ARIT - produzione

  • Full Screen
  • Wide Screen
  • Narrow Screen
  • Increase font size
  • Default font size
  • Decrease font size
Aree Tematiche > E-government > ICAR - Interoperabilità e Cooperazione tra le Regioni - La porta di dominio

ICAR - Interoperabilità e Cooperazione tra le Regioni - La porta di dominio

Email Stampa PDF
Indice
ICAR - Interoperabilità e Cooperazione tra le Regioni
A cosa serve
Normativa
Contesto
Servizi agli EELL
Perchè ICAR
Come implementare una PdD certificata
Standard e tecnologie
Infrastruttura di base
NICA
Porta di Dominio
Gestore Eventi
Tracciatura e monitoraggio
Bibliografia
Tutte le pagine

L’elemento tecnologico centrale per la cooperazione applicativa è rappresentato dalla Porta di Dominio. Da un punto di vista fisico, essa può essere considerata un componente infrastrutturale della Rete, un “proxy” per l’accesso alle risorse applicative. Dal punto di vista dell’architettura applicativa, la Porta di Dominio può essere vista come un adattatore che consente a sistemi informatici esistenti, o comunque realizzati in base alle esigenze del dominio specifico, di affacciarsi sulla rete e partecipare all’interscambio telematico delle informazioni.

Nella figura successiva si evidenzia il modello di cooperazione applicativa, dove il termine “sistema informativo” deve essere inteso nella sua accezione più ampia.

Porta di Dominio ICAR

In particolare, può trattarsi di:

- un sistema monolitico, o, comunque, operante su un singolo nodo presso una struttura di piccole dimensioni;

- un sistema distribuito su più nodi collegati in rete locale presso una struttura di dimensioni maggiori;

- una rete di area, alla quale sono collegati i sistemi informatici di strutture anche diverse, o di una singola struttura.

Risulta, quindi, chiaro che le porte di dominio, come componenti software di adattamento, possono essere chiamate a svolgere funzioni di integrazione diverse, a seconda del contesto nel quale si trovano ad operare. In particolare possiamo distinguere:

- la Porta Applicativa che è la Porta di Dominio atta all’erogazione dei servizi. Ogni dominio esportante, in grado cioè di fornire servizi, lo fa attraverso la Porta Applicativa. La Porta Applicativa ha un riferimento sull’Indice dei Servizi in corrispondenza di tutti i servizi che esporta sia in modo diretto che indiretto. La Porta Applicativa è sempre in ascolto per accogliere le richieste fatte al dominio. Attraverso opportuni moduli denominati Wrapper, la Porta Applicativa interfaccia i sistemi informatici che sono alla base dell’erogazione di uno specifico servizio. Un servizio particolare della Porta di Dominio è quello di ricezione e gestione degli eventi come descritto in seguito.

- la Porta Delegata che è la Porta di Dominio attraverso cui si richiedono servizi o si notificano eventi ad un altro Dominio. La Porta Delegata è attivata dai Sistemi Informatici o dal Portale e sfrutta i servizi di Rete per realizzare la collaborazione.

Le collaborazioni principali prevedono l’adozione di modalità sincrone e asincrone di scambio dei messaggi. E’ bene notare che le modalità sincrona e asincrona sono intese relativamente allo scambio di una coppia di messaggi, uno in andata e l’altro in ritorno. Il sincronismo è visto dal punto di vista della porta delegata. In uno scambio sincrono, la porta delegata, a seguito dell’invio del messaggio di andata, rimane in attesa del messaggio di ritorno. Viceversa, in uno scambio asincrono, i due messaggi di andata e di ritorno vengono scambiati senza che una delle due parti rimanga in attesa.

La scelta della modalità sincrona o asincrona può anche dipendere da aspetti legati alla latenza amministrativa delle procedure amministrative (es.: la necessità di intervento umano, ad esempio per l’apposizione della firma digitale di un pubblico ufficiale).

- Collaborazione Sincrona: è quella più semplice e tipicamente, è la modalità prevista per le richieste di informazioni. Presso il dominio richiedente il messaggio è formato dal sistema informativo, quindi trasmesso dalla porta delegata. La porta delegata rimane in attesa del messaggio di ritorno. Presso il dominio esportante il messaggio viene ricevuto ed immediatamente elaborato con la formazione e trasmissione del messaggio di ritorno. La collaborazione sincrona, una volta adottata, è da considerarsi come obbligatoria per le parti coinvolte. In altri termini, la porta applicativa deve restituire un messaggio di eccezione se l’elaborazione sincrona non è possibile, per esempio a causa di problemi tecnici temporanei.

- Collaborazione Asincrona: una forma lievemente più complessa di collaborazione è quella basata sulla modalità sincrona con possibilità di transizione ad una modalità asincrona. La prima fase di collaborazione e sostanzialmente eguale a quella descritta nel caso precedente (collaborazione sincrona), con la formazione e la trasmissione di un messaggio presso il dominio richiedente. Anche in questo caso la porta delegata rimane in attesa del messaggio di ritorno. La differenza consiste nel fatto che il sistema esportante può eventualmente passare alla modalità asincrona, ad esempio per fare fronte a situazioni di carico eccessivo e/o di concomitanza con altre situazioni straordinarie. In caso di passaggio alla modalità asincrona, la porta applicativa si limita a restituire un messaggio di ritorno che conferma la ricezione del messaggio e attesta la presa in carico della richiesta in esso contenuta. In un tempo differito, successivo, la porta delegata, trasmette un messaggio con l’identificatore della richiesta e rimane in attesa del messaggio di ritorno. Se il sistema esportante ha la risposta, la restituisce e conclude la collaborazione, altrimenti risponde con un nulla di fatto e la transazione dovrà essere ripetuta.

In generale, il servizio rappresenta la modalità più diretta di collaborazione tra due sistemi. Una richiesta, sottoposta da un sistema ad un altro, scatena in quest’ultimo l’esecuzione di un processo applicativo il cui risultato viene restituito sotto forma di risposta. Il servizio è tipicamente un tipo di collaborazione sincrona ma è scomposto in due fasi differite nel tempo: sottomissione della richiesta e ricezione della risposta, può realizzare anche una collaborazione asincrona. Nei due casi, però, l’approccio dei sistemi informatici coinvolti nella collaborazione cambia sostanzialmente. Nel caso asincrono, chi effettua la richiesta deve essere in grado di iterare più volte il processo di richiesta, mentre il sistema che eroga il servizio deve essere in grado di gestire il sistema di code di richieste e di risposte.

La Porta di Dominio SPCoop-ICAR dovrà rispettare le specifiche SPCoop Ver. 1.1 e aggiunge anche le funzionalità di:

- relay SPCoop trasparente;

- tracciamento;

- sicurezza (Firewall XML).

Di seguito sono illustrate le funzionalita sopra citate.

Funzioni di relay SPCoop trasparente

Nella PdD SPCoop-ICAR dovrà essere presente una Componente di Interconnessione (CdI) che realizzerà la funzionalità di relay ossia ridirigerà le buste e-Gov verso i rispettivi destinatari. Il CdI si occupa quindi di ispezionare la busta e-Gov per identificare il servizio destinatario della busta. Se si tratta di un destinatario fuori dalla propria rete privata SPCoop, la busta sarà indirizzata alla PdD SPCoop-ICAR di ingresso della rete privata SPCoop di appartenenza, altrimenti alla rispettiva Porta di Dominio relativa al dominio di cooperazione destinatario.

L’ottimizzazione delle topologie di rete non modifica in alcun modo la logica punto punto della comunicazione tra la porta di dominio mittente e quella destinataria. L’esempio mostrato nella figura seguente evidenzia il dettaglio dei vari passaggi della busta e-Gov nell’interazione di una richiesta di servizio da un generico Ente A ad un generico Ente B appartenenti a reti SPCoop diverse.

Relay SPCoop

In particolare, l’interazione si svolge tramite i seguenti passi: 1. invocazione della porta delegata da parte del Sistema Informativo interno al dominio di cooperazione dell’Ente A; 2. la porta di dominio mittente costruisce la busta e la spedisce alla PdD SPCoop-ICAR di ingresso/uscita nella sua Rete Privata SPCoop, 3. il CdI della PdD SPCoop-ICAR di ingresso/uscita, una volta effettuata la validazione della busta con successo, interroga la propria tabella di routing per individuare l’endpoint a cui inoltrare la busta. In questo esempio, dalle informazioni sulle proprie tabelle di routing, decide di inoltrarla al PdD SPCoop-ICAR della Rete Privata SPCoop B; 4. il CdI invia la busta alla PdD SPCoop-ICAR della Rete Privata SPCoop B; 5. la PdD SPCoop-ICAR della Rete Privata SPCoop B interroga la tabella di routing per capire dove spedire la busta. Si accorge che deve spedirla ad una porta di dominio locale alla propria Rete Privata SPCoop; 6. la busta viene inviata alla Porta di Dominio dell’Ente B; 7. la porta di dominio destinataria una volta ricevuta la busta ne effettua la validazione e in caso di successo la consegna al servizio locale abbinato alla porta applicativa riferita nella busta e-Gov.

E’ necessario, pertanto, gestire le seguenti situazioni:

- necessita di supportare dal punto di vista tecnico, organizzativo, gestionale i soggetti che parteciperanno alla comunità SPCoop;

- frequente necessità di aggiornamento delle PdD deployate;

- necessità di monitorare costantemente la rete SPCoop;

- necessità di intervenire in maniera coordinata sui Soggetti all’occorrenza di un problema.

Questi problemi dovrebbero disincentivare l’utilizzo di collegamenti punto punto tra PdD tendendo a strutturale la Rete SPCoop in un insieme di reti Private SPCoop. Comunque la PdD SPCoop- ICAR può essere utilizzata anche per realizzare comunicazioni punto punto. La figura che segue mostra un esempio in cui un Ente usa direttamente una PdD SPCoop-ICAR (ossia le buste generate dalla sua PdD non attraversano componenti della sua rete privata SPCoop configurate in modalità relay per raggiungere il destinatario) per richiedere un servizio.

Sarà anche possibile non utilizzare la funzione di relay della PdD SPCoop-ICAR utilizzando direttamente le PdD SPCoop-ICAR come indicato nella figura seguente. Quindi la PdD SPCoop- ICAR garantisce la massima flessibilità nel dispiegamento sul territorio. Nel caso in cui la PdD SPCoop-ICAR venga dispiegata in modalita “relay” risulteranno enormemente semplificati i compiti di monitoraggio e di sicurezza della Rete Privata SPCoop poiché potranno essere gestiti in un unico punto.

Funzioni di Tracciamento

La PdD SPCoop-ICAR tiene traccia delle Buste e-Gov inviate e delle Buste e-Gov ricevute in transito.

Funzioni di tracciamento

Il tracciamento realizzato nell’implementazione di riferimento si attiene a quanto definito nel documento “Sistema pubblico di cooperazione: Porta di Dominio” del CNIPA-DigitPA. Viene quindi tracciato solo l’header e-Gov insieme all'ora di registrazione identificativo della porta di dominio tipo di Messaggio (Richiesta/Risposta)

La PdD esporrà le interfacce (web-services) attraverso cui sia possibile, in modo concorrente (on- line) recuperare le tracce.

Funzioni di sicurezza

La PdD SPCoop-ICAR implementa la funzionalità di Firewall-XML. Grazie alla funzionalità di Firewall-XML una PdD SPCoop-ICAR configurata in modalità relay potrà bloccare tutto il traffico in ingresso alla Rete SPCoop che non rispetta determinate regole. Le regole del firewall avranno come oggetto l’header delle buste di e.Gov. Qualora una busta di e- Gov non rispetti le regole stabilite la PdD SPCoop-ICAR ne terrà traccia.

La PdD SPCoop-ICAR, come da specifica SPCoop, identifica tutti i soggetti infrastrutturali e applicativi in gioco tramite certificati X.509 rilasciati da PKI riconosciute e l’uso di WS-Security tramite X509 Token Profile e SAML 2.0, compatibilità con SAML 1.1, per la gestione di autenticazione e autorizzazione da parte delle Porte di Dominio.

 



Non viene fatto uso di cookie per le informazioni di carattere personale, né vengono utilizzati cookie persistenti di alcun tipo ovvero sistemi per il tracciamento utenti. Se vuoi consultare la cookie policy clicca sul link. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie. Consulta la nostra pagina sulla privacy.

Accetto cookie da questo sito.