Vanliga frågor och svar - Teknisk anslutning

Frågor vid anpassning av anslutande system

Fråga

Svar

Fråga

Svar

Var finns information om vilka certifikat som får användas?

Se https://inera.atlassian.net/wiki/spaces/OISDK/pages/2710896795

Var finns publika certifikat till era servrar?

Se https://inera.atlassian.net/wiki/spaces/OISDK/pages/2710896795

Var finns URL'er till era servrar?

Se https://inera.atlassian.net/wiki/spaces/OISDK/pages/2710012582

Finns det exempel på truststores?

Se

Kan ni ge exempel på värden som används vid slagning mot DIGG Certifikatspubliceringstjänst för att kryptera meddelandet?

(fråga relaterad till presentation av kodexempel,

Accesspunktsidentitet: Accesspunktsoperatörs ID som tilldelats av DIGG till AP-operatör vid anslutning. Detta värde används vid konfiguration av AP:n och är även med i CN på det cert ni fått av DIGG samt del av PartyId (En accesspunkt kan serva flera organisationer). Exempel: AP-0001

ParticipantIdentifier: Identifierar användarorganisation i federationen och registreras av användarorganisationens AP-operatör, har formatet "0203:somedomain.se".

SML Zone: Beror på miljö. Se

documentidentifier scheme: "busdox-docid-qns", se SDK Innehållsspecifikation Meddelande
participantidentifier scheme: "iso6523-actorid-upis", se DIGG eDelivery kuvreteringsprofil XHE

DocumentId SDK dokument (Meddelande, hanteras av SDK-federationen):
"urn:riv:infrastructure:messaging:MessageWithAttachments:3::messagePayload##3.0::tm-base-ext-sigenc", se SDK Innehållsspecifikation Meddelande

DocumentId för kvittering (Meddelandekvittens, hanteras av DIGG) :
"urn:oasis:names:specification:ubl:schema:xsd:ApplicationResponse-2::ApplicationResponse##fdc:digg.se:edelivery:messagetype:response:1::2.1::tm-base-ext-sigenc", se DIGG eDelivery Meddelandespecifikation Meddelandekvittens

Är det krav på vilket servercert vi kommer med då vi ansluter mot SDK adressbok i SDK Testbädd (QA) (och i SDK PROD)?

Nej, däremot så är det viktigt att säkerställa att man kommunicerar mot "rätt" SDK Adressbok.

Från IT-säkerhetsbilaga till regelverk för anslutning till Säker digital kommunikation – Informationssäkerhet (se ):
Om anslutet system/backend-system använder SDK Adressboks API för direktsökning eller skapar en lokal läskopia av SDK Adressbok ska:

  • Transportkryptering tillämpas enligt generella krav på protokoll och krypteringsalgoritmer

Ett exempel på händelse som ska generera en felkod är "referens till meddelande (refToMessageId) som är markerat som REJECTED" (se SDK Innehållsspecifikation - Meddelande), men hur kan det uppstå?

Scenario:

  1. Användarorganisation A skickar ett meddelande

  2. Användarorganisation B (MT) tar emot meddelandet och skickar en fördröjd ‘OK’ meddelandekvittens, där fördröjning innebär att det uppstår en timeout på användarorganisation A’s sida (MT)

  3. Användarorganisation A (MT) tar emot den fördröja meddelandekvittensen, det efter att ha markerat ursprungsmeddelandet som okvitterat. Exakt hur MT sen skall hantera kvittensmeddelandet är ett lokalt beslut.

  4. Användarorganisation B (som är ovetandes om timeouten hos användarorganisation A) skickar ett svarsmeddelande (med refToMessageId)

  5. Användarorganisation A (MT) tar emot svarsmeddelandet och skickar en ‘REJECTED’ meddelandekvittens

Hur kan jag som avsändare veta vilken version(-er) som aktuell mottagare stödjer? Är det via SDK Adressbok? Hittar inte informationen i API’et och tänker att den måste vara publikt tillgänglig.

I SMP registreras användarorganisationer som deltagare tillsammans med vilken major version av dokumenttypen som respektive deltagare stödjer. Adressboken innehåller idag inte vilken version av dokumenttyp som stöds.

Hur är det tänkt kring minor-versioner som teoretiskt är möjliga. Om man tillför ”ett nytt frivilligt fält” i schemat borde väl det vara tvunget att alla meddelandetjänster måste uppdateras?

Om en minor version skulle släppas så kommer RIV-TAs regelverk för tjänsteschema tillämpas: https://rivta.se/documents/ARK_0005/RIV_Tekniska_Anvisningar_Tjansteschema.pdf

Hur säkerställer man att giltig version av payload nyttjas? Finns det uttryckt och i så fall var?

Validering av dokumenttyp sker i följande steg:

  1. AP-Operatör: Skall säkerställa att kuvertering är korrekt. Detta görs på AS4 nivå samt inre kuvert XHE kuvert (DIGGs ’Kuverteringsprofil XHE’)

    T.ex. 

     <xha:BusinessScopeCriterion>

            <BusinessScopeCriterionTypeCode>DOCUMENTID</BusinessScopeCriterionTypeCode>

            <BusinessScopeCriterionValue>urn:riv:infrastructure:messaging:MessageWithAttachments:3::messagePayload##3.0::tm-base-ext-sigenc</BusinessScopeCriterionValue>

          </xha:BusinessScopeCriterion>

     <xha:Payload>

          <DocumentTypeCode>messagePayload</DocumentTypeCode>

          <ContentTypeCode>urn:riv:infrastructure:messaging:MessageWithAttachments:3</ContentTypeCode>

  2. Användarorganisation: Meddelandetjänst -MT (Specifikation av validering, felhantering och kvittens ) - ska efter dekryptering validera nyttolast mot schema.
    Så mottages ett meddelande som på AS4/XHE är “MessageWithAttachments:3” så skall MT schemavalidera med den versionen. Här ingår även schematronvalidering.

Varför är svarstidskravet så högt som 15 min. i meddelandetjänsten?

Meddelanden kan köas upp i gränssnittet mellan AP och MT, vilket är största anledningen till att meddelandekvittens tillåts dröja med flera minuter.
Hänsyn behöver också tas till schema- och schematronvalidering på större meddelanden med bilagor.

Frågor som rör anslutning

Fråga

Svar

Fråga

Svar

Hur registreras användarorganisationen som deltagare hos DIGG?

Användarorganisationens accesspunktsoperatör (som kan vara användarorganisationen själv) registrerar användarorganisationen som deltagare i DIGGs SMP.

Hur publiceras deltagare hos DIGG?

Användarorganisationen skickar in SDK Anslutningsblankett till Inera som kontrollerar och därefter publicerar deltagaren i DIGGs SMP.

Hur får användarorganisationen tag i deltagaridentiteten som ska inkluderas i anslutningsblanketten?

Av användarorganisationens accesspunktsoperatör (som kan vara användarorganisationen själv).

Var finns SDKs anslutningsblanketter?

För ytterligare info, se

Hur och till vem skickar vi vårt publika O2O-certifikat till SDK-federationen?

Det finns ett fält för att bifoga det publika O2O-certifikatet i SDK Anslutningsblankett.

Finns det någon deltagare som är registrerad och publicerad i SMP i DIGGs SDK-QA-miljö?

SDK har följande participantIdentifier registrerad och publicerad i DIGGs SDK-QA-miljö: 0203:testbed.sdk.inera.se

Hur får man access till en funktionsadress (funktionsbrevlåda) i SDK Testklient?

Uppgifter om tänkta användare inkluderas i SDK Anslutningsblankett. SDK-federationsoperatör skapar i samband med hantering av anslutningsärendet en funktionsadress (funktionsbrevlåda) i SDK Testklient för organisationen. I granskningsrapporten inkluderas inloggningsuppgifter till de personer som ska tilldelats behörigheter. Granskningsrapporten återkopplas till kontaktperson för anslutning via befintligt anslutningsärende.

Finns det krav på att ha en AP/Meddelandetjänst per kommun/organisation?

 

SDKs regelverk reglerar inte direkt hur en användarorganisation organiserar sin IT-drift, leverantörer eller mjukvara (t.ex. MT, MK). En förutsättningar att regelverk och specifikationer följs.

En användarorganisation som på annan part har lagt ut utförandet av en eller flera av de åtaganden som omfattas av detta regelverk, ska genom avtal ålägga utförande parten (leverantören) och dess eventuella underleverantörer samma skyldigheter som åläggs användarorganisationen i relevanta delar.“ (Källa: Regelverk för anslutning till Säker digital kommunikation - Informationssäkerhet v 1.2 (2022), avsnitt 3.1)

Kortfattat kan man säga att en användarorganisation kan använda en eller flera valfria leverantörer som levererar, tillhandahåller och förvaltar IT-lösningar som t.ex. Accesspunkt (AP), Meddelandetjänst (MT) och Meddelandeklient(er) (MK) under förutsättning att regelverk och specifikationer följs.

För att försöka exemplifiera så krävs en säker och lagenlig separering av användarorganisationens information för att vara följsam mot SDKs regelverk.

Kan man få beskrivet lite närmare vad det innebär att meddelandetjänstens krav på svarstid är relativt lång (15 min.)?

Svartidskravet sträcker sig från att mottagande accesspunkt lägger upp meddelandet för mottagande meddelandetjänst att “hämta”, tills att samma accesspunkt tagit emot meddelandekvittens att skicka tillbaka.
Motivering för kravet om 15 minuter är att tillåta buffring av meddelanden mellan accesspunkt och meddelandetjänst.
Hänsyn behöver också tas till schema- och schematronvalidering på större meddelanden med bilagor.

Notera också att hantering av meddelandestatus hos sändande meddelandetjänst och meddelandeklient är viktig för att vara tydlig mot användare. Meddelandets status går i normalfallet från SCHEDULED (klart att skickas) → SUBMITTED (skickat till sändande AP) → ACKNOWLEDGED (ack från mottagande AP) → ACCEPTED (meddelande kvitterat), där just statusförändring till ACCEPTED kan ta lite längre tid.

Andra områden

Frågor som rör SDK Öppen testmiljö för tjänsteleverantörer: Teknisk FAQ - SDK Öppen testmiljö för tjänsteleverantörer