Dokumentet/dokumenter der kommenteres på: Fælles retningslinjer for webservices. Organisationen der kommenterer: SKAT - Løsningsarkitektur og Test

Relaterede dokumenter
Hvem er målgruppen for disse dokumenter. Hvilke forudsætninger skal læseren have?

Fælles retningslinjer for REST webservices

Dokumentet/dokumenter der kommenteres på: Retningslinjer for stabile http-urier

Fælles retningslinjer for webservices. UDKAST version 0.9 December 2017

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Digital Sundhed. Brugerstyringsattributter - Introduktion. - Specificering af nye og ændrede attributter i id-kortet

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

Kald af PingService via SOAPUI

15. januar 2018 Sekretariatet for Initiativ 8.1. Vedr. Anvendelsesprofil for Organisation

SOSI Gateway Komponenten (SOSI GW)

Hillerød Kommune. It-sikkerhedspolitik Bilag 9. Udvikling, anskaffelse og vedligeholdelse

Opnåelse af tilladelse til at udbyde spil i Danmark

SmartFraming Et vindue til nationale sundhedssystemer. Version 3.0

10. sept 2013 NOTAT. Integrationsmodel støttesystemer

AuthorizationCodeService

Teknisk Dokumentation

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

Overblik over egne sager og ydelser

SAPAs forretningsmæssige behov i relation til Dialogintegration. SAPAs behov for Dialogintegration. Fordele ved brug af dialogintegration i SAPA

Guide til NemLog-in Security Token Service

SF1460_C Aflever besked Integrationsbeskrivelse - version 2.2.2

Certifikatpolitik for NemLog-in

Fælles retningslinjer for REST webservices. UDKAST version 0.5

Folkekirkens It s arkitekturprincipper

STS Designdokument. STS Designdokument

SOSI STS Testscenarier

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

ADIS, WS og Meta Service

REFERENCEARKITEKTUR FOR SELVBETJENING OG REFERENCEARKITEKTUR FOR SAGS- OG YDELSESOVERBLIK

ELEKTRONISK INDBERETNING BØRNEDATABASEN VIA DGWS 13/ VERSION 1.02

KLASSIFIKATION ET AF DE OTTE STØTTESYSTEMER. Version 2.0

Styregruppen for data og arkitektur. Reviewrapport for: Referencearkitektur for deling af data og dokumenter (RAD)

FESD-standardiseringsgruppen Att: Palle Aagaard IT- og Telestyrelsen IT-strategisk kontor Holsteinsgade København Ø

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

Brokere i Identitetsinfrastrukturen

Introduktion til Digital Post. Februar 2016

Underbilag 2Q Vilkår for integration til støttesystemet Klassifikation

Guide til integration med NemLog-in / Signering

Bilag 1. Kravspecifikation

Teknisk vejledning i system-til-system indberetning af landingserklæringer

FAQ Integrationsbeskrivelser. Kommunernes Datafællesskab - KDF

BILAG 1 GENERELLE BETINGELSER INTERN (VERSION 1.0 AF 31. MAJ 2005) (I DET FØLGENDE KALDET GENERELLE BETINGELSER) OIO STANDARDAFTALE FOR WEB SERVICES

SF1460_C Aflever besked Integrationsbeskrivelse - version 2.4.0

Opsamling på KITOS kvalitetssikringsarbejdsdagene

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 12 - Ændringshåndtering

Løsningsbeskrivelse til P13-7 Hent ydelsesinformationer fra Ydelsesindeks

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

SF1460_A Modtag besked Integrationsbeskrivelse - version 2.3.0

NemID DataHub adgang. & Doc , sag 10/3365

Leverancebeskrivelse - Bilag 1

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

Hvor er mine runde hjørner?

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Til bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v.

Citrix CSP og Certificate Store Provider

National Kroniker Infrastruktur. Oplæg til teknikgruppe Aarhus den 30. april 2012

Til kommunernes og Udbetaling Danmarks fremtidige it-udbud vedrørende brug af de fælleskommunale støttesystemer

Ibrugtagning af Fødselsindberetningsservicen på NSP

Leverandør informationsmøde 25. marts 2014

Den Gode Webservice 1.1

OFFENTLIG INFRASTRUKTUR I VERDENSKLASSE

<navn på proces eller use case>

Februar Vejledning til Danske Vandværkers Sikker mail-løsning

Udkast til REST-ressourcer for Dokumentboks (DKAL) (uddrag fra kravspecifikation og E-boks løsningsbeskrivelse)

OISAML Workshop Århus 31. marts 2009 Kontor for It-infrastruktur og implementering IT og Telestyrelsen IT Arkitekt Søren Peter Nielsen -

ICD-11 på 10 minutter. Kort introduktion til den nye version af ICD

Kommunernes Itarkitekturråd. 26. September 2018

Integration SF1590_A - ØiR - Afsend økonomipostering til ØiR (Finans) Integrationsbeskrivelse - version 2.1.0

Vilkår vedrørende anvendelsen af Støttesystemet Organisation

Dataintegration og Single Sign-On Dataintegration internt og eksternt via service enabled arkitektur på Dansk Landbrugs Internetplatform (DLI)

Senest opdateret: 21. november 2016 SPØRGSMÅL OG SVAR. Vedr. offentligt udbud af rammeaftale

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Indhold 1. Introduktion Hovedmenu Brugere Oprettelse af brugere enkeltvis Oprettelse af flere brugere

Initiativ 8.1 Handlingsplan for: 7.2 Afprøvning af fælles standarder for sikker information

Peter Thrane Enterprisearkitekt KL+KOMBIT. Den fælleskommunale Rammearkitektur - Inspiration

18/ VERSION 1.1

Løsningsbeskrivelse til P13-7 Hent ydelsesinformationer fra Ydelsesindeks

Guide til kravspecifikation

Reducér risikoen for falske mails

Bilag 1. Kravspecifikation Annoncering af e-rekruttering som servicebureauløsning

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)

Kommentar fra KMS til Specifikation af Serviceinterface for Person

Introduktion til Digital Post. Digitaliseringsstyrelsen August 2019

Kontrakt om Drift, Videreudvikling, Support af tilskuds- og kontroladministrative

STS Designdokument. STS Designdokument

DKAL Snitflader Afsendelse og modtagelse af meddelelser via S/MIME

UDSNIT 8. februar 2008

SNITFLADER TIL INDEKSER. Præsentation af de fælleskommunale støttesystemernes snitflader til indekser

Compliance-test, STS Sags- og Dokument indekset

OI OXML som obligatorisk, åben standard. - uddybende vejledning. 1 Om dette dokument. 2 Baggrund. 2.1 Datastandardisering

Hillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning

En teknisk introduktion til NemHandel

Informationssikkerhedspolitik for Horsens Kommune

Bilag 9 - Opsamling på høringssvar fra netværket til Arkitekturrapport for KITOS

DIGST arkitekturnetværk

EasyIQ ConnectAnywhere Release note

Oktober 2013 HLG/XIGA. Opstartsvejledning ATS Engros 1/12

Transkript:

Kommenteringsskema 15. januar 2018 Sekretariatet for Initiativ 8.1. BEMÆRK: Alle indsendte kommentarer offentliggøres (på arkitektur.digst.dk). Såfremt du ikke ønsker en kommentar offentliggjort, bedes du gøre opmærksom på det i mailen. Den udfyldte skabelon sendes til arkitektur@digst.dk. Dokumentet/dokumenter der kommenteres på: Fælles retningslinjer for webservices Organisationen der kommenterer: SKAT - Løsningsarkitektur og Test Kontaktperson for evt. uddybelse: Brian.Jakobsen@skat.dk Kommentarer: Sikkerhed i transportlaget Afsnit 3.9 og 4.5: (Sikkerhedskrav til hhv. webservices og REST-webservices) Der er skitseret anvendelse af sikkerhed i transportlaget, hvor besked-baseret sikkerhed med signatur på hver meddelelse havde været at foretrække, da det bl.a. giver mulighed for at opnå uafviselighed af transaktioner. Ulemper ved skitserede retningslinjer: Ingen uafviselighed: Det er ikke muligt at bevise at serviceaftager har udført en given transaktion. Der er intet fysisk bevis (f.eks. en signatur) på at meddelelsen indeholdt det modtagne, hvormed der kan opstå tvister om hvad der var indeholdt i meddelelsen. DIGST begrundelse for valg: "Håndtering af punkt til punkt forbindelser, fx ved anvendelse af certifikater, er tungt at håndtere administrativt." Har man ikke samme problematik med transportbaseret sikkerhed hvor serviceaftager og -udstiller ønsker at autentificere sig op i mod hinanden?

Side 2 af 5 Det havde været at foretrække der blev angivet retningslinjer for besked-baseret sikkerhed for at understøtte forretninger med dette behov. Kapitel;Side Reference tekst Kommentar (udsnit af tekst der kommenteres på) 1;3 Det er væsentligt, at anvendelsen af retningslinjerne finder sted i samspil med eksisterende retningslinjer og standarder, således at der ikke skabes unødig kompleksitet. De fælles retningslinjer er særligt anvendelige, hvor der ikke foreligger domænespecifikke standarder og retningslinjer for webservices. Vi forstår godt denne for domæner, men havde gerne set at man havde en målsætning om rummelighed i stedet 1.1;4 Retningslinjerne stiller ikke krav Hvordan skal krav forstås i forhold til retningslinier? om hvornår temporaler 1.1;4 Retningslinjerne i dette dokument Denne bemærkning bør hives med op i indledningen kan den enkelte organisation vælge at anvende inden for egen organisation for at skabe 1.1;4 men det er ikke et krav. Dette er en tautologi: en retningslinie er ikke et krav 1.3;6 Opdateret Opdelt 3;11 3. Generelle retningslinjer for webservices Der ønskes en retningslinie der fokuserer på roller i snitfladen, for på denne måde at have et fælles grundlag for at specificere ansvar og pligter 3.1;12 genbrugeligheden af den enkelte webservice bliver reduceret. 3.1;13 Webservices skal designes, så snitfladen udstiller egne datasæt og ikke har eksterne afhængigheder til andre domæners objekter. 3.1;13 Når webservicen udstiller en facade foran den bagvedliggende forretning, får serviceanvenderen kun det nødvendige data, for at reducere kompleksitet og gardere mod konsekvenser af ændringer fra bagvedliggende systemer 3.1;13 Forretningsmæssige webservices, der udstiller data, kan være en aggregering af data fra andre webservices 3.1;13 Webservicen definerer med andre ord sit eget datasæt (egen facade) har svært ved at se at dette reducerer genbrugelighed. Der er jo blot tale om at gøre services der udstille mere atomariske og lade det op til orkestreringen at komponere disse. Skriv og læs på samme service er således normaliseret tilstrækkeligt Retningslinien er ikke helt klart Er det for at undgå at et datasæt indeholder data fra eksterne låne-objekter?? Ja det er vigtigt at anvenderen kun modtager hvad denne har brug for, hverken mere eller mindre Men jeg har svært ved at se 1:1 relevans til R03? Ja, er dette en konstatering eller mangler der noget tekst Dette siger blot at en facade kan udstilles med WS og er ikke relavant for R03 3.1;13 gennemstiller data direkte Hvad vil det sige at gennemstille?

Side 3 af 5 3.1;13 Såfremt data udstilles af webservicen som en facade, så vil ændringer til bagvedliggende webservices ikke påvirke serviceanvendere, medmindre facaden ændres. 3.2;14 Ved integrationer mellem forskellige myndigheders it-systemer er det centralt, at ansvaret for gennemførsel og fejlhåndtering ved en transaktion er tydeligt placeret. 3.2;14 hvor funktionaliteten medfører overdragelse af ansvar mellem myndigheder. Dette siger blot at en facade kan udstilles med WS og er ikke relavant for R03 Fyld ikke specielt for myndigheder fokuser på webservices som er emnet for nærværende dokument. Virker som en konstatering og er sat generelt op, hvilket kan få mislyde hvad angår persondataforordningen. 3.2;14 En webservice skal entydigt kunne håndtere gentagne forsøg fra serviceanvenderen. Hvorfor tales der kun om funktionalitet og ikke om data? Retningslinien er korrekt, men praktisk vil det kræve at ws er i stand til at håndtere dubletter, hvorfor retningslinien anbefales at være Valfrit idet mange eksisterende implementationer ikke kan håndtere dubletter. 3.3;17 Opmærk Konkretisering af begrebet Opmærkning ønskes Det skal allerede på nærværende niveau være klart hvad dette indebærer eller om der blot er tale om at angive Uden at begræbet er forblaret er det uklart om princippet efterleves korrekt Denne kommentar skal også ses i sammenhæng med forviringen mellem retningslinier og skal som angivet i tidligere kommentar til dokukmentet 3.5;23 Webservices skal logge et unikt requestid ved hvert kald, og ved gensendelse af et svar skal samme RequestID anvendes. Retningslinien synes at håndtere 2 ting på samme tid: 1) Hvad der skal logges 2) Hvilke informationer webservicen skl indeholder, her requestid For at være i harmoni med R14 bør kun punkt 2) berøres medens 1) skal placeres i et andet princip 3.5;23 Entydighed Som det implicit er angivet fødes requestid hos anvenderen og kan kun forlanges entydig i denne

Side 4 af 5 kontekst. entydighed kunne evt skabes ved en myid/youid tilgang Alternativt kan man tale om global entydighed, dvs. på tværs af systemer indenfor en arkitektur (f.eks. den fællesoffentlige) 3.6;24 kræver ingen sikkerhedsmæssige rettigheder hos serviceanvenderen. 3.6;25 Det er centralt, at monitoreringen ikke foretager opdateringer i data. Det skal i højere grad understreges at det selvfølgelig kun er anvenderen af kerne-servicen der har adgang til monitorerings servicesen, hvis ikke ville det jo være en indgang for en angriber at verificere succes eller ej af angrebet Ligeledes er det centralt at servicesens sikkerhed ikke forringes derved 3.9;33 af SAML 2.0 SAML-token skal vel være signerede? 3.9;33 og Transport layer security Hvorfor kun sikkerhed på transportlaget, det kunne være rart med nogle retningslinier som også inddrager integritet: 1) for end-to-end eller peer-to-peer sikkerhed 2) for signering 3) for SAML2.0 profiler (OASIS) 4.1;34 Serviceanvendere har typisk behov for anvendelse af udstillede webservices i forbindelse med gennemførsel af en forretningsproces i organisationen. En noget vovet generalisering Disse 6 linier virker som fyld og giver ikke megen værdi 4.1;34 REST webservices skal udstille data som ressourcer, Hvorfor denne begrænsning? Wikipedia s bud: "Web resources" were first defined on the World Wide Web as documents or files identified by their URLs, but today they have a much more generic and abstract definition encompassing every thing or entity that can be identified, named, addressed or handled, in any way

Side 5 af 5 whatsoever, on the Web 4.1;34. [REST]. Referencen findes ikke 4.1;35 REST webservices udstiller data som ressourcer, Hvorfor denne begrænsning? Wikipedia s bud: "Web resources" were first defined on the World Wide Web as documents or files identified by their URLs, but today they have a much more generic and abstract definition encompassing every thing or entity that can be identified, named, addressed or handled, in any way whatsoever, on the Web 4.5;47 Sikkerhedskrav til REST webservices Hvordan sikres complience til persondataforordningen? Det kunne være rart med nogle retningslinjer hvad angår integritet: 1) for end-to-end eller peer-to-peer sikkerhed 2) for signering

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback