Konttaniemi Eero; Kansallinen palveluväylä

Kansallinen palveluväylä
11.2.2015
Eero Konttaniemi
VRK / KPA
Kansallinen palveluarkkitehtuuri
Luo digitaalisen perusinfrastruktuurin, joka mahdollistaa
• Tietojen helpomman liikuttamisen organisaatioiden ja
palveluiden välillä
• Palvelujen kehittämisen tehostumisen
• Uudenlaiset palvelut
2
KaPA-organisointi
Strateginen johtoryhmä
Pj Martti Hetemäki VM
Ohjelmaryhmä
Pj Anna-Maija Karjalainen VM
Maria Nikkilä VM
Ohjelmapäällikkö
Palveluväylä -hanke
Palvelunäkymät -hanke
Pauli Kartano, VM
Marjukka Ala-Harja,
VM
Tunnistus -hanke
Kimmo Mäkinen ,VM
RoVa -hanke
Kokonais- &
tietoarkkitehtuuri
Petteri Ohvo, TEM
Tietoturva
Ohjausryhmä
Ohjausryhmä
Ohjausryhmä
Ohjausryhmä
, CSC,
Eero Konttaniemi
Jani Ruuskanen
Matti Hiltunen
Jarkko Leskinen
VRK, hankepäällikkö
VRK, hankepäällikkö
VRK, hankepäällikkö
VRK , hankepäällikkö
Projektiryhmä
Projektiryhmä
Projektiryhmä
Projektiryhmä
Hankinnat
Viestintä
ja sidosryhmäyhteistyö
Lainsäädäntö
3
Palveluväylä - mikä se on?
• Tiedonvälityskokonaisuus, joka toimii viestiväylänä siihen
liitettyjen palveluiden ja tietovarantojen välillä
– Hajautettu ratkaisu, joka tarjoaa vakioidun ja tietoturvallisen
tavan sekä julkaista että käyttää erilaisia tietovarantoja ja
palveluita
– Loppukäyttäjälle läpinäkyvä tietojärjestelmien välillä toimiva
tiedonvälityskerros
– Kytkee toisiinsa erilaisia palveluita ja tietovarantoja
• Ei itsessään muuta tai luo uusia toiminnallisia
palveluprosesseja
• Hyödyt syntyvät väylään kytketyistä tiedoista ja
palveluista, ei väylästä itsestään
• Palveluväylän arvo on sen muodostamassa
standardoidussa tietojen vaihdon ratkaisumallissa
Palveluita väylästä?
• Voidaan kytkeä sekä julkisen että yksityisen sektorin
palveluita
– Kytkettävien palveluiden on täytettävä määritellyt tekniset
rajapintavaatimukset
• Jokaisella palveluväylään kytketyllä organisaatiolla oma
turvapalvelin, jonka kautta palveluväylän kanssa
kommunikointi tapahtuu
• Väylään kytketyt palvelut ja tiedot voivat olla vapaasti
käytettävissä tai sopimuksenvaraisia
– Hyödyntäjän ja tuottajan kahdenvälinen sopimus (~tietolupa)
• Ensimmäisessä vaiheessa kansalliset perustietovarannot
sekä julkisen hallinnon tietovarannot ja palvelut
Kansallinen palveluarkkitehtuuri ja palveluväylä
Perustietovarannot
Julkisen hallinnon
kohdealue- ja
toimialakohtaiset palvelut
Valtion
yhteiset palvelut
Kuntien
palvelut
Yrityssektorin
palvelut
Palveluväylä
Palvelunäkymät
Omien tietojen
katselu
Uusi
palveluhaku
+ karttanäkymä
Palveluoppaat
Sähköiset
palvelut
Palvelutietovaranto
PTV
Tunnistuspalvelut
Rooli/
valtuushallinta
(federointi, koonti)
Tietoturva,
raportointi.
lokipalvelu
Personoitu
palvelunäkymä
Portaalialusta sisällöntuotantoon, hakumoottori…
Palveluväylän
hallinta
välttämättömiä heti
keskeiset palvelut liitettävä alkuvaiheessa,
muut myöhemmässä vaiheessa
Palveluväylähankkeen tavoitteet
Tavoitteena on edistää yhteentoimivuutta eri tasoilla
luomalla toimintakykyinen palveluväylä
• Teknisesti
• Organisatorisesti
• Hallinnollisesti
• Rahoituksellisesti
• Lainsäädännöllisesti
Hyödyt organisaatiolle
• Muiden tiedot helpommin käytettävissä
– mahdollistaa toiminnan uudistamiset
– voidaan karsia päällekkäisyyksiä
• Oma tieto helpommin muiden käytettävissä
– organisaation tiedon arvo kasvaa
• Integraatioiden teko selkeämpää
• Ensi vaiheessa liittyjiä tuetaan
• Kokonaisuus hyötyy, kun useampi käyttää ja tietoa
enemmän tarjolla
Palveluväylä – mistä se koostuu?
• Palveluväylä ja X-Road
– Keskeisenä osana Virossa käytössä olevan X-Roadratkaisun versio 6
– Tältä osin palveluväylän ydin koostuu
• Siihen liittyneiden organisaatioiden liityntäpalvelimista
• Palveluväylän keskuspalvelimista
– Palveluväylän sisäinen liikenne on julkisen internetin yli
tapahtuvaa liityntäpalvelinten välistä liikennettä
• Kaikki liikenne salataan ja allekirjoitetaan digitaalisesti
– Ei yhtä yksittäistä palveluväyläkomponenttia
• Palveluväylä on hajautettu järjestelmä
• Yhteinen palvelukatalogi (liityntäkatalogi)
Palveluväyläkokonaisuus
TUVE
VY
Rakennettu
ympäristö
Rakennettu
ympäristö
EAI & Turvaväylä
VIA
Valtiohallinnon
integraatioalusta X
…
KY
ESB X
ESB Y
Internet
Kansallinen palveluväylä (X-Road -osuus)
Liittymäkatalogi
ESB Z
Kansallinen palveluarkkitehtuuri
Perustietovarannot
Julkisen hallinnon
kohdealue- ja
toimialakohtaiset palvelut
Valtion
yhteiset palvelut
Kuntien
palvelut
Yrityssektorin
palvelut
Palveluväylä
Palvelunäkymät
Omien tietojen
katselu
Uusi
palveluhaku
+ karttanäkymä
Palveluoppaat
Sähköiset
palvelut
Palvelutietovaranto
PTV
Tunnistuspalvelut
Rooli/
valtuushallinta
(federointi, koonti)
Tietoturva,
raportointi.
lokipalvelu
Personoitu
palvelunäkymä
Portaalialusta sisällöntuotantoon, hakumoottori…
Palveluväylän
hallinta
välttämättömiä heti
keskeiset palvelut liitettävä alkuvaiheessa,
muut myöhemmässä vaiheessa
Palveluväylä
Palveluväylän
hallinta
•
•
•
Palveluväylä ei ole keskitetty ratkaisu, vaan läpinäkyvä tietojärjestelmien välillä toimiva Tietoturva,
raportointi.
tiedonvälityskerros.
lokipalvelu
Organisaation tietojärjestelmät ovat yhteydessä (omaan) turvapalvelimeen.
Palveluväylä on joukko toisiinsa kytkettyjä liityntäpalvelimia ja kaikki palveluväylän liikenne
on turvapalvelimien välistä liikennettä.
CA,
OSCP,
TSA
Liityntäpalvelin
Palveluväylän ominaisuuksia
• Luotettava ja turvallinen tiedonsiirtokanava julkisen
internetin yli
– Mahdollistaa myös muiden verkkoratkaisujen hyödyntämisen
• Kaikki palveluväylää kulkeva liikenne salataan ja
allekirjoitetaan digitaalisesti
– Tiedot salataan tiedonsiirron ajaksi SSL-salausprotokollalla
– Kaikki tieto allekirjoitetaan varmenteilla
• Kaikki tapahtumat kirjataan liityntäpalvelinkohtaiseen
lokiin, joka mahdollistaa tapahtumien todentamisen
jälkikäteen
– Lokien muuttumattomuus varmistetaan varmennettujen
aikaleimojen kautta
Komponentit
Komponentit
• Keskuskomponentit
– Keskuspalvelin
• Tiedot väylään liitetyistä liityntäpalvelimista ja niitä käyttävistä
organisaatioista
– Paikalliset kopiot liityntäpalvelimilla
– Keskuspalvelimen liityntäpalvelin
• Keskuspalvelinten tarjoamien keskuspalvelujen julkaisu väylän
muiden liityntäpalvelinten käyttöön
– Teknisiä palveluja, esim. organisaatioiden lisäys ja poisto
Komponentit
• Varmennepalvelu (Certificate Authority, CA)
– Keskus- ja liityntäpalvelinten palvelinvarmenteet
– OCSP-palvelin (Online Certificate Status Protocol)
• Sertifikaattien voimassaolon tarkistus
• Aikaleimapalvelu (Time Stamping Authority, TSA)
– Väylän kautta lähetettyihin sanomiin lisätään varmennettu
aikaleima
– Mahdollistaa lokien muuttumattomuuden todentamisen
Komponentit
• Liityntäpalvelin
– Tietojärjestelmien ja –lähteiden liityntäpiste palveluväylään
– Kokoonpano vakioitu
– Voi olla organisaatiokohtainen tai monen organisaation
kesken yhteinen
– Jokaisella liityntäpalvelimella oma sertifikaatti
• Käytetään liityntäpalvelinten välisissä yhteyksissä
– Jokaisella organisaatiolla sekä tarvittaessa organisaation eri
järjestelmillä omat sertifikaatit
• Käytetään organisaation/järjestelmän lähettämien sanomien
allekirjoittamiseen
Toimijoiden vastuut
• VRK ja CSC vastaavat keskuskomponenttien
ylläpidosta
• VRK vastaa varmennepalvelun ja aikaleimapalvelun
ylläpidosta ja toteutuksesta
• Väylään liittynyt organisaatio
– Vastaa omien tietojensa ja palveluidensa ylläpidosta
– Päättää kenelle jakaa tietojaan
– Vastaa siitä, että kytkettävät palvelut täyttävät määritellyt
tekniset rajapintavaatimukset
– Vastaa tietojen välityksestä liityntäpalvelimeensa
– Ylläpitää liityntäpalvelimensa
Väylän ”vastuut”, mitä se tarjoaa?
• Palveluväylä vastaa keskitetyistä palveluista ja
liikenteestä liityntäpalvelinten välillä
–
–
–
–
–
–
Osoitteiden hallinta
Reititys
Käyttöoikeuksien hallinta
Salaus
Aikaleimat
Lokitus
• Lokit liityntäpalvelinkohtaisia, ei yhtä keskitettyä lokia
– Virheiden käsittely
Komponenttien roolista
• Palveluväylä säilyy toiminnallisena määräajan myös
ilman keskuspalvelimia
– Väylään liittyneiden organisaatioiden ja liityntäpalvelinten
tiedot keskuspalvelimella
– Tiedoista paikalliset kopiot liityntäpalvelimilla
• Päivitetään määräajoin
• Voimassaoloaika määriteltävissä
– Väylä toimii niin kauan, kunnes liityntäpalvelinten paikalliset
kopiot vanhenevat
• Aikaleimapalvelun ja OCSP-tarkistusten jatkuva
toiminta väylän kannalta kriittistä
– voimassaoloaika minuutteja, ei päiviä
X-Road versio 6
• Toteutustekniikka uudistettu (vrt. v5)
– C/C++ -> Java, Ruby
• Federointi – valtioiden välisten X-Road-instanssien
liittäminen toisiinsa
• Tuki usealle rajapintakuvaukselle (WSDL) per
organisaatio
• Sanomien aikaleimaus
• Liityntä- ja keskuspalvelimen käyttöliittymät
• Tuki turvamoduulin käytölle (Hardware Security
Module, HSM)
– Allekirjoituksiin käytettävien yksityisten avainten säilytys
X-Road versio 6
• Hierarkkiset organisaatio-, järjestelmä- ja
palvelutunnisteet
– instance/memberClass/organizationCode/subsystem/service/version
– Esim. FI/GOV/12345-6/DemoService/helloService/v1
– Palveluväyläoperaattori määrittelee: instance, memberClass,
organizationCode
– Organisaatio määrittelee: subsystem, service, version
• Palvelukohtaisten käyttöoikeuksien määrittely
mahdollista organisaation ja yksittäisen
tietojärjestelmän tasolla
– Suosituksena on käyttää aina tietojärjestelmätasoa
Tiedonsiirtoprotokolla
• Palveluväylään liittyminen edellyttää X-Roadtiedonsiirtoprotokollan toteuttamista liitettävään
järjestelmään
– SOAP 1.1
– X-Road määrittee
• Otsikkotietojen rakenteen
• Body-osan rakenteen
– Rajapintakuvaukset (WSDL)
• Lisätietoja
– https://confluence.csc.fi/display/Palveluvayla/X-Roadtiedonsiirtoprotokolla
Sovitinpalvelu
• Palveluväylän edellyttämät sanomamuunnokset
voidaan toteuttaa erillisessä sovitinpalvelussa
– Sijoittuu liityntäpalvelimen ja liitettävän järjestelmän väliin
– SOAP-pohjaisten järjestelmien kohdalla muutokset
suoraviivaisia
– REST-mallisten järjestelmien kohdalla muutokset työläämpiä
• Sovitinpalvelu voidaan toteuttaa
– Suoraan liitettävään järjestelmään
– Erillisenä komponenttina samalla palvelimella järjestelmän
kanssa
– Erillisenä komponenttina omalla palvelimellaan tai jo
käytössä olevassa integraatioratkaisussa
Sovitinpalvelu
Sovitinpalvelu
Tekniset vaatimukset
• Liityntäpalvelin
– Kokoonpano vakioitu
• Poikkeuksina varmuuskopiointiin ja valvontaan käytettävät
ohjelmistot
– Ubuntu 14.04 LTS
• 64 bit, 4GB RAM, 3GB levytilaa
– Vähintään tietoturvallisuuden perustaso, liitettävästä
järjestelmästä riippuen voi myös olla korotettu taso
• Liitettävä järjestelmä
– X-Road-tiedonsiirtoprotokollan toteutus (sovitinpalvelu)
• Ensin liittyminen kehitysympäristöön ja vasta sitten
tuotantoon
Muut vaatimukset ja käyttöehdot
(sekä keskeiset tietojenvaihdot)
• Palveluväylä sekä VRK/CSC:n velvollisuudet ja oikeudet
– (Tekniset) vaatimukset ja kuvaukset (VRK/CSC -> liittyjä)
• Palveluväylä ja sekä liittyjän velvollisuudet ja oikeudet
• Liitettävän palvelun tiedot ja muut kuvaukset (liittyjä -> VRK)
– järjestelmän ja palvelun nimi ja kuvaus, versio
– liitettävän järjestelmän elinkaari
– rajapintakuvaus (sanallinen + wsdl, esimerkinomaisia kutsu- ja
vastaussanomia)
– tietojen maksullisuus?
– tietolupakäytännöt, lisenssi
– luokittelu
– palvelulupaus (saatavuus, osallistuminen testaukseen)
– vastuuhenkilöt ja yhteystiedot
• Liityntäkatalogin (palvelukatalogi) käyttö
Palveluväylähankkeen osakokonaisuudet ja tiimit
Kehityspäällikkö
Pauli Kartano
(VM/JulkICT)
X-road
kehitystiimi
Tuoteomistaja,
Järjestelmäpäällikkö
Palvelutuotanto
Järjestelmäpäällikkö
Kehittäjä 1
Petteri Kivimäki
Kehittäjä 2
Kehittäjä 3
Palvelupäällikkö
Jani-Matti
Kaukonen
Asiantuntijat
(CSC)
Asiantuntijat
(muut)
Asiantuntija 1
(CSC)
Petteri Kivimäki
Pertivaalatyöryhmät
Asiantuntija 2
(CSC)
Toimittaja
Toimittajat
VRK
Valtori / Valtorin toimittaja
Erilaiset sidosryhmät
Tuoteomistaja,
Hankepäällikkö
Eero Konttaniemi
Tietoturvatiimi
Tietoturvaasiantuntija
Outi Juntura
Tietoturvaauditoija
Hankintalakimies
Integraatioarkkitehti
(ESB:t+X-Road)
Laajennettu
palveluväyläkonsepti
Järjestelmäpäällikkö
Petteri Kivimäki
Tuotteistus
Asiantuntijat
Asiantuntijat
Palvelupäällikkö
Jani-Matti
Kaukonen
Projektipäällikkö
(palveluhallinta)
Asiantuntijat (VY
/ VIA)
Projektipäällikkö
(katalogialusta)
Asiantuntijat 2
Kehittäjä 1
Kehittäjä 2
Palvelupäällikkö
Jani-Matti
Kaukonen
Pertivaalatyöryhmät
Yleinen aikataulutus
Kehitysympäristö 5.75
CA, OCSP, TSA
Kehitysympäristö 6.0
Tekninen
ympäristö ja
palvelutuotanto
Palveluväylä 6.x
Kehitysympäristö 6.1
Q4
Q3
Q2
Q1
Q4
Q3
2017
Q2
Q1
Joulu
Marras
Loka
Syys
Elo
Heinä
Kesä
huhti
Helmi
Touko
2016
Maalis
2015
Tammi
Joulu
2014
Palveluväylä 7
Tuotantoympäristö 6.1
Hyväksymistestaus
Tuotantoympäristön avaus
RHEL
REST POC
Valvontatoiminnallisuudet
Sovitinratkaisujen referenssitoteutukset
Tuotteistus
REST Proxy
VTJ kehitysympäristössä
Arkkitehtuurikatselmointi
VTJ tuotannossa
20 kpl organisaatioita väylään
30 kpl organisaatioita väylään
CS-auditoinnit
Auditointi
ViVi-katselmointi
Auditointi
Referenssiauditoinnit
Lähdekoodin auditointi
Palveluväylän käyttöehdot
Palveluväylän tiedottaminen
Sopimusten, käyttöehtojen ja liitteiden hallinta
Palvelusopimusprosessi
Palveluväylään liittyjien vaiheistaminen
Sidosryhmätapaamiset
Sopimus: tuotantoympäristö
Tuotannon tuki
Sidosryhmäyhteistyön, palveluprosessin ja palveluiden seurantamalli
Hankinta: kehityskumppani, KYP
Jatkokehitys, vaatimusmäärittely
3
0
Tilanne ja tavoitteet / alkuvuosi 2015
• CA, OCSP, TSA –kokonaisuuden hankinta
• Palveluväylän palvelukuvaukset, hallintamalli
– Käyttöehdot
– kenelle palveluväylä on, missä laajuudessa mihinkin tarkoitukseen?
• Tuotantoympäristön sopimus helmikuussa CSC:n kanssa
• Palveluväylän (X-Road) jatkokehityskumppanin kilpailutus
– jatkokehityskohteiden määrittelytyötä
• Kehitysympäristön avaus
– helmikuusta alkaen ensimmäiset (VTJ-soso)
– maaliskuussa avoin kaikille, korkeimmalla prioriteetilla loppuvuodesta
tuotantoon siirrettävät palvelut
• Arkkitehtuurityö, auditoinnit
• Liityntäkatalogi (”palvelukatalogi”) –projektin käynnistys
– Portaali/ratkaisu, jonka kautta löytyy kaikki palveluväylästä löytyvät
liitynnät teknisine ja hallinnollisine kuvauksineen
Aikataulusta / loppuvuosi 2015
•
Q3/2015:
– kehitysympäristön päivitys (6.1 beta, eli ensimmäinen erä omia
jatkokehityskohteita)
– Palveluväylän tuotantoympäristöä vastaavan testiympäristön (6.1) avaus
– Tuotantoon siirrettävien liityntöjen testaus
– Auditoinnit, testaukset
•
18.11.2015:
– Palveluväylän tuotantoympäristön (6.1) avaus
– Ensimmäiset liitynnät tuotannossa, mm.
•
•
•
•
•
VTJ:n soso-liittymän (tuotanto)
Trafin tieliikenteen kuljettajan lupatiedot (tuotanto)
MML:n kiinteistötietojen kyselypalvelu (tuotanto)
PRH:n tietovarannot (yritys- ja yhteisötietojärjestelmä, omien tietojen tarkasteluun
liittyvät tiedot - tuotanto)
joulukuu 2015:
– Lisää liityntöjä tuotantoympäristöön, mm.
•
•
•
•
Veron verovelkatieto (tuotanto)
Kansalliskirjaston FINTO (tuotanto)
PRH:n tietovarannot (kaupparekisterin kuulutustiedot – tuotanto)
Trafin Ajoneuvot, Vesikulkuneuvot (tuotanto)
Miten mukaan?
• Ilman tarjottavia tietoja ja niitä hyödyntäviä palveluita
väylästä ei ole hyötyä
• Hallinnonaloilta kerätään tietoa väylään liitettävistä
tietovarannoista ja palveluista
– Etenemissuunnitelma
– Lähdetään liikkeelle keskeisistä tietovarannoista
• Yhteistyön tarve
– Väylän edistämiseksi tarvitaan yhä tietoa, mitä rajapintoja organisaatiot
olisivat ensimmäisinä avaamassa ja millä aikataululla
– Kartoitetaan myös palveluväylän käyttötapauksia
• organisaatioiden tietovarantojen tai muualta tarvittavien tietojen kautta
tuottavat lisäarvoa toiminnan tehostamiseksi viranomaistoiminnassa
välillisesti ja/tai suoraan kansalaiselle
• tietoa siitä, mitä konkreettisia tietoja/rajapintoja/järjestelmiä nämä koskisivat
• hanke toimia yhdyskäytävänä näiden toteutuksia edistettäessä
Miten mukaan?
• Hanke tukemassa liittymien testaukseen, rajapintojen
aikataulutukseen ja käyttötapauksiin liittyen
• Ohjelmatasolla tukea liittymiseen
•
•
•
tuetaan kuntia ja valtiohallintoa
tuetaan suunnittelua ja integraatioita, ei järjestelmien itsensä
rakentamista
kriteerejä mm. potentiaalinen laajuus, saatavat prosessihyödyt,
toimijoiden lukumäärä
– Tuotteistusta kehitetään
•
•
dokumentaatio,ohjeistus yms.
toimintamallien kartoitus (käyttötapaukset – kunnat, yritykset)
Liittymisestä
• Lähtökohtaisesti järjestelmien luonnollisen elinkaaren kautta
– Järjestelmien ja integraatioiden uusimisen yhteydessä
– Uusia integraatioita toteutettaessa
• Toimintaa tehostavien käyttötapausten tunnistaminen ja
toteuttaminen
– Loppukäyttäjille, virkamiehille, viranomaisille, yrityksille näkyviä
– Puhtaasti järjestelmien välisiä
– Käyttötapauksista voi nousta esiin palveluväyläliittymiä, jotka eivät
suoraan linjassa järjestelmien luonnollisen elinkaaren vaiheen kanssa
• Palvelunäkymissä näytettävät tiedot
• Useiden eri toimijoiden käyttämät tiedot
– Esim. henkilötiedot (VTJ)
• Liittymisen aikataulu organisaatioiden itsensä päätettävissä
– Tavoitteena saada uusia liittyjiä tasaisesti heti tuotantokäytön
aloittamisesta lähtien
Liittyminen kehitysympäristöön
• Palveluvayla.fi
• Esuomi.fi
Kiitos!
Hankepäällikkö Eero Konttaniemi
[email protected]
0295 535 024
palveluvayla.fi