausryhmä Ohjausryhmä Ohjausryhmä , CSC, Eero Konttaniemi Jani Ruuskanen Matti Hiltunen Jarkko Leskinen VRK, hankepäällikkö VRK, hankepäällikkö VRK, hankepäällikkö VRK , hankepäällikkö Projektiryhmä Projektiryhmä Projektiryhmä Projektiryhmä Hankinnat Viestintä ja sidosryhmäyhteistyö Lainsäädäntö 3 Palveluväylä - mikä se on? • Tiedonvälityskokonaisuus, joka toimii viestiväylänä siihen liitettyjen palveluiden ja tietovarantojen välillä – Hajautettu ratkaisu, joka tarjoaa vakioidun ja tietoturvallisen tavan sekä julkaista että käyttää erilaisia tietovarantoja ja palveluita – Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva tiedonvälityskerros – Kytkee toisiinsa erilaisia palveluita ja tietovarantoja • Ei itsessään muuta tai luo uusia toiminnallisia palveluprosesseja • Hyödyt syntyvät väylään kytketyistä tiedoista ja palveluista, ei väylästä itsestään • Palveluväylän arvo on sen muodostamassa standardoidussa tietojen vaihdon ratkaisumallissa Palveluita väylästä? • Voidaan kytkeä sekä julkisen että yksityisen sektorin palveluita – Kytkettävien palveluiden on täytettävä määritellyt tekniset rajapintavaatimukset • Jokaisella palveluväylään kytketyllä organisaatiolla oma turvapalvelin, jonka kautta palveluväylän kanssa kommunikointi tapahtuu • Väylään kytketyt palvelut ja tiedot voivat olla vapaasti käytettävissä tai sopimuksenvaraisia – Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa) • Ensimmäisessä vaiheessa kansalliset perustietovarannot sekä julkisen hallinnon tietovarannot ja palvelut Kansallinen palveluarkkitehtuuri ja palveluväylä Perustietovarannot Julkisen hallinnon kohdealue- ja toimialakohtaiset palvelut Valtion yhteiset palvelut Kuntien palvelut Yrityssektorin palvelut Palveluväylä Palvelunäkymät Omien tietojen katselu Uusi palveluhaku + karttanäkymä Palveluoppaat Sähköiset palvelut Palvelutietovaranto PTV Tunnistuspalvelut Rooli/ valtuushallinta (federointi, koonti) Tietoturva, raportointi. lokipalvelu Personoitu palvelunäkymä Portaalialusta sisällöntuotantoon, hakumoottori… Palveluväylän hallinta välttämättömiä heti keskeiset palvelut liitettävä alkuvaiheessa, muut myöhemmässä vaiheessa Palveluväylähankkeen tavoitteet Tavoitteena on edistää yhteentoimivuutta eri tasoilla luomalla toimintakykyinen palveluväylä • Teknisesti • Organisatorisesti • Hallinnollisesti • Rahoituksellisesti • Lainsäädännöllisesti Hyödyt organisaatiolle • Muiden tiedot helpommin käytettävissä – mahdollistaa toiminnan uudistamiset – voidaan karsia päällekkäisyyksiä • Oma tieto helpommin muiden käytettävissä – organisaation tiedon arvo kasvaa • Integraatioiden teko selkeämpää • Ensi vaiheessa liittyjiä tuetaan • Kokonaisuus hyötyy, kun useampi käyttää ja tietoa enemmän tarjolla Palveluväylä – mistä se koostuu? • Palveluväylä ja X-Road – Keskeisenä osana Virossa käytössä olevan X-Roadratkaisun versio 6 – Tältä osin palveluväylän ydin koostuu • Siihen liittyneiden organisaatioiden liityntäpalvelimista • Palveluväylän keskuspalvelimista – Palveluväylän sisäinen liikenne on julkisen internetin yli tapahtuvaa liityntäpalvelinten välistä liikennettä • Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti – Ei yhtä yksittäistä palveluväyläkomponenttia • Palveluväylä on hajautettu järjestelmä • Yhteinen palvelukatalogi (liityntäkatalogi) Palveluväyläkokonaisuus TUVE VY Rakennettu ympäristö Rakennettu ympäristö EAI & Turvaväylä VIA Valtiohallinnon integraatioalusta X … KY ESB X ESB Y Internet Kansallinen palveluväylä (X-Road -osuus) Liittymäkatalogi ESB Z Kansallinen palveluarkkitehtuuri Perustietovarannot Julkisen hallinnon kohdealue- ja toimialakohtaiset palvelut Valtion yhteiset palvelut Kuntien palvelut Yrityssektorin palvelut Palveluväylä Palvelunäkymät Omien tietojen katselu Uusi palveluhaku + karttanäkymä Palveluoppaat Sähköiset palvelut Palvelutietovaranto PTV Tunnistuspalvelut Rooli/ valtuushallinta (federointi, koonti) Tietoturva, raportointi. lokipalvelu Personoitu palvelunäkymä Portaalialusta sisällöntuotantoon, hakumoottori… Palveluväylän hallinta välttämättömiä heti keskeiset palvelut liitettävä alkuvaiheessa, muut myöhemmässä vaiheessa Palveluväylä Palveluväylän hallinta • • • Palveluväylä ei ole keskitetty ratkaisu, vaan läpinäkyvä tietojärjestelmien välillä toimiva Tietoturva, raportointi. tiedonvälityskerros. lokipalvelu Organisaation tietojärjestelmät ovat yhteydessä (omaan) turvapalvelimeen. Palveluväylä on joukko toisiinsa kytkettyjä liityntäpalvelimia ja kaikki palveluväylän liikenne on turvapalvelimien välistä liikennettä. CA, OSCP, TSA Liityntäpalvelin Palveluväylän ominaisuuksia • Luotettava ja turvallinen tiedonsiirtokanava julkisen internetin yli – Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen • Kaikki palveluväylää kulkeva liikenne salataan ja allekirjoitetaan digitaalisesti – Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla – Kaikki tieto allekirjoitetaan varmenteilla • Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseen lokiin, joka mahdollistaa tapahtumien todentamisen jälkikäteen – Lokien muuttumattomuus varmistetaan varmennettujen aikaleimojen kautta Komponentit Komponentit • Keskuskomponentit – Keskuspalvelin • Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistä organisaatioista – Paikalliset kopiot liityntäpalvelimilla – Keskuspalvelimen liityntäpalvelin • Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän muiden liityntäpalvelinten käyttöön – Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto Komponentit • Varmennepalvelu (Certificate Authority, CA) – Keskus- ja liityntäpalvelinten palvelinvarmenteet – OCSP-palvelin (Online Certificate Status Protocol) • Sertifikaattien voimassaolon tarkistus • Aikaleimapalvelu (Time Stamping Authority, TSA) – Väylän kautta lähetettyihin sanomiin lisätään varmennettu aikaleima – Mahdollistaa lokien muuttumattomuuden todentamisen Komponentit • Liityntäpalvelin – Tietojärjestelmien ja –lähteiden liityntäpiste palveluväylään – Kokoonpano vakioitu – Voi olla organisaatiokohtainen tai monen organisaation kesken yhteinen – Jokaisella liityntäpalvelimella oma sertifikaatti • Käytetään liityntäpalvelinten välisissä yhteyksissä – Jokaisella organisaatiolla sekä tarvittaessa organisaation eri järjestelmillä omat sertifikaatit • Käytetään organisaation/järjestelmän lähettämien sanomien allekirjoittamiseen Toimijoiden vastuut • VRK ja CSC vastaavat keskuskomponenttien ylläpidosta • VRK vastaa varmennepalvelun ja aikaleimapalvelun ylläpidosta ja toteutuksesta • Väylään liittynyt organisaatio – Vastaa omien tietojensa ja palveluidensa ylläpidosta – Päättää kenelle jakaa tietojaan – Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt tekniset rajapintavaatimukset – Vastaa tietojen välityksestä liityntäpalvelimeensa – Ylläpitää liityntäpalvelimensa Väylän ”vastuut”, mitä se tarjoaa? • Palveluväylä vastaa keskitetyistä palveluista ja liikenteestä liityntäpalvelinten välillä – – – – – – Osoitteiden hallinta Reititys Käyttöoikeuksien hallinta Salaus Aikaleimat Lokitus • Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia – Virheiden käsittely Komponenttien roolista • Palveluväylä säilyy toiminnallisena määräajan myös ilman keskuspalvelimia – Väylään liittyneiden organisaatioiden ja liityntäpalvelinten tiedot keskuspalvelimella – Tiedoista paikalliset kopiot liityntäpalvelimilla • Päivitetään määräajoin • Voimassaoloaika määriteltävissä – Väylä toimii niin kauan, kunnes liityntäpalvelinten paikalliset kopiot vanhenevat • Aikaleimapalvelun ja OCSP-tarkistusten jatkuva toiminta väylän kannalta kriittistä – voimassaoloaika minuutteja, ei päiviä X-Road versio 6 • Toteutustekniikka uudistettu (vrt. v5) – C/C++ -> Java, Ruby • Federointi – valtioiden välisten X-Road-instanssien liittäminen toisiinsa • Tuki usealle rajapintakuvaukselle (WSDL) per organisaatio • Sanomien aikaleimaus • Liityntä- ja keskuspalvelimen käyttöliittymät • Tuki turvamoduulin käytölle (Hardware Security Module, HSM) – Allekirjoituksiin käytettävien yksityisten avainten säilytys X-Road versio 6 • Hierarkkiset organisaatio-, järjestelmä- ja palvelutunnisteet – instance/memberClass/organizationCode/subsystem/service/version – Esim. FI/GOV/12345-6/DemoService/helloService/v1 – Palveluväyläoperaattori määrittelee: instance, memberClass, organizationCode – Organisaatio määrittelee: subsystem, service, version • Palvelukohtaisten käyttöoikeuksien määrittely mahdollista organisaation ja yksittäisen tietojärjestelmän tasolla – Suosituksena on käyttää aina tietojärjestelmätasoa Tiedonsiirtoprotokolla • Palveluväylään liittyminen edellyttää X-Roadtiedonsiirtoprotokollan toteuttamista liitettävään järjestelmään – SOAP 1.1 – X-Road määrittee • Otsikkotietojen rakenteen • Body-osan rakenteen – Rajapintakuvaukset (WSDL) • Lisätietoja – https://confluence.csc.fi/display/Palveluvayla/X-Roadtiedonsiirtoprotokolla Sovitinpalvelu • Palveluväylän edellyttämät sanomamuunnokset voidaan toteuttaa erillisessä sovitinpalvelussa – Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin – SOAP-pohjaisten järjestelmien kohdalla muutokset suoraviivaisia – REST-mallisten järjestelmien kohdalla muutokset työläämpiä • Sovitinpalvelu voidaan toteuttaa – Suoraan liitettävään järjestelmään – Erillisenä komponenttina samalla palvelimella järjestelmän kanssa – Erillisenä komponenttina omalla palvelimellaan tai jo käytössä olevassa integraatioratkaisussa Sovitinpalvelu Sovitinpalvelu Tekniset vaatimukset • Liityntäpalvelin – Kokoonpano vakioitu • Poikkeuksina varmuuskopiointiin ja valvontaan käytettävät ohjelmistot – Ubuntu 14.04 LTS • 64 bit, 4GB RAM, 3GB levytilaa – Vähintään tietoturvallisuuden perustaso, liitettävästä järjestelmästä riippuen voi myös olla korotettu taso • Liitettävä järjestelmä – X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu) • Ensin liittyminen kehitysympäristöön ja vasta sitten tuotantoon Muut vaatimukset ja käyttöehdot (sekä keskeiset tietojenvaihdot) • Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet – (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä) • Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet • Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä -> VRK) – järjestelmän ja palvelun nimi ja kuvaus, versio – liitettävän järjestelmän elinkaari – rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja vastaussanomia) – tietojen maksullisuus? – tietolupakäytännöt, lisenssi – luokittelu – palvelulupaus (saatavuus, osallistuminen testaukseen) – vastuuhenkilöt ja yhteystiedot • Liityntäkatalogin (palvelukatalogi) käyttö Palveluväylähankkeen osakokonaisuudet ja tiimit Kehityspäällikkö Pauli Kartano (VM/JulkICT) X-road kehitystiimi Tuoteomistaja, Järjestelmäpäällikkö Palvelutuotanto Järjestelmäpäällikkö Kehittäjä 1 Petteri Kivimäki Kehittäjä 2 Kehittäjä 3 Palvelupäällikkö Jani-Matti Kaukonen Asiantuntijat (CSC) Asiantuntijat (muut) Asiantuntija 1 (CSC) Petteri Kivimäki Pertivaalatyöryhmät Asiantuntija 2 (CSC) Toimittaja Toimittajat VRK Valtori / Valtorin toimittaja Erilaiset sidosryhmät Tuoteomistaja, Hankepäällikkö Eero Konttaniemi Tietoturvatiimi Tietoturvaasiantuntija Outi Juntura Tietoturvaauditoija Hankintalakimies Integraatioarkkitehti (ESB:t+X-Road) Laajennettu palveluväyläkonsepti Järjestelmäpäällikkö Petteri Kivimäki Tuotteistus Asiantuntijat Asiantuntijat Palvelupäällikkö Jani-Matti Kaukonen Projektipäällikkö (palveluhallinta) Asiantuntijat (VY / VIA) Projektipäällikkö (katalogialusta) Asiantuntijat 2 Kehittäjä 1 Kehittäjä 2 Palvelupäällikkö Jani-Matti Kaukonen Pertivaalatyöryhmät Yleinen aikataulutus Kehitysympäristö 5.75 CA, OCSP, TSA Kehitysympäristö 6.0 Tekninen ympäristö ja palvelutuotanto Palveluväylä 6.x Kehitysympäristö 6.1 Q4 Q3 Q2 Q1 Q4 Q3 2017 Q2 Q1 Joulu Marras Loka Syys Elo Heinä Kesä huhti Helmi Touko 2016 Maalis 2015 Tammi Joulu 2014 Palveluväylä 7 Tuotantoympäristö 6.1 Hyväksymistestaus Tuotantoympäristön avaus RHEL REST POC Valvontatoiminnallisuudet Sovitinratkaisujen referenssitoteutukset Tuotteistus REST Proxy VTJ kehitysympäristössä Arkkitehtuurikatselmointi VTJ tuotannossa 20 kpl organisaatioita väylään 30 kpl organisaatioita väylään CS-auditoinnit Auditointi ViVi-katselmointi Auditointi Referenssiauditoinnit Lähdekoodin auditointi Palveluväylän käyttöehdot Palveluväylän tiedottaminen Sopimusten, käyttöehtojen ja liitteiden hallinta Palvelusopimusprosessi Palveluväylään liittyjien vaiheistaminen Sidosryhmätapaamiset Sopimus: tuotantoympäristö Tuotannon tuki Sidosryhmäyhteistyön, palveluprosessin ja palveluiden seurantamalli Hankinta: kehityskumppani, KYP Jatkokehitys, vaatimusmäärittely 3 0 Tilanne ja tavoitteet / alkuvuosi 2015 • CA, OCSP, TSA –kokonaisuuden hankinta • Palveluväylän palvelukuvaukset, hallintamalli – Käyttöehdot – kenelle palveluväylä on, missä laajuudessa mihinkin tarkoitukseen? • Tuotantoympäristön sopimus helmikuussa CSC:n kanssa • Palveluväylän (X-Road) jatkokehityskumppanin kilpailutus – jatkokehityskohteiden määrittelytyötä • Kehitysympäristön avaus – helmikuusta alkaen ensimmäiset (VTJ-soso) – maaliskuussa avoin kaikille, korkeimmalla prioriteetilla loppuvuodesta tuotantoon siirrettävät palvelut • Arkkitehtuurityö, auditoinnit • Liityntäkatalogi (”palvelukatalogi”) –projektin käynnistys – Portaali/ratkaisu, jonka kautta löytyy kaikki palveluväylästä löytyvät liitynnät teknisine ja hallinnollisine kuvauksineen Aikataulusta / loppuvuosi 2015 • Q3/2015: – kehitysympäristön päivitys (6.1 beta, eli ensimmäinen erä omia jatkokehityskohteita) – Palveluväylän tuotantoympäristöä vastaavan testiympäristön (6.1) avaus – Tuotantoon siirrettävien liityntöjen testaus – Auditoinnit, testaukset • 18.11.2015: – Palveluväylän tuotantoympäristön (6.1) avaus – Ensimmäiset liitynnät tuotannossa, mm. • • • • • VTJ:n soso-liittymän (tuotanto) Trafin tieliikenteen kuljettajan lupatiedot (tuotanto) MML:n kiinteistötietojen kyselypalvelu (tuotanto) PRH:n tietovarannot (yritys- ja yhteisötietojärjestelmä, omien tietojen tarkasteluun liittyvät tiedot - tuotanto) joulukuu 2015: – Lisää liityntöjä tuotantoympäristöön, mm. • • • • Veron verovelkatieto (tuotanto) Kansalliskirjaston FINTO (tuotanto) PRH:n tietovarannot (kaupparekisterin kuulutustiedot – tuotanto) Trafin Ajoneuvot, Vesikulkuneuvot (tuotanto) Miten mukaan? • Ilman tarjottavia tietoja ja niitä hyödyntäviä palveluita väylästä ei ole hyötyä • Hallinnonaloilta kerätään tietoa väylään liitettävistä tietovarannoista ja palveluista – Etenemissuunnitelma – Lähdetään liikkeelle keskeisistä tietovarannoista • Yhteistyön tarve – Väylän edistämiseksi tarvitaan yhä tietoa, mitä rajapintoja organisaatiot olisivat ensimmäisinä avaamassa ja millä aikataululla – Kartoitetaan myös palveluväylän käyttötapauksia • organisaatioiden tietovarantojen tai muualta tarvittavien tietojen kautta tuottavat lisäarvoa toiminnan tehostamiseksi viranomaistoiminnassa välillisesti ja/tai suoraan kansalaiselle • tietoa siitä, mitä konkreettisia tietoja/rajapintoja/järjestelmiä nämä koskisivat • hanke toimia yhdyskäytävänä näiden toteutuksia edistettäessä Miten mukaan? • Hanke tukemassa liittymien testaukseen, rajapintojen aikataulutukseen ja käyttötapauksiin liittyen • Ohjelmatasolla tukea liittymiseen • • • tuetaan kuntia ja valtiohallintoa tuetaan suunnittelua ja integraatioita, ei järjestelmien itsensä rakentamista kriteerejä mm. potentiaalinen laajuus, saatavat prosessihyödyt, toimijoiden lukumäärä – Tuotteistusta kehitetään • • dokumentaatio,ohjeistus yms. toimintamallien kartoitus (käyttötapaukset – kunnat, yritykset) Liittymisestä • Lähtökohtaisesti järjestelmien luonnollisen elinkaaren kautta – Järjestelmien ja integraatioiden uusimisen yhteydessä – Uusia integraatioita toteutettaessa • Toimintaa tehostavien käyttötapausten tunnistaminen ja toteuttaminen – Loppukäyttäjille, virkamiehille, viranomaisille, yrityksille näkyviä – Puhtaasti järjestelmien välisiä – Käyttötapauksista voi nousta esiin palveluväyläliittymiä, jotka eivät suoraan linjassa järjestelmien luonnollisen elinkaaren vaiheen kanssa • Palvelunäkymissä näytettävät tiedot • Useiden eri toimijoiden käyttämät tiedot – Esim. henkilötiedot (VTJ) • Liittymisen aikataulu organisaatioiden itsensä päätettävissä – Tavoitteena saada uusia liittyjiä tasaisesti heti tuotantokäytön aloittamisesta lähtien Liittyminen kehitysympäristöön • Palveluvayla.fi • Esuomi.fi Kiitos! Hankepäällikkö Eero Konttaniemi [email protected] 0295 535 024 palveluvayla.fi
© Copyright 2024