Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7
TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY „Nové funkcionality Czech POINT 2012“ Popis rozhraní eGON Service Bus Centrální Místo Služeb 2.0 (dále jen „CMS“) bude poskytovat funkcionalitu aplikačního propojení Agendových informačních systémů (dále jen „AIS“), kterou bude zajišťovat eGON Service Bus (dále jen „ESB“). Jedná se o specializované univerzální komunikační propojení mezi: •
jednotlivými AIS veřejné správy (ve smyslu definice AIS zákonem č. 111/2009 Sb., o základních registrech), některé tyto AIS poskytují centrální eGON služby a jiné je využívají;
•
mezi Agendovými informačními systémy a Informačním systémem základních registrů (dále jen „ISZR“).
Uživatelem ESB může být pouze ISZR nebo AIS, který poskytuje centrální eGON služby, nebo využívá centrální eGON služby. AIS musí být registrován pro přístup k základním registrům (dále jen „ZR“). Tuto registraci provádí Správa základních registrů (dále jen „SZR“), která vydává pro AIS přístupové certifikáty. Tyto certifikáty budou využity pro autentizaci vůči ESB. ESB bude mimo AIS komunikovat také s ISZR. Pro tento účel bude potřebovat přístupový certifikát. Bude nutná změna Certifikační politiky SZR, která uvedená použití vydávaných certifikátů zatím nepovoluje. ESB bude poskytovat následující služby: •
Publikace informačních údajů ve vazbě na referenční objekt/subjekt – AIS připojený na ESB publikuje své služby, které může konzumovat libovolný AIS připojený k ESB. Tyto služby poskytují data vázaná na referenční Objekt/Subjekt. Stránka 1 z 7
•
Publikace údajů AIS – AIS připojený na ESB publikuje své služby, které může konzumovat libovolný AIS, který je připojen k ESB. Tyto služby poskytují data, která nejsou vázaná na referenční Objekt/Subjekt ze základních registrů. Za publikované služby a data odpovídá výhradně správce AIS.
Prostřednictvím ESB mohou jednotlivé připojené AIS publikovat informace o svém provozním stavu. ESB bude provozován nad komunikační infrastrukturou propojující jednotlivá národní datová centra, která hostují centrální eGON služby. Není přímo propojen mimo tento komunikační segment. Správci AIS připojí AIS k CMS 2.0 přes KIVS. ESB je funkčně zařazen do propojovacího modulu CMS 2.0, ale fyzicky se jedná o separátní komponentu. Zprávy předávané ESB budou mít následující strukturu založenou na standardu SOAP/XML: •
Hlavička – popisující směrování zprávy a obsahující metadata o žadateli.
•
Mapa AIFO – část obsahující relativní odkazy na AIFO fyzických osob, pokud jsou ve zprávě obsaženy.
•
Datový obsah – poskytovaný dodavatelem služby (publikujícím AIS). Tento datový obsah může být zabezpečen proti čtení i změnám šifrováním a digitálním podpisem. Z pohledu ESB je tento obsah proprietární a není k němu přistupováno v žádné části procesu předávání zpráv.
ESB nebude provádět logování obsahu předávaných zpráv, bude pouze provádět logování dat z hlaviček předávaných zpráv (kdy a kde zpráva předána, kam a kdy doručena, velikost zprávy). Logování na úrovni datového obsahu může provádět napojený AIS, který má oprávnění číst data ve zprávě. ESB nebude řešit sémantiku předávaných dat, definuje však standardy a pravidla pro připojení AIS k ESB (např. závaznou strukturu komunikační obálky a standard předávání zpráv, komunikační rozhraní atd.).
Stránka 2 z 7
Obrázek 1 - Schéma eGON Service Busu
1.1.1. Vlastnosti integračního nástroje Integrační nástroj použitý pro implementaci ESB bude mít následující vlastnosti: •
Podpora asynchronního předávání zpráv. o Podpora přijímání požadavků připojeným systémům.
a
aktivního
o Podpora přijímání v prostředí ESB.
a
dočasného
požadavků
předávání
odpovědí
ukládání
odpovědí
•
Podpora synchronní předávání zpráv.
•
Podpora předávání požadavků a infrastruktury i připojených systémů.
•
Podpora komunikačního protokolu SOAP/XML a dalších v závislosti na možnostech zvoleného produktu.
•
Nezávislost rozhraní a obsahu zpráv na použitém komunikačním protokolu.
•
Možnost implementace časových značek.
•
Služby a pravidla pro směrování transakcí konfigurovatelné bez nutnosti programování.
•
Podpora vícenásobného směrování asynchronních transakcí.
odpovědí
Stránka 3 z 7
s řešením
výpadků
částí
•
Logika směrování transakcí na základě informací v hlavičce zprávy.
•
Připojení AIS a jimi poskytovaných služeb pomocí konfiguračního nástroje bez nutnosti programování.
•
Možnost změny autentizace pro jednotlivé služby na úrovni konfigurace bez nutnosti programování.
•
Podpora více úrovní autentizace s možností použití proprietárních mechanismů bez nutnosti programování. Minimálně je vyžadována podpora autentizace s použitím certifikátu.
•
Podpora pro autentizaci prostřednictvím standardů WS-Federation, WS-Trust a WS-Security.
•
Bezpečnost a auditovatelnost komunikace.
•
Vynucení dodržování stanovených napojování AIS.
•
Možnost napojení A IS pomocí adaptérů (konektorů).
•
Vysoká dostupnost eGON Service Bus.
•
Monitorování provozu eGON Service Bus bude integrováno se standardními monitorovacími prostředky CMS 2.0.
pravidel
a
procesů
při
provozu a
1.1.2. Implementované řešení eGON Service Bus V dodávaném řešení ESB budou implementovány všechny výše uvedené vlastnosti. Součástí dodávky řešení ESB Dodavatelem bude: •
Software pro realizaci standardního WS konektoru;
•
Napojení na vybrané AIS;
•
Šablony pro standardní konektor zajišťující integraci dle standardu WS -*;
•
Seznam konektorů, které produkt podporuje;
•
Dokumentace pro vytváření proprietárních konektorů (pro ty, které produkt podporuje); Stránka 4 z 7
•
Řešení bude obsahovat standardní (v rámci produktu běžně dodávané) komponenty pro registraci služeb, jejich vyhledávání, orchestraci a skládání do kompozitních aplikací, infrastrukturní komponenty zabezpečující monitoring, auditing, bezpečnost a vysokou dostupnost;
•
Řešení nebude vyžadovat implementaci žádných proprietárních formátů a protokolů na straně systému, které budou ESB používat.
•
Vytvoření standardů pro: o Formát zprávy ESB; o Formát zprávy obsahující referenční údaje; o Komunikační protokoly pro napojení ESB; o Autentizační mechanismy pro napojení na ESB; o Auditní údaje předávané ve zprávách.
•
Realizace ESB, splňující všechny definované požadavky. V rámci tohoto bodu budou provedeny následující aktivity: o Analýza požadavků na ESB; o Návrh architektury a detailní návrh technického řešení; o Stanovení standardů pro přenos zpráv a pravidel pro připojování AIS k dodanému řešení; o Implementace řešení, včetně testování; o Realizace ESB ve dvou prostředích: testovací a produkční; o Dodání technické a provozní dokumentace; o Realizace SW komponenty pro WSDL standard podporující online publikaci katalogu služeb.
•
Napojení následujících informačních systémů na ESB (nepředpokládá se, že tyto systémy budou komunikovat pouze přes ESB): o ISZR jakožto poskytovatel služeb ZR; o ISZR jakožto modul pro překlad AIFO při předání dat mezi dvěma AIS; o Napojení vybraných služeb Evidence obyvatel; Stránka 5 z 7
o Napojení vybraných služeb IS datových schránek; o Napojení vybraných služeb AIS Cizineckého informačního systému; o Napojení vybraných služeb Informačního systému územní identifikace a katastru nemovitostí; o Napojení vybraných služeb Portálu veřejné správy; o Napojení vybraných služeb centrálního systému CzechPOINT. •
ESB zajistí v průměru přenos 25 zpráv (5kB – 10 kB)/s transformací AIFO a přenosem mezi libovolnými dvěma konektory.
•
Realizace protokolu SOAP jako jediného využívaného protokolu.
•
Realizace časových značek pouze na úrovni systémového času.
1.1.3. Technické důsledky implementace eGON Service Bus Z požadavků Zadavatele na ESB vyplývá, že by měl volat služby vnějšího rozhraní ISZR jménem AIS, který po něm požaduje určitou službu, jejíž splnění vyžaduje volat právě službu ISZR. ESB by měl takové volání služby ISZR uskutečnit s identifikačními a autentizačními prostředky příslušného AIS. Takovým prostředkem je certifikát vydaný pro AIS. To ale není možné, protože ESB nemá soukromý klíč AIS a ani ho podle Certifikační politiky SZR mít nesmí. Pro volání eGON služeb vnějšího rozhraní ISZR tedy bude muset ESB použít certifikát, který bude vydán přímo pro ESB. Tento certifikát nebude odpovídat identifikátoru AIS, který bude v příslušném volání eGON služby vnějšího rozhraní ISZR. ESB bude muset ověřovat platnost certifikátu AIS a platnost certifikátu ISZR. Všechny tyto certifikáty vydává Certifikační autorita Správy základních registrů (dále jen „CA SZR“). Pro tento účel musí mít eGON Service Bus k dispozici certifikáty vydávajících autorit CA SZR, tyto certifikáty mít zařazené mezi důvěryhodné a musí mít přístup k seznamu odvolaných certifikátů, který CA SZR publikuje, a k seznamu certifikátů blokovaných pro přístup k ISZR. Bude nutná změna Certifikační politiky SZR, aby bylo možné používat vydané certifikáty pro autentizaci AIS vůči ESB a aby bylo možné vydat certifikát pro ESB (ESB nebude ISVS). Dále bude nutná změna ISZR, aby akceptoval certifikát ESB pro autentizaci požadavku od AIS, který přistupuje k ISZR přes ESB. Stránka 6 z 7
Dalším problémem je to, že se uvnitř ESB mohou vyskytovat osobní data ze základních registrů v nešifrované podobě. Šifrovaná bude komunikace mezi AIS a ESB a mezi ESB a vnějším rozhraním ISZR. Ke správnému přiřazení osobních údajů konkrétní osobě by byl nutný převod AIFO na ZIFO, ale i tak musí řešení zajistit maximální omezení přístupu k datům uvnitř ESB.
Stránka 7 z 7
