Transportprofil AS4

Anslutning för leverantörer av accesspunkteoperatörer
Version: 1.2
Gäller fr o m: 2024-11-18

Denna transportprofil beskriver hur accesspunktsfunktioner ska vara konfigurerade för att agera i en federations transportinfrastruktur. Profilen är en specificering och delmängd av den profil som tagits fram av CEF/EU-kommissionen.

1. Inledning

Detta dokument specificerar hur information utbyts mellan accesspunkter enligt kommunikationsprotokollet AS4 och med ytterligare precisering av CEF eDelivery AS4 Profile.

  • Parametersättning av AS4 (P-Modes)
  • Kompletterande regler och beskrivningar kring accesspunktsfunktions användning av AS4

Denna transportprofil beskriver enbart avvikelser från, restriktioner av och preciseringar till de underliggande eDelivery specifikationer som ska användas för kommunikation inom transportinfrastrukturen. För detaljerad information hänvisas till underliggande specifikationer.

Figur 1 Illustration av AS4 - transportprofilens fokus. Se bilden i ett större format.

Denna AS4-profil använder en delmängd funktionaliteten som beskrivs i CEF eDelivery AS4-profilen.

AS4-profilen använder miljötjänsterna Service Metadata Locator (SML) och Service Metadata Publisher (SMP).

1.1 Målgrupper

Detta dokument syftar till att stödja följande intressenter i deras arbete, dess informationsbehov samt ge svar på vanligt förekommande frågeställningar.

Intressenter:

  • IT-arkitekter och utvecklare
  • Som utvärderar, analyserar, designar, bygger, och testar programvaror.

1.2 Referenser

Referens till

Länk

Kommentar

AS4

http://docs.oasis-open.org/ebxml-msg/ebms/v3.0/profiles/AS4-profile/v1.0/os/AS4-profile-v1.0-os.html Länk till annan webbplats.

Standardprofil av transport-protokollet ebMS v3

[CEFAS4] CEF eDelivery AS4 Profile

https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eDelivery+AS4+-+1.15 Länk till annan webbplats.

 

1.3 Federationsspecifika anpassningar

Detta dokument innehåller ett par regler, krav eller principer som en federation kan anpassa i federationsdeklarationen. Dessa anpassningspunkter är numrerade enligt formen [A1],[A2] osv.

2. Profilering av AS4

2.1 Sammanfattning

Detta dokument specificerar hur information utbyts mellan accesspunktsoperatörer enligt kommunikationsprotokollet AS4 och med ytterligare precisering av CEF eDelivery AS4 Profile.

Transportprofilen använder och preciserar följande underliggande tekniska profiler:

  • eDelivery AS4 Profile, version: 1.15, och dess ”Common profile”.

2.2 Övergripande beskrivning av transportkommunikation med AS4

Denna profil erbjuder följande grundläggande egenskaper.

[a] En accesspunktsfunktion måste använda och följa de riktlinjer som beskrivs nedanstående tabell

Functionality

ebMS 3.0 AS4

Core Messaging

Web Services

Internet Transport

HTTP 1.1

Transport Layer Integrity,
Sender Authentication, Receiver
Authentication and Message
Confidentiality (Non-Persistent)

Transport Layer (SSL / TLS) Security

Message and PayloadPackaging

SOAP 1.2 with attachments

Routing and Dispatching, SOA integration

Mandatory "Service" and "Action" header elements

Exchange Patterns

One Way

Exchange Pattern Bindings

Push

Payload Compression
Kompression av nyttolast

Gzip (**)

Message Identification

ebMS 3.0 "MessageId"

Message Correlation

ebMS 3.0 "ConversationId"

Message Timestamp

ebMS 3.0 "Timestamp" and WS-Security "Timestamp"

Party Identification för Accesspunkter

ebMS 3.0 "From" and "To" party identifiers.

Party Identification för Deltagare

BusinessInfo/originalSender och finalRecipient

Non-Repudiation of Origin

WS-Security 1.1 using XML Signature

Message Confidentiality

WS-Security 1.1 using XML Encryption

Non-Repudiation of Receipt

Signed Receipt Signal Message

Reliable Message

AS4 reception awareness feature for lightweight, interoperable reliable messaging

2.3 Detaljerad beskrivning av transportprofil

2.3.1 P-Mode parametrar

P-Mode-parametrar är ett koncept som används inom ebMS/AS4 för att referera till de konfigurationsuppgifter som gäller för ett visst standardiserat informationsutbyte. Tabellen nedan visar de parametrar som har preciserats jämfört med CEF AS4 Profile som denna profil baseras på. I de fall denna profil inte ger information om en konfigurationsparameter så nyttjas CEF AS4 Profile. Kolumnen ”Värde som ska användas” förklarar på vilket sätt som parametern ska användas för att vara följsam gentemot denna transportprofil.

Processing Mode Parameter

Värde som ska användas

PMode.BusinessInfo.Service

Det Process-ID som avses.

[a] Den typ av process (SMP ProcessIdentifier) som avses,

Exempel:

bdx:noprocess

 

Mappning SMP:

SignedServiceMetadata/ServiceMetadata/ServiceInformation /Processlist/Process/ProcessIdentifier

PMode.BusinessInfo.Service.type

Identifieringsystem för Process-ID

[b] Fast värde för Service type: urn:fdc:digg.se:edelivery:process

 

Mappning SMP:

SignedServiceMetadata/ServiceMetadata/ServiceInformation /Processlist/Process/ProcessIdentifier@type

PMode.BusinessInfo.Action

[c] Den typ av meddelande/tjänst (SMP DocumentIdentifier) som avses, ska anges enligt följande struktur:

«scheme id»::«document identifier»

 

Exempel:
busdox-docid-qns:: urn:riv:infrastructure:messaging:MessageWithAttachments:3::messagePayload##3.0::tm-base-ext-sigenc

 

Mappning SMP: SignedServiceMetadata/ServiceMetadata/ServiceInformation /DocumentIdentifier

Och

SignedServiceMetadata/ServiceMetadata/ServiceInformation /DocumentIdentifier/@scheme

PMode.BusinessInfo.MPC

[d] Fast värde enligt CEF eDelivery AS4-profil: default MPC

https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eDelivery+AS4+-+1.15 Länk till annan webbplats.

PMode.Protocol.Address TransportProfile

[e] Fast värde för identifierare av transportprofil:

digg-transport-as4-v1_2

 

Mappning SMP:

SignedServiceMetadata/ServiceMetadata/ServiceInformation /Processlist/Process/ServiceEndpointList /Endpoint/@transportProfile

PMode.Security.X509.Signature.Certificate

Accesspunktscertifikat som använts för signering av sändande AP

 

[f] Accesspunktscertifikat som används ska vara det certifikat som tilldelats Accesspunktsoperatören för aktuell federation och miljö.

PMode.Security.X509.Encryption.Certificate

Mottagande accesspunktscertifikat som används för kryptering av sändande AP

 

[g] Accesspunktscertifikat som används för kryptering ska vara det som mottagande accesspunktsfunktion publicerat som en del i ServiceMetadatat.

 

Mappning SMP:

SignedServiceMetadata/ServiceMetadata/ServiceInformation /Processlist/Process/ServiceEndpointList /Endpoint/Certificate

PMode.MEP

[h] Fast värde för MEP enligt CEF eDelivery AS4-profil: oneWay

https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eDelivery+AS4+-+1.15 Länk till annan webbplats.

PMode.MEPBinding

[i] Fast värde för MEP-binding enligt CEF eDelivery AS4-profil: Push

https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eDelivery+AS4+-+1.15 Länk till annan webbplats.

PMode.Initiator.Party

[j] Initiator Party ska anges med värden för Common Name på avsändarens accesspunktscertifikat (C2).

Exempel:

AP0040-SDK-PROD

PMode.Initiator.Party.type

[k] Fast värde för Initiator Party type:

urn:fdc:digg.se:edelivery:transportprofile:as4:partytype:ap

PMode.Initiator.Role

[l] Fast värde för initiator Role enligt CEF eDelivery AS4-profil: Initiator

https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eDelivery+AS4+-+1.15 Länk till annan webbplats.

PMode.Responder.Party

[m] Responder Party ska anges med värdet för Common Name på mottagarens Accesspunktscertifikat (C3).

Exempel:

AP0045-SDK-PROD

PMode.Responder.Party.Type

[n] Fast värde för Responder Party type: urn:fdc:digg.se:edelivery:transportprofile:as4:partytype:ap

PMode.Responder.Role

[o] Fast värde för Responder Role:

https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eDelivery+AS4+-+1.15 Länk till annan webbplats.

PMode.BusinessInfo.Properties – originalSender

Identifieraren för sändande Deltagare (C1)

[p] originalSender ska anges och ha värdet för sändande Deltagare

PMode.BusinessInfo.Properties – finalRecipient

Identifieraren för mottagande Deltagare (C4)

[q] finalRecipient ska anges och ha värdet för mottagande Deltagare

 

Mappning SMP:

SignedServiceMetadata/ServiceMetadata/ServiceInformation/ParticipantIdentifier

2.4 Dynamisk adressering med stöd av BDX-Location (BDXL)

eDelivery BDX Location 1.0 används i samverkan med eDelivery-SMP (SMP) för att via DNS(U-NAPTR records) hämta deltagarens metadata från SMP (sk Dynamic discovery).

[a] Vid registrering i SMP ska identifierings schema "iso6523-actorid-upis" användas för deltagare.
Ex <ParticipantIdentifier scheme="iso6523-actorid-upis">0203:sdk-qa.digg.se</ParticipantIdentifier>

[b] Vid användning av AS4 meddelanden ska originalSender och finalRecipient anges med typ "iso6523-actorid-upis".

Not. Det finns idag inga krav på att "type" skall valideras mot AS4 nivån. Endast att värdet skall kontrolleras mellan AS4-XHE-meddelande av MT.

2.5 Användning av TLS

Denna profil specificerar grundregler (default) för användning av TLS (Transport Layer Security). I det fall regeln anpassas specificeras det i federationens dokument tekniska anpassningar mot plattform för eDelivery.

2.5.1 Certifikatsutgivare

Grundregel [a]
TLS ska användas och endast TLS-certifikat utfärdade av utgivare som finns med på Mozillas lista över förinlästa CA-certifikat ('List of pre-loaded CA-certificates') ska användas. TLS-konfigurationen ska uppnå minst en "grade A" enligt SSL Labs bedömning.

Anpassning [A1]
Specificering av accepterade utgivare för TLS-certifikat

2.5.2 Autentiseringsmetod

Grundregel [b]
Accesspunktsfunktioner som agerar i eDelivery transportinfrastruktur ska använda ”one-way authentication”.

Anpassning [A2]
Om ”two-way authentication” (mutual TLS) ska användas i stället för grundprincipen ”one-way authentication”

2.5.3 Portar för SSL/TLS-trafik

Grundregel [c]
Port 443 ska användas för TLS

Anpassning [A3]
Om andra portar än 443 får användas för TLS vid utväxling av meddelanden mellan accesspunktsfunktioner

2.6 Felhantering vid felaktig mottagare/tjänst

En accesspunktsfunktion behöver ha funktionalitet för att kontrollera att inkommande anrop överensstämmer med den avsedda mottagaren och meddelandetyp.

[a] Accesspunktsfunktionen ska kontrollera att den betjänar den adresserade Deltagaren för den specifika meddelandetypen.

[b] Om den adresserade Deltagaren inte betjänas för den specifika meddelandetypen, kan accesspunktsfunktionen avvisa meddelandet och synkront returnera ett ebMS-Error.

[c] Om accesspunktsfunktionen använder ebMS-Error för att avvisa meddelanden ska felkodattributet sättas till EBMS:0004 (Other Error) och dess allvarlighetsattribut ska sättas till failure samt ska errorDetail-attributet ha värdet NOT_SERVICED för att indikera att den adresserade Deltagaren inte betjänas av accesspunktsfunktionen.

2.7 Användning av kuvert

Kuverteringsprofil XHE beskriver hur ett meddelande kan kuverteras. Kuvertet innehåller en identifierare för den federation som accesspunktsfunktionen ska förmedla meddelandet inom.

[a] Meddelanden som utväxlas inom en federation skall alltid vara förpackade i enlighet med en godkänd specifikationen för gällande kuverteringsprofil.

[b] Accesspunktsoperatören måste tillse att Deltagaren den betjänar är godkänd för att delta i federationen.

2.8 Spårning av konversationer

Meddelandet som förmedlas har i kuvertet en globalt unik identifierare som en accesspunktsfunktion kan använda för spårning.

[a] SOAP-attributet ConversationID ska innehålla den globalt unika identifieraren för meddelandets kuvert

2.9 Hantering av stora meddelanden

Denna profil specificerar grundkrav (default) för accesspunktsfunktioners kapacitet att skicka och ta emot stora meddelanden. Med storlek avses antal Byte som meddelandet inklusive kuvert (upptar när meddelandet lagras som en xml-fil. I det fall regeln anpassas specificeras det i federationsdeklarationen.

Grundregel [a]
Accesspunktsfunktionen ska ha kapacitet att ta emot och skicka meddelanden med en storlek av minst 100 MB

Anpassning [A4]
Nedre storleksgräns på meddelande som en accesspunktsfunktion åtminstone ska kunna ta emot och skicka.

2.10 Validering av nyttolast

Validering av nyttolast (genom t.ex XML-schema, schematron mm) görs av Deltagarens verksamhetssystem/meddelandetjänst. Återkoppling av validering görs i en egen försändelse genom en separat meddelandekvittens som skapas av Deltagarens verksamhetssystem/meddelandetjänst.

Resultat av validering av nyttolast ska alltså inte återrapporteras genom den synkrona AS4-kvittensen.

2.11 Användning av PKI

Alla försändelser som utväxlas mellan accesspunktsfunktioner i eDelivery transportinfrastruktur ska signeras och krypteras på AS4/SOAP-nivå.

Certifikat för kryptering hämtas genom att accesspunktsfunktionens certifikat publiceras som en del av servicemetadatat. Accesspunktsfunktionen ska vara konfigurerad för att acceptera försändelser till/från andra accesspunktsfunktioner i samma federation, det vill säga sådana accesspunktsfunktioner som har certifikat utgivna av samma intermediära certifikatsutgivare.

[a] Den sändande accesspunktsfunktionen måste kontrollera att mottagande accesspunktsfunktion är godkänd för att agera i federationen och miljön genom att verifiera att certifikatet är utfärdat av aktuell CA

[b] Den sändande accesspunktsfunktionen ska kontrollera mottagande accesspunktsfunktions certifikat gentemot spärrlista.

Sändande accesspunktsfunktion använder sitt certifikat för att signera försändelsen.

[c] Den mottagande accesspunktsfunktionen måste kontrollera att sändande accesspunktsfunktion är godkänd för att agera i federationen och miljön genom att verifiera att certifikatet är utfärdat av aktuell CA

[d] Den mottagande accesspunktsfunktionen ska kontrollera sändande accesspunktsfunktions certifikat gentemot spärrlista.

[e] Om en accesspunktsoperatör är godkänd för att agera i flera federationer parallellt ska accesspunktsfunktionen hanteras isolerat för varje federation.

[f] Accesspunktsfunktionen ska vara konfigurerad för att lita på det certifikat som används av SMP för signering av metadata i aktuell federation och miljö

[g] Accesspunktsfunktionen ska kontrollera SMP-signeringscertifikat gentemot spärrlista.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: