Manuel sedex
Contents
1. Approbation Version Date Nom ou r le Remarque 3 0 28 11 2008 Nedim Muratbegovic 3 1 08 07 2009 Nedim Muratbegovic 3 2 09 12 2009 Nedim Muratbegovic 3 3 24 06 2010 Nedim Muratbegovic 4 0 14 04 2011 Nedim Muratbegovic 4 0 1 25 08 2011 Nedim Muratbegovic 4 0 3 15 11 2012 Nedim Muratbegovic 4 0 4 06 09 2013 Stefan Podolak sedex_v4_0 4 hb fr 2 88 Manuel sedex V4 0 4 Table des mati res Introduction D finition de sedex Objectif du document Version du document R f rences Glossaire Architecture sedex Introduction Composants de l architecture Vue d ensemble Le serveur sedex Liste des participants L adaptateur sedex Proxy service web Controller Client Sc narios de communication Possibilit s de raccordement a sedex Raccordement physique Raccordement logique Ind pendance l gard de l adressage des messages Utilisation de sedex Structure de r pertoire du client sedex Client sedex lt V4 0 Client sedex 2 V4 0 Interface entre l application et l adaptateur R pertoires d interface Echange de messages Envoi d un message sedex R ception d un message sedex Convention d criture Mise disposition de messages Contenu de l enveloppe Contenu de la quittance Adressage Vue d ensemble Niveaux institutionnels et unit s organisationnelles Code de fonction Exemples Cat gories d erreurs et codes de statut Ca2. sedex client monitoring adapter uptime 10 00 44 adapter version Adapter 4 0 3 adapter sedexId 3 CH 1 adapter profile small adapter organisationCertificateExpirationDate 2013 09 02T11 16 04 adapter interfaceFoldersPresent 0K adapter moveToSedexTempMessageFolder 0K adapter connectionToSedexServer 0K adapter lastConnectionCheck 2012 10 10T02 15 46 adapter writeAccessToDatabase 0K adapter lastSentOsciSegment 2012 10 10T12 16 15 adapter lastReceivedOsciSegment 2012 10 10T12 16 23 controller uptime 10 01 00 controller version Controller 4 0 3 controller updateCertificateExpirationDate 2014 11 25T14 24 03 client version Sedex Client 4 0 3 monitor lastCheckUp 2012 10 10T12 16 26 Illustration 15 Apergu de la r ponse a la requ te HTTP sedex_v4_0 4 hb fr 51 88 Manuel sedex V4 0 4 OFS sedex et registres 3 16 Optimisation du client sedex Le client sedex est pr vu pour tre utilis sur toutes sortes de plateformes allant de l ordinateur de bureau d entr e de gamme au serveur haute performance Pour profiter au mieux des capaci t s de la machine sur laquelle le client doit tre install il est possible de choisir parmi quatre pro fils d finissant notamment le nombre de processus parall les et le nombre de connexions simul tan es vers le serveur sedex Le choix du profil influence grandement la performance de l adaptateur sedex Cependant la puissance peut aussi tre augment e en adaptant la limite maximale de
3. sedex_v4 0 4 hb fr 37 88 Manuel sedex V4 0 4 OFS sedex et registres Ex l un des r cepteurs de l enve loppe n a pas l autorisation requi se Tran rt Error Erreur ansport o temporaire Adapter Error Ex l adaptateur ne dispose pas de suffisamment de m moire Update Ex un message a t envoy avec succ s au serveur Avertissement Ex le r cepteur n a plus que quelques jours pour t l charger le message 3 9 2 Codes de statut Sous cat gorie Success Valeur Message correspondant Message correct transmitted 200 Invalid envelope syntax Message Error Ex le serveur d autorisation est provisoirement indisponible Les codes de statut suivants sont d finis pour la quittance Comportement corri ger le probl me ou in former l utilisateur avant un nouvel envoi 400 499 Un probleme est appa ru au niveau du trans port ou des adapta teurs Comportement ren voyer le message 300 993 apr s un certain temps 600 699 Des informations confirment la progres sion de l envoi mais celui ci n est pas enco re arriv destination Comportement l in formation peut tre trait e ou ignor e 700 799 Un avertissement a t g n r suite l envoi d un message Comportement l aver tissement peut tre trait ou ignor Signification Le message est cor rect et a t int grale ment transmis L enveloppe ne co
4. Couple noms valeurs Le document XML suivant montre un exemple d enveloppe lt xml version 1 0 encoding UTF 8 gt lt envelope xmins http www ech ch xmlns eCH 0090 1 xmIns xsi http www w3 org 2001 XMLSchema instance xsi schemaLocation http www ech ch xmlns eCcH 0090 1 http www ech ch xmlns eCH 0090 1 ecH 0090 1 0 xsd version 1 0 gt lt messageld gt 62fdee70d9ea77646f6e8686a3F9332e lt messageld gt lt messageType gt 99 lt messageType gt lt messageClass gt 0 lt messageClass gt lt senderId gt 1 351 1 lt senderId gt lt recipientid gt 3 CH 1 lt recipientId gt lt eventDate gt 2007 01 01T00 00 00 lt eventDate gt lt messageDate gt 2007 09 06T14 13 51 lt messageDate gt lt enve lope gt sedex_v4 0 4 hb fr 30 88 Manuel sedex V4 0 4 OFS sedex et registres 0 1 recipientId 1 00 prenez 7 fc Illustration 10 Repr sentation graphique du mod le pour le contenu de l enveloppe sedex_v4 0 4 hb fr 31 88 Manuel sedex V4 0 4 OFS sedex et registres 3 7 Contenu de la quittance La quittance est produite par l adaptateur pour chaque destinataire d un message Ainsi si l metteur envoie un message deux r cepteurs il re oit en retour deux quittances La quittance contient les l ments suivants Nom l ment Signification Oblig Nombre eventDate Moment de l v nement qui a xsd dateTime Oui 1 conduit la quittance Par ex
5. D s que le fichier est d chiffr il est d plac dans le r pertoire inbox OO OO A ND Le statut du message est mis jour sur le serveur sedex et une quittance technique est adres s e l metteur sedex_v4 0 4 hb fr 26 88 Manuel sedex V4 0 4 OFS sedex et registres 3 4 Convention d criture L adaptateur metteur attend les fichiers suivants L enveloppe en tant que fichier envl_N xml Les donn es utiles en tant que fichier data_N xxx N est un suffixe nominal univoque produit par l application La corr lation entre l enveloppe et les donn es utiles est assur e par l utilisation de suffixes identiques Par exemple les fichiers envi _4711 xml et data 4711 zip constituent un message car ils contiennent le m me suffixe 4711 En dehors de la corr lation entre enveloppe et donn es utiles les noms des fichiers n ont pas de signification pour l adaptateur L application est donc libre de g n rer ces suffixes selon ses pro pres besoins Nous recommandons cependant d utiliser le messageld de l enveloppe comme suf fixe nominal Xxx repr sente une extension de fichier correspondant au type de fichier utilis XML ZIP PDF etc L adaptateur d duit le type de fichier partir de cette extension L adaptateur metteur place la quittance d envoi sous forme d un fichier d nomm re ceipt_ ID M Y xml dans le r pertoire de quittance M y repr sente le messagelD et Y un num ro s qu
6. la r ponse ren voy e par ce dernier Le Proxy service web ne proc de aucune autorisation Seul le fournisseur de prestation y est habilit Toutefois le Proxy service web ne supporte que les services qui reconnaissent le certifi cat d organisation de l adaptateur sedex comme un certificat d autorisation Syst me participant Fournisseur de prestations Applications 1 Client sedex Certificat Requ te authentifi e Logiciel nE de la i R ponse R ponse authentifi e commune I lt lt _ Configuration des points finaux Illustration 13 Proxy service web sedex_v4_0 4 hb fr 47 88 Manuel sedex V4 0 4 OFS sedex et registres 3 11 4 Acc s au Proxy service web Le proxy service web n identifie pas l appelant l aide de l ID sedex L appel peut donc en principe tre effectu depuis n importe quel ordinateur pouvant atteindre le proxy service web Il est du ressort de l exploitant de ce dernier de s assurer que seuls les acteurs autoris s utiliser des services web puissent atteindre le proxy service web Les capacit s du serveur sur lequel est install le proxy service web et l adaptateur sedex pour raient tre insuffisantes en fonction du nombre et de la taille des appels de services Si une gran de charge est envisag e il est conseill de pr voir un serveur d di au proxy service web 3 11 5 Services web compatibles Les services web suivants acceptent l authentificat
7. lt enve lope gt Quittance par rapport au message 2 g n r e par l adaptateur de OFS lt xml version 1 0 encoding UTF 8 gt lt receipt xmins http www ech ch xmlns eCH 0090 1 xmIns xsi http www w3 org 2001 XMLSchema instance version 1 0 gt lt eventDate gt 2011 01 21T13 15 00Z lt eventDate gt lt statusCode gt 100 lt statusCode gt lt statusInfo gt Message correct transmitted lt statusInfo gt lt messageId gt 13 lt messageld gt lt messageType gt 99 lt messageType gt lt messageClass gt 2 lt messageClass gt lt senderid gt 3 CH 1 lt senderId gt lt recipientid gt 1 2581 1 lt recipientId gt lt receipt gt Message 3 r ponse de l OFS la commune d Olten lt xml version 1 0 encoding UTF 8 gt lt envelope xmins http www ech ch xmlns eCcH 0090 1 xmIns xsi http www w3 org 2001 XMLSchema instance version 1 0 gt lt messageld gt 48 lt messageld gt lt messageType gt 99 lt messageType gt lt messageClass gt 1 lt messageClass gt lt referenceMessageld gt 550e8400 e29b 11d4 a716 446655440000 lt referenceMessageld gt lt senderId gt 3 CH 1 lt senderiId gt lt recipientid gt 1 2581 1 lt recipientId gt lt eventDate gt 2010 12 31T00 00 00 lt eventDate gt lt messageDate gt 2011 01 22T06 00 00 lt messageDate gt lt enve lope gt Quittance par rapport au message 3 g n r e par l adaptateur de OFS lt xml version 1 0 encoding
8. Dans l Explorateur Windows double cliquer sur le certificat pour lequel la date d expiration doit tre d couverte 2 Assistant Importation de certificat Bienvenue Cet Assistant vous aide copier des certificats des listes de certificats de confiance et des listes de r vocation de certificats depuis votre disque vers un magasin de certificats Un certificat mis par une Autorit de certification est une confirmation de votre identit et contient des informations utilis es pour prot ger vos donn es ou tablir des connexions r seau s curis es Le magasin de certificats est la zone syst me o les certificats sont conserv s Pour continuer cliquez sur Suivant DETTES Ecran d introduction Cliquer sur Suivant 3 Assistant Importation de certificat Fichier importer Sp cifiez le Fichier 4 importer Nom du Fichier certificats 3 CH 213 CH 2 p12 Remarque plusieurs certificats peuvent tre stock s dans un seul Fichier aux formats suivants change d informations personnelles PKCS 12 PFX P12 Standard de syntaxe de message cryptographique Certificats PKCS 7 p7b Magasin de certificats s rialis s Microsoft sst lt Pr c dent Suivant gt Annuler Le certificat choisi est affich par d faut Cliquer sur Suivant sedex_v4 0 4 hb fr 77 88 Manuel sedex V4 0 4 OFS sedex et registres 4 Assistant Importation de certificat Mot de passe Pour mainteni
9. UTF 8 gt lt receipt xmins http www ech ch xmIns eCcH 0090 1 xmIns xsi http www w3 org 2001 XMLSchema instance version 1 0 gt lt eventDate gt 2011 01 22T14 13 02Z lt eventDate gt lt statusCode gt 100 lt statusCode gt lt statusInfo gt Message correct transmitted lt statusInfo gt lt messageld gt 48 lt messageld gt lt messageType gt 99 lt messageType gt lt messageClass gt 1 lt messageClass gt lt senderid gt 3 CH 1 lt senderId gt lt recipientid gt 1 2581 1 lt recipientId gt lt receipt gt sedex_v4 0 4 hb fr 45 88 Manuel sedex V4 0 4 OFS sedex et registres Le diagramme de s quence suivant illustre le sc nario de livraison pr sent ci dessus gt _ Contr le des Adaptateur Seweirsedex Adaptateur Service de habitants Olten sedex Olten sedex OFS validation OFS Message 1 Message initial livraison la statistique po aaa ee SSS ae eee y Message 1 Quittance technique du message initial a L Message 2 Message de r ponse quittance m tier SSS SS eas Message 2 Quittance technique du message de r ponse quittance m tier Message 3 Message de r ponse rapport de validation ns a ee eee eee Message 3 Quittance technique du message de r ponse rapport de val Illustration 12 Echange de donn es entre le contr le des habitants de la ville de Olten et l OFS sedex_v4_0_4 hb fr 46 88 Manuel sedex V4 0 4 OFS sedex et registres 3 11 P
10. e l aide d un param tre ad quat dans le fichier de configuration du client sedex voir docu ment 7 Lorsqu une erreur permanente se produit ladaptateur g n re imm diatement une quittance d envoi n gative 3 9 6 Calcul de la date de p remption d un message codes de statut 203 204 et 701 Les messages doivent tre retir s par l adaptateur destinataire dans un d lai d un mois Est d terminant l l ment eCH 0090 envelope messageDate ind pendamment de la date d envoi ef fective Pour cette raison sedex proc de aux validations suivantes e Lors de l envoi du message messageDate ne doit pas tre plus petit que la date actuelle moins 30 jours gt code de statut 203 Message too old to send l adaptateur metteur e Sur le serveur messageDate est gal la date actuelle moins 23 jours code de statut 701 Message expires soon l adaptateur metteur e Sur le serveur messageDate est gal la date actuelle moins 30 jours gt code de statut 204 message expired l adaptateur metteur Le code de statut 701 a valeur d avertissement pour l metteur qui il donne la possibilit d in tervenir le cas ch ant aupr s du destinataire pour que celui ci r ceptionne le message ou v rifie le fonctionnement de son adaptateur Si apr s l envoi l metteur re oit le code de statut 204 au lieu de 100 le message ne peut plus tre t l charg par le r cepteur Le cas ch
11. es sur des r seaux non prot g s 7 2 Vue d ensemble du syst me sedex Lors de la communication avec la plateforme sedex les composants suivants fonctionnent en semble Application Application pp LA r ceptrice mettrice emau emau Le message n est pas chiffr Le message est chiffr et sign Le message n est pas chiffr Illustration 20 Composants de la plateforme sedex La transmission d un message est r alis e de mani re asynchrone 1 L application mettrice inscrit les donn es transmettre dans un fichier du syst me local 2 L adaptateur de l metteur prend le fichier le signe avec sa cl priv e chiffre les donn es uti les avec la cl publique du r cepteur et transmet le tout sedex Le syst me sedex stocke les donn es transmises tel qu il les a re ues c est dire chiffr es 3 L adaptateur du r cepteur v rifie intervalles r guliers si des messages son attention sont d pos s aupr s de sedex Si c est le cas il r cup re ces messages 4 L adaptateur du r cepteur d chiffre les donn es avec la cl priv e du r cepteur v rifie la si gnature de l metteur et d pose le message re u comme fichier dans le syst me local 5 Avant tout traitement le message re u peut encore faire l objet de v rifications suppl mentai res par le r cepteur par ex recherche de virus etc 6 L application r ceptrice lit le fich
12. l enveloppe ne peut pas tre valid e par rapport au sch ma eCH 0090 gt Status code 200 l adaptateur n est pas en mesure d en extraire les ventuelles informations qu elle peut contenir sur l metteur le r cepteur etc C est galement le cas pour les messages re us dont le fichier d enveloppe n est pas compatible avec la version de sch ma correspondant l adaptateur r cepteur Dans ce cas l adaptateur va produire une seule quittance quel que soit le nombre de r cepteurs mentionn dans l enveloppe Cette quittance a les valeurs indiqu es ci apr s L adaptateur essaie si possible d identifier le messagelD pour simplifier l analyse de l erreur Si cela n est pas possible le nom du fichier d enveloppe est joint dans l l ment statusinfo En r sum la quittance du statut 200 contient les l ments suivants Nom de l l ment Valeur Condition Date heure actuelles oS SS statusCode foo EE statusinfo Invalid envelope syntax messageld lt gt 0 Ss Invalid envelope syntax found in messageld 0 file of messageld messageld pas trouv dans l en veloppe lt gt 0 messageld trouv dans l enve loppe messageType fo messageClss jo S OS sendera oseo y OS Lrecipientid o sedexo OS 3 9 4 Gestion des doublons en mati re de message ID statut 201 L adaptateur sedex garanti l unicit du message ID jusqu l arriv e du message son destinatai re En effet l a
13. sch ma XML eCH 0090 xsd et contenant un l ment eCH 0090 receipt La quittance d envoi informe si le message a bien t r ceptionn par l adaptateur du r cepteur respectivement si une erreur de transmission a ventuellement eu lieu La quittance n est cependant pas une confirma tion que le r cepteur a bien trait le message Pour ce faire les applications doivent convenir de quittances m tier sp cifiques entre eux Les versions 1 0 et 2 0 du sch ma eCH 0090 peuvent tre utilis es pour la quittance sedex_v4 0 4 hb fr 23 88 Manuel sedex V4 0 4 OFS sedex et registres Enveloppe E 4 ss Es FF Application Adaptateur Adaptateur Application mettrice metteur r cepteur r ceptrice Enveloppe Enveloppe Donn es unies Donn es utiles T Illustration 8 D roulement de l envoi Confirmation de r ception Quittance Donn es utiles J 3 2 1 R pertoires d interface Le client sedex n cessite un certain nombre de r pertoires pour pouvoir fonctionner Seulement quatre r pertoires sont sp cifiquement destin s l change des messages envoi r ception et la gestion des quittances Selon la version de l adaptateur les r pertoires se trouvent la
14. toires il peut lire les messages qu il a re us partir de fichiers enregistr s dans l autre r pertoire Les quittances d envoi du syst me sont galement transmises sous forme de fichiers Un adapta teur s occupe d assurer le transport via le syst me sedex voir Illustration 1 Interface entre appli cation et syst me sedex Outre la fonction centrale de sedex qui consiste garantir l change asynchrone s r et fiable d importants volumes de donn es sedex g re les appels synchrones vers les services web qui acceptent les certificats d authentification de participants sedex voir chapitre 3 11 Sortie sis Adaptateur Application clo Entr e Illustration 1 Interface entre application et syst me sedex 1 Concentrateur Hub applications Spoke Voir aussi http fr wikipedia org wiki Hub_and_spoke Voir aussi http en wikipedia org wiki Request response sedex_v4_0 4 hb fr 10 88 Manuel sedex V4 0 4 OFS sedex et registres 2 2 Composants de l architecture 2 2 1 Vue d ensemble L illustration ci apr s donne une vue d ensemble de l architecture globale de sedex File Upload En J manual SIS HTTPS sedex Participant gt sedex Client Y 2 File Upload manual p Admin PKI Org Certificates WebDav Web App WebService Proxy SOAP ETL f r BO Reports Env
15. 2 4 D finition du routage Renseignez vous aupr s des responsables du r seau informatique communal et ou cantonal quant au canal a utiliser pour les donn es sedex e Le serveur sedex peut il tre atteint par Internet e Le serveur sedex doit il tre atteint via un proxy cantonal e Le serveur sedex doit il tre atteint via le r seau KOMBV KTV sedex_v4 0 4 hb fr 58 88 Manuel sedex V4 0 4 OFS sedex et registres 4 4 2 5 V rification de la configuration r seau Afin de v rifier si des changements sont effectuer dans votre configuration r seau en fonction de la d cision prise au chapitre 4 4 2 4 on peut demander au syst me de fournir l adresse IP du serveur sedex sur la base de l URL e D marrer la console de commande e Entrer la commande nslookup www governikus admin ch ct C WINDOWS system32 cmd exe Microsoft Windows XP Version 5 1 26661 lt C gt Copyright 1985 2661 Microsoft Corp C Dokumente und Einstellungen r k chli gt nslookup www governikus admin ch Server bunsi admin ch Address 131 162 166 116 Nicht autorisierte Antwort Name wu governikus admin ch Address 162 23 95 77 Illustration 18 Exemple de ligne de commande MS DOS Windows lorsque l on passe par le r seau KOMBV michelgentile mg1 Fichier dition Affichage Terminal Aide michelgentile mg1 nslookup www governikus admin ch 192 168 1 1 192 168 1 1 53 Non authoritative answer Name www governikus
16. 8 4 3 TOFS recommande d utiliser le renouvellement automatique du certificat 4 6 2 Renouvellement automatique L adaptateur d clenche de lui m me le renouvellement entre 60 et 90 jours avant la date d expiration Pour des raisons de planification les administrateurs sedex c a d OFS ont gale ment la possibilit de d clencher le renouvellement Le processus de renouvellement automatique est d crit dans le chapitre 8 4 2 La seule interven tion manuelle consiste pour les administrateurs sedex confirmer le renouvellement L OFS surveille l installation correcte du nouveau certificat et contacte le cas ch ant le partici pant il peut galement s agir du fournisseur ou de l exploitant sedex_v4 0 4 hb fr 61 88 Manuel sedex V4 0 4 OFS sedex et registres 4 6 3 Renouvellement manuel Le renouvellement manuel correspond fondamentalement au processus de premi re installation du certificat d organisation 8 4 1 Le nouveau certificat doit tre sollicit aupr s du service client le voir chapitre 5 1 Par d faut l OFS livre le certificat et le mot de passe au participant Si le certificat doit tre livr un fournis seur ou un exploitant il est n cessaire d indiquer l adresse email de livraison lors de la comman de Le participant est responsable de l installation du certificat L installation manuelle n cessite un red marrage de l adaptateur une fois le renouvellement termin La p riode entre
17. La quittance d envoi est d pos e dans le r pertoire Receipts L adaptateur voir Illustration 1 Interface entre application et syst me sedex assure la transmis sion via le systeme sedex Un message est toujours constitu de deux fichiers e Un fichier correspondant l enveloppe Le fichier de l enveloppe est un document XML correspondant au sch ma XML eCH 0090 xsd et comportant un l ment eCH 0090 envelope L adaptateur sedex v rifie le contenu de l enveloppe du point de vue syntaxique respect du sch ma XML et sur le plan s mantique par ex examiner si l adresse est correcte etc Seule la version 1 0 du sch ma XML eCH 0090 peut tre utilis e pour l enveloppe e Un fichier contenant les donn es utiles Le fichier des donn es utiles peut contenir des donn es de toutes sortes L adaptateur sedex ne proc de aucun contr le du contenu du fichier des donn es utiles Il revient l metteur de v rifier et de garantir que le contenu du fichier soit correct respectivement au r cepteur d en v rifier le contenu avant tout traitement ult rieur Si une application souhaite envoyer plusieurs fichiers dans un seul message il peut le faire en recourant un fichier zipp ou sous une autre forme compact e Le type de compactage utilis doit tre r gl entre les applications qui sou haitent changer des donn es Une quittance d envoi ou simplement quittance consiste en un document XML correspondant au
18. The given envelope is not valid Please make sure that this envelope corresponds to the XML schema eCH 0090 Reason reason A20002 The message cannot be sent as the envelope and the content file cannot be found in folder folder A30000 The participant does not have sufficient credentials to send a message with this mes sage type A30001 The participant does not have sufficient credentials to receive a message with this message type A30002 The participant does not exist this happens when the participant has not been activat ed or if he is unknown in the sedex system A30003 The authorization check failed for following reason Statusinfo from eCH 0090 Receipt A30004 The organization certificate renewal process cannot take place as the participant has a test ID A40000 Some of the addresses URL URL that are needed in order to communicate with the server are not available A40001 There is an unreadable HTTPS answer This is usually caused by an unexpected re sponse from the server e g a HTML response generated by a web proxy or if a net work component changed the request A40002 The server received an invalid OSCI request This is usually caused by a corrupted request from the client e g when using an old transport certificate or if a network com ponent changed the request A40003 There is an unreadable OSCI answer This is usually caused by an unexpected re sponse from the server e g a HTML respon
19. Types de tests 6 1 1 Tests sedex L OFS offre la possibilit aux fournisseurs de tester ind pendamment du type de message si l application e construit les messages de mani re syntaxiquement correcte e construit l enveloppe correctement e fournit un fichier de donn es m tier e est capable de d livrer l adaptateur sedex le message correctement respectivement si l application est capable de r cup rer correctement un message re u par l adaptateur sedex e permet de tester si les r gles d autorisation et de routage ont t saisies correctement par l OFS L accent est mis ici sur la communication entre deux adaptateurs sedex L interface vers l applica tion participante ne doit pas tre disponible et le contenu des donn es m tier ne joue aucun r le Le chapitre 6 3 d crit les particularit s concernant la constitution du fichier d enveloppe 6 1 2 Tests End to End Dans la mesure o le coordinateur du domaine sp cialis l a pr vu il est possible d effectuer des tests entre deux syst mes finaux participants De mani re g n rale on appliquera la proc dure suivante e envoi r ception de messages sedex normaux par des instances de test sp ciales e envoi r ception de messages test sedex sp ciaux par des instances normales Il revient au coordinateur du domaine sp cialis de d terminer la forme dans laquelle les tests E2E sont r alis s Dans l optique d une auto certification de l applicati
20. adaptateur chiffr avec le certificat du destinataire et transmis au serveur sedex 6 Les fichiers du message sont d plac s dans le r pertoire sent lt V4 0 ou processed 2 V4 0 pour archivage ind pendamment de l tat d envoi 7 D s que le destinataire a t l charg le message l adaptateur g n re une quittance technique par destinataire avec le statut d envoi Cette quittance est mise disposition de l application mettrice par l interm diaire du r pertoire receipts 8 L application r cup re et interpr te la quittance Adaptateursedex h n n ao Le VW Serveur sedex Illustration 9 Processus d envoi Si le destinataire envoie une r ponse en retour l metteur le d roulement d crit ci dessus se r p te l identique mais avec des r les invers s E L adaptateur tablit galement des quittances de mise jour de statut et des avertissements pendant le processus de transmission sedex_v4 0 4 hb fr 25 88 Manuel sedex V4 0 4 OFS sedex et registres 3 3 2 R ception d un message sedex Lors de la r ception d un message l adaptateur sedex effectue les traitements dans l ordre sui vant Surveillance de la boite postale sur le serveur sedex voir chapitre 3 14 T l chargement partiel du message dans le r pertoire temporaire Contr les de s curit signature chiffrement autorisation Poursuite du t l chargement dans le r pertoire temporaire
21. construit de la fa on suivante peut tre utilis sedex v4 0 4 hb fr 84 88 Manuel sedex V4 0 4 OFS sedex et registres 8 5 5 Logs du proxy service web 8 5 5 1 Le log technique wsproxy technical log G n ralit s Il ressemble au log que nous avions dans les versions pr c dentes du proxy service web lorsque celui ci tait d marr sans le wrapper Ce log contient la retranscription de tous les param tres de configuration sp cifiques ce compo sant sedex notamment la version les cronexpressions l tat actuel etc mais galement de pr cieuses informations en cas d erreur Langues Anglais principalement parfois allemand Formatage Exemples e D marrage premier enregistrement e Temps total de fonctionnement processus d arr t 8 5 5 2 Le log d acc s wsproxy access log G n ralit s Ce log mentionne tous les acc s requ tes effectu s par le proxy service web En cas d erreur p ex acc s refus celle ci est report e de mani re claire dans ce log en men tionnant les num ros d erreur correspondants A noter que les d tails d une erreur se trouvent dans le log technique Langues Exclusivement en anglais Formatage Exemples e Requ te CheckSedex 16 Pour davantage de d tails sur les champs consulter le tableau du point 8 5 7 2 sedex v4 0 4 hb fr 85 88 Manuel sedex V4 0 4 OFS sedex et registres gt https www sedex gw admin c
22. construit logiquement Le syst me sedex construit cet ID de participant sur la base de la liste des participants et du certificat qui est Vue d ensemble attribu a un participant concret L ID participant est une cha ne de caract res construite de la mani re suivante ID participant lt niveau institutionnel gt lt unit organisationnelle gt lt code de fonction gt 3 8 2 Niveaux institutionnels et unit s organisationnelles Les num ros des niveaux institutionnels d finissent un espace nominatif dans le domaine d adressage de sedex A l int rieur d un de ces niveaux institutionnels des unit s organisationnel les individuelles peuvent ensuite tre d finies Niveau Signification sedex Niveau r serv pour le syst me sedex Sert l adressage des services internes de sedex Commune D signe une commune Canton D signe un canton ration EBS Dir D signe l annuaire des partici pants Event Bus Suisse District D signe un district dans un canton Conf d ration D signe un office f d ral ou une application de la Conf d Institutions d assurances socia les Plage de valeur pour l unit organisationnelle Seule valeur possible sedex Les valeurs admises sont les num ros OFS des communes politiques selon 3 par ex 351 pour Berne Les valeurs admises sont les abr viations deux lettres des cantons selon 3 par ex SO pour So l
23. controller e sedex ID de l installation e Profil de l adaptateur voir chapitre 3 16 e Date d expiration du certificat d organisation e Date d expiration du certificat de mise jour e Pr sence des dossiers d interface e Connectivit avec le serveur sedex e Version de chaque archive AAR e Version du truststore du proxy service web e Dur e de fonctionnement de l adaptateur e Dur e de fonctionnement du proxy service web e Dur e de fonctionnement du controller Il existe deux possibilit s pour obtenir l tat du client sedex e Fichier monitoring e Appel HTTP sedex_v4_0 4 hb fr 50 88 Manuel sedex V4 0 4 OFS sedex et registres 3 15 1 Fichier monitoring Le fichier monitoring est g n r intervalle de 5 minutes par le controller sedex Le fichier est au format texte text plain et comporte les informations list es ci dessus Le fichier monitoring txt se trouve dans le r pertoire monitoring Par d faut la g n ration du fichier monitoring est activ e Il est possible de d sactiver le monito ring mais aussi de d finir l emplacement du fichier et l intervalle de v rification l aide des para m tres ad quats dans le fichier de configuration du client sedex voir document 7 CA rfp2010 adapters 3 CH 29 monitoring monitoring tt Notepad EE Fle Edit Search View Encoding Language Settings Macro Run T extFX Plugins Window x PIE sBeld DA ia e Balana BRizsavess E monitori
24. d erreur L illustration 5 montre l envoi d un seul message deux destinataires Ce sc nario est r alis lorsque l application mettrice mentionne explicitement plusieurs destinataires dans l enveloppe d envoi Emetteur Adaptateur R cepteur R cepteur B request receipt A receipt B T request l J l request T l l t L l l fe l eho oe ee Saal L adaptateur transmet le request aux deux r cepteurs il tablit une quittance pour chaque r cepteur Illustration 5 Envoi d un message a plusieurs destinataires sedex_v4_ 0 4 hb fr 15 88 Manuel sedex V4 0 4 OFS sedex et registres 2 4 Possibilit s de raccordement sedex Afin de pouvoir communiquer avec d autres syst mes et offices connect s au r seau sedex un logiciel appel adaptateur sedex est n cessaire La plateforme sedex diff rencie les participants sedex et l adaptateur sedex Il est ainsi possible de connecter plusieurs participants au r seau sedex a travers un seul adaptateur sedex Il existe deux possibilit s pour raccorder un participant p ex contr le des habitants office des poursuites etc au r seau sedex e Raccordement physique e Raccordement logique Quel que soit le type de raccordement choisi chaque participant et chaque adaptateur poss de un identifiant sedex sedex ID Dans la plupa
25. d extension des fonctions de sedex Le service client le transmet au service comp tent p ex sedex Rollout Management les de mandes qu il n est pas en mesure de traiter lui m me 5 1 2 Contact e T l phone 0800 866 700 E mail harm bfs admin ch e Web www registre stat admin ch gt Contact e FAQ www sedex ch gt FAQ sedex 5 2 Fournisseur Le fournisseur d une application participant a sedex assume les taches suivantes e D velopper tester et entretenir les fonctions des Use Cases trait s via sedex conform ment aux sp cifications d finies e D velopper tester et entretenir l interface entre l application et le client sedex conform ment au pr sent manuel e Planifier et mettre en uvre aupr s des clients le Rollout de la version n cessaire pour le trai tement des Use Cases via sedex le cas ch ant en collaboration avec un exploitant externe e Former et conseiller helpdesk les clients pour le traitement des Use Cases via sedex le cas ch ant en collaboration avec un exploitant externe 5 3 Participants Le futur participant sedex assume les t ches suivantes e Choisir le type de raccordement sedex direct ou indirect voir chapitre 2 4 e S annoncer sedex e Demander le certificat d organisation e Commander la version de l application requise pour le traitement des nouveaux Use Cases via sedex Ces t ches peuvent tre d l gu es au fournisseur ou l exploitant mandat par ce dernier
26. et pour tous les prestataires de services atteindre par l interm diaire du client sedex 4 4 2 7 Ouverture des ports Clarifiez avec les responsables de votre r seau informatique si les ports 80 HTTP et 443 HTTPS sont ouverts pour les connexions sortantes voir chapitre 4 4 1 3 4 4 3 Installation Un client sedex doit tre install par participant direct physique La partie responsable de cette installation est l organisation supportant le participant pour les questions informatiques L installation de l adaptateur se d roule de pr f rence en m me temps que l installation de la ver sion certifi e de l application participante 4 4 3 1 Configuration requise La configuration requise faisant foi est d crite dans le manuel d installation du client sedex voir document 7 qui se trouve galement sur le site Internet de OFS Les paragraphes ci dessous soulignent les points les plus importants Pour des performances optimales nous recommandons l utilisation d une machine quip e de processeur Dual Core ayant un minimum de 512 Mo de m moire vive RAM d di e aux com posants du client sedex Le client sedex n cessite la version 1 6 de java mise jour 1 43 Il est en outre possible de choisir parmi plusieurs profils d utilisation Les exigences minimales peuvent donc changer selon le profil choisi Plus d informations au sujet des profils au chapitre 3 16 4 4 3 2 Privil ges Durant son exploitation
27. heure d arriv e du message dans l adaptateur r cepteur ou heure laquelle une erreur de transmission s est produi te statusCode Statut du message ok ou Enum ration sur la base de Oui 1 code d erreur xsd int Valeurs possibles voir chapitre 3 9 statusinfo Texte d information sur le xsd string maxlength 255 code de statut Contient ven tuellement des informations sae possibles voir chapitre qui peuvent int resser les administrateurs du syst me messageld ID du message auquel la Idem que dans l enveloppe quittance se r f re messageType Type de message du messa Idem que dans l enveloppe Oui ge auquel la quittance se r f re messageClass Classe de message du mes Idem que dans l enveloppe Oui 1 sage auquel la quittance se r f re senderld Emetteur du message auquel Idem que dans l enveloppe Oui 1 la quittance se r f re recipientid R cepteur du message au Idem que dans l enveloppe A Oui 1 quel la quittance se r f re relever que dans la quittance appara t toujours le recipientld tel quil a t indiqu dans l enveloppe Et cela m me si l adaptateur achemine le messa ge un autre r cepteur sur la base des r gles de routing par ex une plateforme centralis e cantonale sedex_v4 0 4 hb fr 32 88 Manuel sedex V4 0 4 OFS sedex et registres Le document XML suivant montre un exemple de quittance d envoi d un message transmis avec l enveloppe d crite au chapitre pr c de
28. interf ren ces e G n rer le fichier des donn es utiles selon les conventions d criture dans le r pertoire cor respondant et y inscrire les donn es e G n rer le fichier de enveloppe sous forme de fichier temporaire dans le r pertoire corres pondant avec un nom qui n est pas identique au nom final de l enveloppe selon les conventions d criture par ex tmp lt processid gt xml Inscrire les donn es de l enveloppe dans le fichier e Renommer le nom du fichier de l enveloppe selon les conventions d criture sedex_v4 0 4 hb fr 27 88 Manuel sedex V4 0 4 3 6 Contenu de l enveloppe L enveloppe d un message sedex contient les l ments suivants conform ment au sch ma XML eCH 0090 Nom de l l ment messageld messageType sedex_v4 0 4 hb fr Signification Application mettrice Cet ID est attribu par l application mettrice Le message ID doit tre univoque dans le contexte de celle ci ll permet l application mettrice de corr ler un message avec sa r ponse Si plusieurs applications se partagent un adaptateur une convention de distribution des mes sages ID doit exister entre les appli cations participantes notion de ran ge L unicit du couple sender ID mes sage ID doit tre g r e par l application mettrice Adaptateur sedex Dans le contexte du syst me sedex le couple Sender ID Message ID n est pas toujours univoque voir chapitre 3 9 4
29. l ment du client qui peut tre le controller sedex l adaptateur sedex ou le proxy service web sedex Controller Le controller sedex est charg de garantir la bonne marche de l adaptateur et du proxy service web en red marrant le cas ch ant les composants Fournisseur Fournisseur de logiciel respectivement son repr sentant pour l installation partenaire de distribution HPSA Adaptateur sedex haute performance Adaptateur sedex 3 0 Participant ID Identification explicite utilis e pour l adressage des participants dans l interconnexion sedex Synonyme de sedex ID sedex ID Synonyme pour Participant ID KOMBV KTV R seau de communication reliant les administrations f d rales et cantonales Liste des participants Liste technique dans laquelle sont r pertori s les participants atteignables via sedex Liste des services admi nistratifs Liste des services administratifs qui peuvent tre atteints via sedex La liste des services administratifs est provisoirement g r e par OFS Log Fichier contenant les v nements journalis s par le client se dex OFS Office f d ral de la statistique Participant Un syst me logiciel par ex le syst me d un service administra tif qui est atteignable via l interconnexion sedex Participant actif Un participant qui peut envoyer et recevoir des messages Participant inactif Un participant qui ne peut ni
30. le sedex ID du participant ne correspond pas au se dex ID de l adaptateur comme il pourrait y avoir plusieurs participants pour un m me adaptateur une diff rence est faite entre le participant et l adaptateur L adaptateur utilis dans le cadre d un raccordement logique est le m me que celui qui est utilis pour les raccordements physiques II ne propose donc qu une seule entr e pour les messages envoyer et une seule sortie pour les messages re us alors qu il pourrait y avoir plusieurs parti cipants logiques utilisant ce m me adaptateur La mise disposition des messages entrants et la r colte des messages sortants doit tre prise en charge par le centre de calcul ou le canton met tant disposition cet adaptateur commun Cette t che est en g n ral ex cut e par un programme un dispatcher Les participants sedex 3 4 et 5 dans l illustration suivante sont des participants logiques Les fl ches entre ces participants sedex et l adaptateur correspondant repr sentent le dispatcher Participant Participant Participant sedex 3 sedex 4 sedex 5 ID 1 3 1 ID 1 4 1 ID 1 5 1 a T Of Ts C ve wee CD e CJ e ste Dispatcher ma inbox CO outbox Tt ae Serveur sedex Illustration 7 Exemple de participants logiques Le dispatcher distribue le courrier entrant au participant sur la base du destinataire Recipient ID indiqu dans l enveloppe sedex de la m me mani re que le service postal d une entr
31. mandat l Office f d ral de l informatique et de la t l communication OFIT pour la partie de l exploitation sedex Dans ce cadre l une SLA Service Level Agree ment a t conclue entre l OFS mandataire et l OFIT prestataire de service pour l exploitation de sedex dont les principaux points sont Disponibilit du syst me 96 P riode de service lundi au vendredi de 7h00 18h00 R paration de d rangement 5 heures Des informations quant aux fen tres de maintenance pr vues des interruptions constat es et de l tat actuel du syst me sont disponibles sur le site Internet de l OFS 4 9 Frequently Asked Questions FAQ Une foire aux questions a t mise en ligne sur le site Internet de l OFS et sera mise jour r gu li rement En cas de probl me nous vous recommandons de consulter la documentation en ligne avant de contacter le service client le de OFS A http www sedex ch gt Exploitation 12 http www sedex ch gt FAQ sedex sedex_v4_0 4 hb fr 63 88 Manuel sedex V4 0 4 OFS sedex et registres 5 Competences 5 1 Service client le de l OFS 5 1 1 Prestations L OFS g re un service client le contacter pour les questions suivantes e Annonce de nouveaux participants modification des autorisations ou du routage pour les parti cipants existants e Questions relatives l tat de fonctionnement de sedex et au statut des messages e Demande de modification ou
32. r alis s au moyen de participants de test sender ID re cipient ID T le fichier d enveloppe ne diff re pas des messages normaux sauf pour l identifi cation de l metteur et l identification du destinataire Lorsque des participants productifs sont utilis s pour les tests E2E o il n est pas possible de d finir un indicateur de test le fichier d enveloppe peut tre compl t par l l ment XML eCH 0090 envelope testData voir chapitre 3 6 Cet l ment XML permet de joindre un nombre illimit de param tres de test accompagn s de toutes les modalit s possibles Les param tres et leurs modalit s doivent tre d finis par le coor dinateur du domaine sp cialis 6 4 Int gration L impl mentation des applications dans l environnement de production ne peut tre faite par les fournisseurs que lorsqu ils ont accompli avec r ussite le test et achev la proc dure d auto certification voir chapitre 4 2 sedex_v4 0 4 hb fr 67 88 Manuel sedex V4 0 4 OFS sedex et registres 7 S curit 7 1 Principes de base des r flexions concernant la s curit La s curit des donn es transmises doit tre maximale dans le cadre de sedex Les principales exigences concernent la confidentialit l int grit et l assurance de la provenance authenticit Ces exigences doivent tre assur es de bout en bout end to end de la transmission entre l metteur et le r cepteur m me si les donn es sont envoy
33. racine de l installation ou dans un sous r pertoire Client sedex lt V4 0 e outbox les messages a envoyer e inbox les messages re us e sent les messages trait s e receipts les quittances sedex Client sedex 2 V4 0 e interface outbox les messages envoyer e interface inbox les messages re us e interface processed les messages trait s e interface receipts les quittances sedex sedex_v4_0 4 hb fr 24 88 Manuel sedex V4 0 4 OFS sedex et registres 3 3 Echange de messages 3 3 1 Envoi d un message sedex Lors de l envoi d un message l adaptateur sedex effectue les traitements dans l ordre suivant 1 L metteur transmet son message compos d une enveloppe et d un fichier de donn es utiles l adaptateur en vue de l envoi L application place les fichiers dans le r pertoire de sortie de l adaptateur r pertoire outbox 2 L adaptateur balaye en permanence intervalle de 30 secondes le dossier outbox polling d tecte le message valide l enveloppe par rapport au sch ma XML et stocke le message dans le r pertoire messagestorage lt V4 0 ou sedextempmessage 2 V4 0 3 Connexion au serveur sedex pour contr ler les donn es des participants actifs certificat au torisation etc 4 Les fichiers du message sont d plac s dans le r pertoire temporaire de l adaptateur en vue de l envoi et segment s le cas ch ant message gt 5 Mo 5 Le message est sign par l
34. req endpoint Point de destination URL du service web Indication Tous les espaces sont remplac s par des underscores _ req method Nom de la m thode du service web qui est appel dans la requ te orig req Point d origine URL sur le proxy service web Indication Tous les espaces sont remplac s par des underscores _ optional A l avenir diff rents champs s ajouteront ici fields sedex_v4 0 4 hb fr 88 88
35. tente Proposition eon Ai et on cs ae pet O Proposition nad ae QO Login gt OQ D ifinition du r le du technicien Q Q Proposition de TT Q D livrance Cr ation du certificat Publication Pa Om QO Download QQ E Mail mot de passe a t Installation _ _Q _ Illustration 21 Processus standard de distribution centralis e des certificats d organisation sedex_v4_0 4 hb fr 75 88 Manuel sedex V4 0 4 OFS sedex et registres 8 4 2 Renouvellement automatique sd Automatisierte Zertifikatserneuerung Fi sedex sedex parScipant AdminPKI 1 Uses the sedex Vee ba lt p prenden A i administrator adapter z A O S sthe povisoning 1 to comm unicate with sedex adminzimint cElificate ama adapter to participant adapters H i a T communicate with i G i f participant adapters 1 iSet certificate chID CertificatePublished publishedCertld time i i i i i i i i 1 i f i f i f i f i i i 1 1 T 1 i 1 i i 1 i fe inttnteceniteatneneway 1 i CertificateRenewalRequesticertID chiD i i t 1 1 T i 1 f i f i i i checiPlaus bility 1 i 1 1 H L r 1 i 1 i RenewalAuthorizationRe ques
36. 0 libwrapper solaris x86 32 s0o wrapper d11 wrapper jar CEE sedexclient logs adapter controller wsproxy sedexclient monitoring monitoring txt inh Hla sedexclient sil sedex_v4 0 4 hb fr 22 88 Manuel sedex V4 0 4 OFS sedex et registres R pertoire Description Contenu Qi i adapter s1 ge Single Instance Lock qui controlier sil emp chent le double d marrage wsproxy sil d une application Temp Dossier temporaire utilis notam ment par l assistant d installation 3 2 Interface entre l application et l adaptateur L application mettrice et l application r ceptrice d nomm es ci apr s metteur et r cepteur sont compl tement s par es l une de l autre dans le syst me en interconnexion sedex La com munication entre elles est assur e par un change de message asynchrone dans lequel le sys t me sedex joue le r le d interm diaire L interface des applications m tier participant aux changes avec le syst me sedex consiste pour l essentiel en deux r pertoires abrit s par le syst me de fichier au moyen desquels les fichiers vont tre chang s L application m tier doit simplement pouvoir d poser les messages en voyer dans l un de ses r pertoires et lire les fichiers correspondant des messages re us dans l autre r pertoire Les quittances d envoi du syst me quittances techniques sont galement pr par es sous forme de fichiers
37. ClientDir controller conf 8 5 7 Annexes 8 5 7 1 Liste des erreurs du log d erreur Cat gories d erreur Le log d erreur affiche des informations d taill es et compr hensibles Pour permettre aux exploi tants de r agir de mani re ad quate un d faut des cat gories d erreur ont t introduites Les cat gories pr sent es ci dessous forment un sur ensemble des cat gories utilis es pour les quit tances sedex voir chapitre 3 9 1 Plage de num ro Cat gorie 20 000 29 999 Erreur de message appel service web permanente 30 000 39 999 Erreur d autorisation permanente 40 000 49 999 Erreur de transport temporaire 50 000 59 999 Erreur de l adaptateur webservice proxy temporaire 80 000 89 999 Erreur de l adaptateur webservice proxy permanente 90 000 99 000 Erreur de configuration de l adaptateur webservice proxy Exemple A80006 17 Rolled en anglais R criture circulaire des fichiers pr sents par d faut 1 fichier principal et 5 fichiers d archive sedex_v4 0 4 hb fr 86 88 Manuel sedex V4 0 4 OFS sedex et registres Liste des erreurs de l adaptateur La liste suivante pr sente les erreurs pr vues pour le log d erreur de l adaptateur sedex Num ro Erreur A20000 No payload was found Please join a payload to this envelope and retry again A20001
38. Confederazione Svizzera Confederaziun svizra Schweizerische Eidgenossenschaft s gt Conf d ration suisse 4 ge Nom du projet sedex Num ro de projet 5664 Document Man uel sedex Version 4 0 4 06 09 201 3 en travail en examen autoris pour l utilisation T 1 L ES Donn es dans WORD Titre Manuel sedex Date d enregistrement 06 09 2013 09 35 00 Nom du fichier sedex v4 0 4 hb fr Emplacement Auteur s OFS Commentaires Comp tences la diffusion d pend du statut coch ci dessus Auteurs Conception Rollout sedex Examen Approbation Stefan Podolak Utilisateurs Fournisseurs de logiciel Pour information Manuel sedex V4 0 4 OFS sedex et registres Suivi des modifications Version Date Nom ou r le Remarque 3 0 28 11 2008 Ralph K chli R vision totale suite la s paration du manuel 3 1 08 07 2009 Ralph K chli Diverses modifications selon les release notes 3 2 09 12 2009 Michel Gentile Diverses modifications selon les release notes 3 3 24 06 2010 Michel Gentile Diverses modifications selon les release notes 4 0 14 04 2011 Michel Gentile Diverses modifications selon les release notes 4 0 1 25 08 2011 Michel Gentile Diverses modifications selon les release notes 4 0 3 15 11 2012 Michel Gentile Diverses modifications selon les release notes 4 0 4 06 09 2013 Michel Gentile Modifications aux chapitres 1 2 2 1 2 3 3 10 4 4 3 1 4 7 1 8 1
39. Dans tous les cas il est recommand de coordonner les activit s avec le fournisseur puisque les parti cipants utilisent en principe sedex par l interm diaire d une application sp cialis e sedex_v4 0 4 hb fr 64 88 Manuel sedex V4 0 4 OFS sedex et registres 5 4 Coordination avec un domaine technique Par domaine technique on entend un domaine d utilisation clairement d fini dont certaines fonctions sont assur es par l interm diaire de sedex 5 4 1 T ches e Demander participer au comit de pilotage sedex e Documenter et publier les Use Cases trait s via sedex e Informer les fournisseurs concern s et les participants potentiels sedex par l interm diaire des Use Cases trait s via sedex e Coordonner les activit s n cessaires pour la mise en uvre des Use Cases via sedex 5 4 2 Coordinateurs actuels des domaines techniques Domaine technique Service de coordination Contr le des habitants OFS Harmonisation des registres Registre du commerce OFJ Domaine de direction Droit priv e LP OFJ Domaine de direction Services centraux OFAS OFAS Secteur Org et comptabilit AVS AI CSI Conf rence suisse des imp ts ASA 2011 OFAG Office f d ral de l agriculture ASTRA VU OFROU Office f d ral des routes OVF OVF Office v t rinaire f d ral RP Institution commune LAMal UDP ChF Chancellerie f d rale sedex_v4_0 4 hb fr 65 88 6 Test et int gration 6 1
40. Type de message Le type d finit la fonction d un paquet de donn es La plage de valeur disponible est divi s e en sous plages Les sous plages sont attribu s des domai nes m tiers pr cis La signification des diff rents types de messages est d crite dans le document 9 Avec la classe de message messa geClass le type de message d finit implicitement la cat gorie des don n es utiles du message type de fichier resp sch ma XML Avec le senderld et le recipientld le type de message est d terminant pour le routing du message OFS sedex et registres Oblig Nombre String correspondant a Oui 1 l expression r guli re a zA Z 0 9 1 36 Soit une chaine de carac t res de max 36 caract res pouvant comprendre des chiffres des lettres ou des traits d union La suite de signes est assez lon gue pour repr senter un UUID voir RFC 4122 un 64 bit integer ou un type de cl Exemple f81d4fae 7dec 11d0 a765 00a0c91e6bf6 0 2699999 sous ensemble de xs int 28 88 Manuel sedex V4 0 4 Nom de l l ment messageClass referenceMessageld senderld recipientid sedex_v4 0 4 hb fr Signification Classe de message D finit dans le cadre du type de message la signification du messa ge Les valeurs suivantes sont pr d finies 0 message Marque le messa ge initial 1 response Marque la r ponse un message 2 receipt Marque la q
41. a liste sedex n est AE 1 0 reachable pas atteignable _ NO NO _ _ _ _ sedex_v4 0 4 hb fr 40 88 Manuel sedex V4 0 4 OFS sedex et registres Sous Valeur Message Signification Source Depuis cat gorie correspondant 403 Logging service Le logging sedex n est AE not reachable pas atteignable Authorisation Le service d autorisa AE service notrea tion de sedex n est pas Adapter AE 1 0 Error pas envoyer les don n es car une erreur interne s est produite D autres informations sont rattach es ce message remplacer s Les d tails concernant ces erreurs figurent dans le log de l adaptateur Error during re Une erreur s est pro AR 2 0 ivi duite lors de la r cep tion du message que le r cepteur n a pas pu reconstituer Partial Message suc Le message a t re AE 2 0 Success cessfully sent mis avec succ s l interm diaire Warning Message expires L adaptateur r cepteur AE 2 0 a encore 7 jours pour t l charger le messa ge de l interm diaire La r ception de cette quittance qui confirme l envoi du message au serveur sedex est param trable Elle est toutefois d sactiv e par d faut sedex_v4 0 4 hb fr 41 88 Manuel sedex V4 0 4 OFS sedex et registres 3 9 3 Comportement en cas d enveloppe incorrecte statut 200 Si l application mettrice transmet l adaptateur une enveloppe qui n est pas correcte sur le plan de la syntaxe
42. admin ch Address 162 23 40 61 michelgentile mg1 Illustration 19 Exemple de ligne de commande Bash Linux lorsque l on passe par Internet Sous Linux la commande peut tre ex cut e en tant qu utilisateur normal Gr ce la r ponse le chemin utilis pour atteindre le serveur peut tre d termin e Adresse IP 162 23 95 77 Connexion via le r seau KOMBV e Adresse IP 162 23 40 61 Connexion via Internet Le cas ch ant des modifications devront tre apport es au serveur DNS voir chapitre 4 4 2 6 sedex_v4 0 4 hb fr 59 88 Manuel sedex V4 0 4 OFS sedex et registres 4 4 2 6 Organiser la configuration du serveur DNS Si le serveur sedex ne doit pas tre atteint directement par Internet mais travers un r seau cantonal et ou inter cantonal KOMBV KTV il est n cessaire de mandater les personnes respon sables du r seau correspondant dans le but d effectuer le routage correct A cette fin les indications suivantes doivent tre fournies e Adresse IP d o une connexion sera tablie avec le serveur sedex machine ou le client sedex est install Si un proxy est utilis c est l adresse du proxy qui est pertinente e Adresse IP du serveur sedex Cette indication est d pendante du choix de connexion et des r sultats obtenus au chapitre 4 4 2 5 L URL du serveur sedex doit pouvoir tre r solue conform ment au choix de connexion On effectuera la m me op ration pour tous les serveurs
43. airement d limit es sur le client sedex dans le but d assister les utilisateurs et les exploitants du client sedex Il ne s agit en aucun cas d un acc s distance RDP SSH Telnet VNC etc mais d un ensem ble de cinq commandes que l administration sedex peut le cas ch ant d poser aupr s de clients sedex Seul l administration sedex peut saisir ces commandes Les utilisateurs et exploitants du client sedex n ont pas la possibilit d utiliser cette fonctionnalit Le tableau suivant dresse une liste exhaustive des commandes disponibles Commande Description getconfig R cup ration de tous les fichiers de configuration du client sedex getlogs R cup ration des tous les fichiers logs du client sedex start D marrage de l adaptateur sedex et ou du proxy service web sedex stop Arr t de l adaptateur sedex et ou du proxy service web sedex update Mise a jour du client sedex 3 18 2 R cup ration de la configuration et des logs La r cup ration de la configuration et des logs est lanc e via une commande getconfig ou ge tlogs Pour pr server la s curit propos e par sedex le certificat n est pas transmis et les mots de pas se pr sent dans les fichiers de configuration sont masqu s 3 18 3 Mise jour La mise jour est lanc e via une commande update Pour plus de s curit les paquets de mise jour sont sign s num riquement ce qui emp che l installation de logiciel
44. ans certificat valable 7 6 1 1 Certificat d organisation de l adaptateur sedex Le certificat d organisation est celui qui est install sur la machine du client et qui est utilis par le client sedex Il sert signer et crypter les donn es envoy es et re ues par le participant physique de sedex Ce type de certificat est d livr par OFS lors de la cr ation et de la configuration initia le d un nouveau participant physique Certificats de test La fonctionnalit de renouvellement automatique des certificats n a pas t impl ment e pour les participants tests sedex Id commen ant par un TX XXX X Ce type de certificat qui a galement une dur e de 3 ans doit tre renouvel manuellement en collaboration avec OFS Pour ce faire la personne responsable du certificat doit faire une demande de prolongation l OFS Service client le de l harmonisation des registres harm bfs admin ch 60 jours avant l expiration des certificats La date d expiration peut tre trouv e tr s facilement par la personne responsable du certificat voir chapitre 8 4 4 Si aucune demande de prolongation du certificat de test n a t faite au service client le l OFS ne renouvellera pas le certificat Apr s la date d expiration il ne sera plus possible de transmettre des messages avec ce certificat sedex_v4 0 4 hb fr 70 88 Manuel sedex V4 0 4 OFS sedex et registres 7 6 1 2 Certificat de transport et truststores du serveur sede
45. ant on relancera la proc dure dans l application participante sedex_v4 0 4 hb fr 43 88 Manuel sedex V4 0 4 OFS sedex et registres 3 10 Exemples Ce chapitre donne des exemples d enveloppes et de quittances sedex sur la base de cas d utilisation concrets Pour des raisons de place il a t renonc dans ces exemples a mention ner les r f rences aux fichiers du sch ma XML xsi schemaLocation 3 10 1 Exemple livraison de la commune d Olten la statistique Dans l exemple suivant la commune d Olten sedex ID 1 2581 1 livre le 21 01 2011 avec un jour de r f rence fix au 31 12 2010 ses donn es OFS sedex ID 3 CH 1 Message 1 Livraison de l ensemble des donn es d Olten a IOFS eventDate d signe le jour de r f rence de la livraison messageDate d signe le moment de l laboration du message a desti nation de l OFS lt xml version 1 0 encoding UTF 8 gt lt envelope xmins http www ech ch xmlns eCH 0090 1 xmIns xsi http www w3 org 2001 XMLSchema instance version 1 0 gt lt messageId gt 550e8400 e29b 11d4 a716 446655440000 lt messagelId gt lt messageType gt 99 lt messageType gt lt messageClass gt 0 lt messageClass gt lt senderId gt 1 2581 1 lt senderiId gt lt recipientId gt 3 CH 1 lt recipientId gt lt eventDate gt 2010 12 31T00 00 00 lt eventDate gt lt messageDate gt 2011 01 21T12 34 56 lt messageDate gt lt enve lope gt Quittance par rapport au messag
46. cipant Les secteurs d activit s respectivement leur code de fonction sont d finis par domaine c est dire qu un m me code de fonction selon le domaine dans lequel il est utilis peut d signer un secteur d activit diff rent Actuellement les codes de fonction suivants sont attribu s 3 8 3 1 Domaine syst me Domaine Code de Secteur d activit Signification fonction o o Le syst me sedex oo dr o ooo Le syst me de monitoring sedex Pour les besoins exclusif du syst me sedex l OFS attribue des codes de fonction pour le domaine 0 sedex 3 8 3 2 Domaine communal Domaine Code de Secteur d activit Signification fonction aooo Registre des habitants RdH Informatique Statistique Administration fiscale a ie commune bourgeoise sedex_v4 0 4 hb fr 35 88 Manuel sedex V4 0 4 OFS sedex et registres Domaine Code de Secteur d activit Signification fonction ER EE yo gp cr amoier o O Les codes de fonction sup rieurs a 5 sont r serv s pour des fonctions d passant le niveau com munal A ce titre ils sont attribu s par l OFS 3 8 3 3 Domaine cantonal Domaine Code de Secteur d activit Signification fonction Registre des habitants RdH 2 informatique SS Statistique Registre du commerce Is Administration fiscale Administration militaire lg Office de poursuites Les codes de fonction 1000 a 26999 du domaine 2 canton sont r serv s pour des d velop
47. cipants l OFS Le futur participant ou son fournisseur de logiciels annonce le ou les nouveaux participant s via le coordinateur du domaine m tier au service client le de l OFS Cette annonce peut s effectuer par t l phone ou par e mail e T l phone 0800 866 700 e E mail harm bfs admin ch L annonce doit avoir lieu au plus tard deux semaines avant la date de raccordement souhait e Au del il n est pas garanti que le raccordement puisse tre effectu la date souhait e 4 4 Installation du client sedex Les explications suivantes ne concernent que les participants raccord s directement sedex Le client sedex est un terme qui regroupe le controller sedex l adaptateur sedex et le proxy servi ce web 4 4 1 Exigences en mati re de configuration r seau 4 4 1 1 Serveur Proxy Si les exigences ou besoins locaux exigent l utilisation d un serveur proxy les param tres cor respondants doivent tre renseign s dans les fichiers de configuration des diff rents composants du client sedex 4 4 1 2 Routeur Si les autorit s communales ou locales le souhaitent le flux de donn es adaptateur serveur peut transiter par le r seau cantonal et ou f d ral KOMBV KTV Cependant il faut noter que les caract ristiques de s curit de sedex permettent une communica tion via Internet sans risque 4 4 1 3 Pare feu Le pare feu doit tre configur de telle sorte autoriser les communications sortantes pour les port
48. comprend diff rentes informations concernant l tat et la surveillance des composants adaptateur et proxy service web des informations administratives version du controller sedex ID etc et quelques d tails sp cifiques au controller notamment les param tres des cronex pressions Langues Exclusivement en anglais Formatage Exemples e Sedex ID utilis e Signalement de la version du controller au serveur sedex INFO main 1 admin t sedex mtroller cor 8 5 4 Logs de l adaptateur 8 5 4 1 Log technique adapter technical log G n ralit s Contrairement aux trois autres logs d erreur de r ception d envoi celui ci ne comprend pas d informations permettant d identifier un message sedex Langues Anglais principalement parfois allemand Formatage Exemples e Chargement du profil premier enregistrement lors du d marrage 2012 05 11 15 57 39 3 main 14 Aussi date d ch ance du certificat chemin d installation du client sedex monitoring tat des interrup teurs indications sur le proxy service web module keepalive module agent 15 Une cronexpression expression cron est un param tre g n r par le programme cron Celui ci permet notamment d ex cuter des commandes un moment d termin Les param tres sp cifi s ne sont pas modifiables par l utilisateur du client sedex sedex_v4_0_4 hb fr 82 88 Manuel sedex V4 0 4 OFS sedex et registres 8 5 4 2 Log d e
49. daptateur n est pas r pertori dans la liste sedex ne peut se pro duire que dans des infrastructures centra lis es Le type de message mentionn dans l enveloppe n est pas connu 39 88 Manuel sedex V4 0 4 OFS sedex et registres Sous Valeur Message Signification Source cat gorie correspondant Invalid message La classe de message class s mentionn e dans l enveloppe n est pas connue i m Not allowed to Cet metteur n est pas send habilit envoyer ce F m gt m Not allowed to Ce r cepteur n est pas receive habilit recevoir ce message gt D Cela peut arriver lors qu apr s l envoi mais avant la r ception du message le routage de l AR ou l autorisa tion du r cepteur a t modifi User certificate Le certificat du partici not valide pant a t annul ou n est plus valable Other recipients Le message ne peut are not allowed tre envoy au desti to receive nataire car d autres destinataires gale ment list s dans l enveloppe ne sont pas habilit s recevoir ce message Message expired Remplac par 204 partir de la version 2 0 de l adaptateur Voir signification dans la version en question Message size Le message d passe exceeds limit la taille autoris e pour Transport 400 Network error Probl me g n ral de Error r seau OSCI hub not Aucune liaison avec AE reachable l interm diaire OSCI possible 402 Directory not L
50. daptateur stocke en m moire toutes les informations li es l enveloppe sedex jus qu l arriv e du message destination Tant que ce message est stock aucun autre message portant le m me message ID ne sera accept pour envoi et fera l objet d une quittance avec le statut 201 Apr s la g n ration de la quittance technique pour le message envoy il est possible de ren voyer un autre message comportant le m me identifiant Ce nouvel envoi est possible unique ment apr s l ex cution de la t che programm e destin e vider r guli rement la base de don n es interne de l adaptateur L intervalle d pend du profil choisi voir chapitre 3 16 sedex_v4 0 4 hb fr 42 88 Manuel sedex V4 0 4 OFS sedex et registres 3 9 5 Comportement lors d erreurs de r seau L adaptateur sedex distingue les erreurs permanentes des erreurs temporaires Les erreurs de connexion sont typiquement des erreurs temporaires Si une telle erreur se pro duit l adaptateur essaie r guli rement d envoyer le message durant la p riode configur e dans la retry period Ce n est qu l issue de ce laps de temps que l adaptateur va g n rer une quittance d envoi avec le statut d erreur de la cat gorie r seau network A partir de la version 4 0 les differents m canisme de retry ont t unifi s afin de rendre la dur e configurable La valeur par d faut pour la retry period est de 5 heures Cette valeur peut tre mo difi
51. domaine sp cialis peut exiger la certification de l application avant le raccor dement du premier participant ll revient au coordinateur de d terminer la forme et l objet de la certification qui figurent dans la documentation tablie pour le raccordement de l application sedex Pour le domaine de l harmonisation des registres la section SR de l OFS a opt pour l auto certification dont l objet est d crit sous 4 Chaque coordinateur peut d cider s il veut exiger une certification ou une auto certification pour son domaine 4 3 Annonce d un participant La participation sedex est conditionn e la certification par le fournisseur de l application par ticipante sedex voir chapitre 4 2 4 3 1 Pr parer l annonce Le futur participant et son fournisseur de logiciels collectent les informations n cessaires l an nonce e Nom et adresse e mail du participant e Nature et nom de l application avec laquelle les messages sedex seront tablis p ex registre de l tat civil Infostar e Type de raccordement sedex direct ou indirect cf chapitre 2 4 e En cas de raccordement indirect nom du r cepteur par d faut e En cas de raccordement direct adresse postale pour la livraison du certificat d organisation e D lai pour le raccordement e Nom et adresse e mail de la personnes charg e du raccordement sedex_v4 0 4 hb fr 54 88 Manuel sedex V4 0 4 OFS sedex et registres 4 3 2 Annoncer les parti
52. e 1 g n r e par l adaptateur sedex de la commune d Olten eventDate d signe le moment de la livraison du message OFS lt xml version 1 0 encoding UTF 8 gt lt receipt xmins http www ech ch xmlns eCH 0090 1 xmIns xsi http www w3 org 2001 XMLSchema instance version 1 0 gt lt eventDate gt 2011 01 21T12 45 00Z lt eventDate gt lt statusCode gt 100 lt statusCode gt lt statusinfo gt Message correct transmitted lt statusInfo gt lt messageld gt 550e8400 e29b 11d4 a716 446655440000 lt messagerd gt lt messageType gt 99 lt messageType gt lt messageClass gt 0 lt messageClass gt lt senderid gt 1 2581 1 lt senderId gt lt recipientId gt 3 CH 1 lt recipientId gt lt receipt gt sedex_v4 0 4 hb fr 44 88 Manuel sedex V4 0 4 OFS sedex et registres Message 2 quittance sp cifique de l OFS a la commune d Olten lt xml version 1 0 encoding UTF 8 gt lt envelope xmins http www ech ch xmlns eCH 0090 1 xmIns xsi http www w3 org 2001 XMLSchema instance version 1 0 gt lt messageld gt 13 lt messageIrd gt lt messageType gt 99 lt messageType gt lt messageClass gt 2 lt messageClass gt lt referenceMessageld gt 550e8400 e29b 11d4 a716 446655440000 lt referenceMessagelId gt lt senderId gt 3 CH 1 lt senderId gt lt recipientid gt 1 2581 1 lt recipientId gt lt eventDate gt 2010 12 31T00 00 00 lt eventDate gt lt messageDate gt 2011 01 21T13 00 00 lt messageDate gt
53. e bidirectionnelle ce qui veut dire qu il peut aussi bien faire fonction d metteur que de r cepteur de messages sedex L adaptateur envoie et re oit aussi bien des messages entre les applications communiquant avec sedex que des messages adminis tratifs c est dire des messages entre les adaptateurs respectivement entre l adaptateur et d autres composants de l infrastructure sedex par ex le serveur sedex Dans l architecture l adaptateur assume les t ches suivantes e Surveillance d un r pertoire dans le syst me de fichiers dans lequel l application mettrice inscrit les messages envoy s D s que l adaptateur d tecte un message celui ci est envoy e V rification des autorisations l application mettrice est elle habilit e envoyer des messages l application r ceptrice et recherche des informations n cessaires au routing d un messa ge certificats aupr s du serveur sedex e Envoi d un message au destinataire d sign selon les informations requises par le routing Le message est sign par l adaptateur chiffr avec les certificats du destinataire et en utilisant la biblioth que OSCI transmis l interm diaire OSCI e R p tition multiple de l envoi retry mechanism lorsqu un probl me technique surgit par ex des perturbations au niveau du r seau e Les messages volumineux sont segment s en vue de l envoi Ces segments sont remis en semble lors de la r ception Cette fa on de p
54. e l application participante et la plateforme de communication sedex Contient les librairies n cessaires l installation et au d marrage du client sedex en tant que service Contient les fichiers logs pour le controller sedex l adaptateur se dex et le proxy service web monitoring Contient le fichier d tat g n r par le monitoring du controller se dex OFS sedex et registres sedexclient adapter t axis2 bin certificate conf deploy eGovTmp h2db internalmessages ce ib schema sedexclient bin control ler Instal lAswinService bat controller start bat controller start sh control ler stop bat controller stop sh control ler Uninstal lwinService bat controller wrapper sh wrapper aix ppc 32 wrapper aix ppc 64 wrapper exe wrapper 1inux ppc 64 wrapper linux x86 32 wrapper 1inux x86 64 wrapper macosx ppc 32 wrapper macosx universal 32 wrapper solaris sparc 32 wrapper solaris sparc 64 wrapper solaris x86 32 EEE EN sedexclient controller backup t certificates conf download tib schema temp sedexclient interface inbox outbox processed receipts L sedextempmessage un D dexclient lib libwrapper aix ppc 32 a libwrapper aix ppc 64 a libwrapper linux ppc 64 libwrapper linux x86 32 libwrapper linux x86 64 libwrapper macosx ppc 32 jnilib libwrapper macosx universal 32 jnilib libwrapper solaris sparc 32 so libwrapper solaris sparc 64 s
55. e left A90006 Could not move test file from outbox to sedextempmessage folder Use parameter processingDir in file sedexadapter properties to define a new location for the sedextempmessage folder which is on the same disk as the outbox folder sedex_v4_0 4 hb fr 87 88 Manuel sedex V4 0 4 OFS sedex et registres Num ro Erreur A90007 Could not move test file from sedextempmessage to sent folder Use parameter sentltemsDir in file sedexadapter properties to define a new location for the sent folder which is on the same disk as the sedextempmessage folder A90008 The certificate configuration file is not readable given reason Reason Please make sure that this configuration file corresponds to the XML schema 8 5 7 2 Liste des champs du log d acc s du proxy service web Champ Description date Date de l enregistrement au format ISO 8601 YYYY MM DD Ex 2004 07 11 time Heure de l enregistrement au format ISO 8601 hh mm ss f Ex 16 43 16 234 duration Dur e de l appel Round Trip Time en millisecondes Ex 129 client Adresse IP du client qui appelle Ex 192 128 30 22 result code Code de r sultat chaine de caract res Exemples OK R ponse standard pour appels r ussis Fault HTTP Get Not Allowed Faute SOAP avec indication sur le type de faute req bytes Nombre de bytes de la requ te SOAP rsp bytes Nombre de bytes de la r ponse SOAP
56. e web doit pouvoir acc der au services web des diff rents prestataires de service UPI Services Les adresses suivantes sont n cessaire au proxy service web pour permettre l interrogation du service UPI e https wupi zas admin ch wupi_cc UPIQueryService e https wupi zas admin ch wupic cc UPICompareService CheckSedex L adresse suivante est n cessaire au proxy service web pour permettre l interrogation du service CheckSedex e https www sedex gw admin ch sedex runtime ws CheckSedexWebService 4 4 2 3 D termination du serveur Proxy Si le flux de donn es entre le client sedex et le serveur sedex doit transiter par un proxy les in formations suivantes sont n cessaires e URL du serveur Proxy p ex myhost at com e Port sur lequel le serveur Proxy peut tre atteint p ex 8080 ou 8088 Par la m me occasion il est souhaitable de savoir si acc s a ce proxy est ouvert ou si un login est n cessaire Dans le dernier cas les informations suivants vous seront utiles e Nom d utilisateur e Mot de passe Ces donn es qui doivent tre introduites dans les fichiers de configuration suivants peuvent tre obtenues aupr s du responsable de votre r seau informatique e adapter conf sedexAdapter properties e adapter conf wsproxy properties e controller conf sedexController properties L URL et le port peuvent galement tre d couverts par soi m me e D marrez votre navigateur p ex Windows Internet Explor
57. edex Client Installation and User Manual V 4 0 4 25 07 2013 http www sedex ch gt Clients sedex et documentation Office f d ral de l informatique et de la t l communication sedex Manuel d utilisation du proxy service web V 3 0 4 25 07 2013 http www sedex ch gt Clients sedex et documentation Office f d ral de la statistique Types de messages sedex f d raux et cantonaux V 3 0 1 25 07 2013 http www sedex ch gt Clients sedex et documentation 10 Office f d ral de l informatique et de la t l communication Handbuch f r EBS Teilbus Betreiber V 0 5 15 12 2010 11 Office f d ral de la statistique Release Notes client sedex V 4 0 4 25 07 2013 http www sedex ch gt Clients sedex et documentation sedex_v4_0 4 hb fr 7 88 Manuel sedex V4 0 4 1 5 Glossaire OFS sedex et registres Notion Signification Adaptateur El ment de liaison entre les applications participant a l interconnexion sedex et le syst me sedex Application Logiciel syst me d un registre participant l interconnexion sedex Cardinalit En parlant d un fichier de log pr cis d signe le nombre d enregistrement qui doivent tre crits dans ce fichier Client Le client sedex d signe l installation dans son ensemble com prenant le controller sedex l adaptateur sedex et le proxy servi ce web sedex ClientDir D signe le dossier d installation du client sedex Composant D signe un
58. elope Protocolling Routing pout end Reporting Validation Caller Enforcement ELEN Alarming O Message Type Authorisation Adapte Alarming Administration Enforcement Configurat Adapter Config Management Authorization Proxy Services and Routing Service Segmentation z Reassembly Status DB large Msg a Reliab Transp Transport Inbox polling Client Msg Status OSCI Data Store DBMS Update Service Tomcat Server Controller Client Admin Monitoring Update Sedex Architektur_V5 0 0 0 vsd Illustration 2 Architecture globale de sedex 2 2 2 Le serveur sedex Dans le cadre de l architecture globale de sedex le serveur sedex est responsable des t ches suivantes e pr paration de l information n cessaire pour le routing des messages e autorisation de la distribution des messages e enregistrement centralis protocole de l ensemble du trafic des messages 2 2 3 Liste des participants La liste des participants recense tous les participants connus dans l change par interconnexion sedex La liste des participants pr cise qui peut envoyer quels messages qui et comment Les participants peuvent tre actifs ou inactifs Seuls les participants actifs peuvent envoyer et rece voir des messages sedex_v4 0 4 hb fr 11 88 Manuel sedex V4 0 4 OFS sedex et registres 2 2 4 L adaptateur sedex L adaptateur fonctionne de mani r
59. entiel univoque attribu par l adaptateur L adaptateur tablit une quittance d envoi pour chaque r cepteur explicitement mentionn dans l enveloppe et a qui il a envoy un messa ge Lorsque deux r cepteurs sont mentionn s dans l enveloppe l metteur re oit donc deux quit tances d envoi L adaptateur r cepteur tablit les fichiers suivants lorsqu il re oit un message L enveloppe en tant que fichier envl_M xml Les donn es utiles en tant que fichier data M xxx gt M repr sente un code alphanum rique s quentiel univoque g n r par l adaptateur de r cep tion La corr lation entre l enveloppe et les donn es utiles est donn e par l attribution de codes s quentiels alohanum riques identiques Lors du transport les noms de fichiers ne sont pas conserv s Seule l extension de fichier du fichier des donn es utiles est conserv e car elle d signe le type de fichier Si une application a besoin de ce nom de fichier pour une raison quelconque le fichier original doit alors tre transmis sous forme de fichier zipp 3 5 Mise disposition de messages Un message est consid r comme pr t l envoi de l metteur l adaptateur d mission respec tivement au traitement ult rieur de l adaptateur de r ception au r cepteur lorsque le fichier de l enveloppe est d pos dans le r pertoire correspondant La strat gie suivante ind pendante de la plateforme doit tre utilis e pour viter des
60. envoyer ni recevoir des messages Participant logique Participant mentionn dans la liste des participants sedex mais qui ne dispose ni d un adaptateur ni d un certificat indivi sedex_v4 0 4 hb fr 8 88 Manuel sedex V4 0 4 OFS sedex et registres Notion Signification duel Un participant physique qui agit pour le compte d un parti cipant logique g re les transferts de messages entrant et sor tant pour ce participant logique Participant physique Participant mentionn dans la liste des participants a sedex et qui dispose d un adaptateur sedex et d un certificat individuel Proxy service web Le proxy service web permet aux utilisateurs de services web d utiliser localement un protocole non s curis pour effectuer des requ tes aupr s d un prestataire de service s curis RdH Registre des habitants Wrapper Logiciel permettant de d marrer le client sedex en tant que ser vice Windows sedex_v4_0 4 hb fr 9 88 Manuel sedex V4 0 4 OFS sedex et registres 2 Architecture sedex 2 1 Introduction L architecture de sedex est bas e sur le concept d applications reli es de mani re libre qui changent des messages asynchrones en interconnexion avec une plateforme d change de donn es On parle dans ce cas d une architecture hub and spoke concentrateur et rayonne ment Les sc narios de communication disposition sont les suivants e request rep
61. eprise distri bue le courrier aux employ s concern s en fonction du nom indiqu sur l enveloppe Aucun dispatcher n est propos par l OFS ou l OFIT Les centres de calculs et les cantons int ress s proposer un tel service peuvent d velopper une solution sur mesure ou acqu rir une solution disponible sur le march L exploitant de l adaptateur sedex r pond de la s curit des donn es entre les participants logi ques et l adaptateur sedex et veille ne pas permettre un participant A l acc s aux donn es envoy es ou re ues par un participant B sedex_v4 0 4 hb fr 17 88 Manuel sedex V4 0 4 OFS sedex et registres Ce type de raccordement est id al pour des centres de calcul d sirant proposer une connexion a sedex sans pour autant devoir exploiter plusieurs adaptateurs sedex Les participants connect s de cette mani re a sedex n changent en g n ral que peu de messages sedex 2 4 3 Ind pendance l gard de l adressage des messages Il est important de garder l esprit que le type de raccordement d un participant n a aucune in fluence sur l adressage des messages En effet les l ments sender ID et ou recipient ID de l enveloppe voir chapitre 3 6 peuvent le cas ch ant tre des participants logiques Les r gles de routage du serveur sedex assurent la livraison des messages aux destinataires corrects Un participant exp diant un message ne doit donc pas savoir si le destinataire est un pa
62. er Firefox La description suivante se r f re Internet Explorer 8 0 e Choisissez Outils Options Internet Connexions Param tres r seau e Contr lez les donn es de la fen tre ci dessous sedex_v4 0 4 hb fr 57 88 Manuel sedex V4 0 4 OFS sedex et registres r z Configuration automatique La configuration automatique peut annuler les param tres manuels Pour garantir leur utilisation d sactivez la configuration automatique D tecter automatiquement les param tres de connexion V Utiliser un script de configuration automatique Adresse http xyz domain ch proxy pac Serveur proxy Utiliser un serveur proxy pour votre r seau local ces param tres ne s appliquent pas aux connexions d acc s distance ou VPN Lox amer Illustration 17 Configuration du proxy sur Internet Explorer 8 0 e Si la case a cocher sous la rubrique Serveur proxy est activ e les donn es se trouvant dans cette m me rubrique sont a observer et saisir dans les diff rents fichiers de configura tion du client sedex e Si la case cocher Utiliser un script de configuration automatique est activ e ditez le fichier indiqu p ex avec WordPad et v rifiez quel r gles sont d finies pour les adresses n cessaires au client sedex voir chapitre 4 4 2 5 e Si aucune case cocher n est active la connexion a lieu directement sans transiter par un proxy 4 4
63. es de r ponse 74 8 4 Processus standard pour la distribution de certificats d organisation 75 8 4 1 Premi re distribution et renouvellement manuel 75 8 4 2 Renouvellement automatique 76 8 4 3 Inconv nients du renouvellement manuel du certificat 76 8 4 4 Proc dure pour retrouver la date d expiration du certificat d organisation 77 8 5 Fichier logs 81 8 5 1 Contexte 81 8 5 2 Description des fichiers 81 8 5 3 Logs du controller 82 8 5 4 Logs de l adaptateur 82 8 5 5 Logs du proxy service web 85 8 5 6 Configuration 86 8 5 7 Annexes 86 sedex_v4 0 4 hb fr 5 88 Manuel sedex V4 0 4 OFS sedex et registres 1 Introduction 1 1 D finition de sedex Dans le cadre de l harmonisation des registres f d raux de personnes et des registres cantonaux et communaux de l habitant la Conf d ration propose depuis 2008 une plateforme pour l chan ge s curis de donn es Cette plateforme baptis e sedex secure date exchange permet aux participants d changer des donn es de mani re s curis e A la diff rence des syst mes de mailing habituels ce syst me qui communique de mani re asynchrone permet d changer simultan ment un tr s grand nombre de messages sedex peut tre utilis dans d autres domaines m me s il est r serv en priorit aux applications entrant dans le cadre de l e Government Pour raccorder une application participante a sedex il faut y int grer un adaptateur sedex et rem plir les exigences fix es en ma
64. es sont par la suite pris en charge par l adaptateur lui m me Les autorisations permettant la r ception des messages sont effectu es de mani re ind pendante au niveau de l administration du syst me sedex Le traitement correct des messages de service est surveill par l administration sedex qui en cas de probl me et si un traitement manuel est n cessaire prends contact avec le participant 3 14 Polling Le client sedex se connecte r guli rement au serveur sedex pour v rifier la pr sence de nou veaux messages dans la boite aux lettres du serveur L intervalle de balayage polling d finit la p riode entre deux connexions Par d faut l intervalle de polling est d fini comme suit P riode Intervalle de balayage 07h00 18h59 5 minutes 19h00 06h59 15 minutes Note L intervalle de balayage a t choisi de mani re convenir tous les utilisateurs et optimi ser la performance du serveur sedex et il ne devrait donc pas tre modifi Veuillez prendre contact avec le service client le voir chapitre 5 1 s il est malgr tout n cessaire de modifier l intervalle de balayage sedex_v4 0 4 hb fr 49 88 Manuel sedex V4 0 4 OFS sedex et registres 3 15 Surveillance des composants A partir de la version 4 0 il est possible de surveiller le bon fonctionnement du client sedex Les informations suivantes sont a disposition e Version de l adaptateur e Version du proxy service web e Version du
65. eure Unique valeur possible CH Les valeurs admises sont les num ros OFS des districts selon 3 Num ro 6 positions d livr par l office f d ral des assurances sociales OFAS aux caisses de Aulourd hul ia longueur de HD Aujourd hui la longueur de l ID participant est limit e 20 caract res pour des raisons techniques A l avenir cette limitation devrait cependant tomber sedex_v4_ 0 4 hb fr 34 88 Manuel sedex V4 0 4 OFS sedex et registres Niveau Signification Plage de valeur pour l unit organisationnelle RS ere ell compensation filiales AVS aux offices Al et PC a pensation AVS ou un office Al l arm e et aux milieux int ress s 7 Entreprise priv e Les valeurs admises sont attribu es par OFS aux D signe un participant de droit entreprises priv es participant a sedex Ces nu priv m ros ne sont pas parlant p ex 1 pour TI Infor matique e LP Les valeurs admises sont les abr viations a deux D signe les offices de poursui lettres des cantons selon 3 par ex SO pour So tes et les cr anciers membres leure de l interconnexion e LP r serv Dans la liste des participants sedex il est possible de distinguer des participants qui ne servent qu des fins de test L ID de ces participants est muni d un pr fixe T De tels participants peu vent uniquement communiquer entre eux 3 8 3 Code de fonction Le code de fonction d crit le secteur d activit du parti
66. ex La pr sente version 4 0 4 fait r f rence au client sedex V4 0 4 publi le 25 juillet 2013 sedex_v4_0 4 hb fr 6 88 Manuel sedex V4 0 4 OFS sedex et registres 1 4 R f rences 1 2 3 4 5 6 7 8 9 OSCI Transport 1 2 Spezifikation OSCI Leitstelle Bremen 6 6 2002 http www1 osci de sixcms media php 13 osci_spezifikation 1 2 deutsch pdf OSCI Transport 1 2 Entwurfsprinzipien Sicherheitsziele und mechanismen OSCI Leit stelle Bremen 6 6 2002 http www1 osci de sixcms media php 13 osci_entwurfsprinzipien 1 2 2110 pdf Office f d ral de la statistique Liste historis e des communes de la Suisse Explications et utilisation 15 06 2007 http www bfs admin ch bfs portal fr index news publikationen html publicationID 2755 Office f d ral de la statistique Manuel sedex Harmonisation des registres V 3 1 08 07 2009 http www registre stat admin ch gt Sp cifications informatiques gt Harmonisation des regis tres et Service de validation Office f d ral de la statistique Annonces des registres f d raux aux registres des habitants V 1 4 25 08 2011 http www registre stat admin ch gt Sp cifications informatiques gt Echanges entre registres Centrale de compensation UPI Unique Personal Identifier Interface V 1 6 02 12 2012 http www zas admin ch org 00721 00758 00908 index html lang fr Office f d ral de l informatique et de la t l communication s
67. h ma XML eCH 0090 L application participante devrait tre en mesure de traiter des enveloppes cr es partir de diff rentes versions de sch mas XML A noter que lors de Major Releases 2 0 3 0 les espaces de noms de l URL change Exemple xmins eCH 0090 http www eCH ch eCH 0090 2 gt pour le sch ma eCH 0090 version 2 0 L OFS fixera toutefois des d lais limitant l utilisation de l ancienne version du sch ma sedex_v4 0 4 hb fr 48 88 Manuel sedex V4 0 4 OFS sedex et registres Si lors de l apparition de nouveaux codes de statut les ventuelles modifications effectuer sur l application participante doivent tre repouss es il est possible d indiquer dans la configuration de l adaptateur selon quelle version du sch ma XML la quittance doit tre cr Les enveloppes eCH 0090 envelope doivent toujours tre construites suivant la version 1 0 du sch ma XML eCH 0090 alors que les quittances sont par d faut g n r es selon la version 2 0 du sch ma XML eCH 0090 3 13 Messages de service sedex L OFS en tant qu exploitant de la plateforme sedex a la possibilit de pouvoir communiquer avec l adaptateur lui m me Le champ d action des messages de service sedex sont e Le renouvellement automatique des certificats d organisation voir chapitre 4 6 e Le renouvellement automatique du truststore du proxy service web Les messages de service sont livr s dans un r pertoire different Ces messag
68. h sedex runtime ws CheckSedexWebService checkSedex 10 147 132 133 wsproxy services CheckSedexWebService e Requ te non autoris e via le service web UPIQuery ZOU2Z O4 11 12 07 47 9696 422 10 147 T13 xxx e rault mhen calling target Service 350 400 https wupi zas admin ch wupi_cc UPIQueryService getInfoPerson 10 147 13x xxx wsproxy services UPIQueryService e Requ te autoris e via le service web UPIQuery 2012705724 TO 44709 3390 2265 TOs Tay ss SES OK 216 2007 https wupi zas admin ch wupi_cc UPIQueryService getInfoPerson 10 147 13x xxx wsproxy services UPIQueryService 8 5 6 Configuration Il est possible de configurer le nombre de fichiers logs d archives crire ainsi que leur taille Si les limites sont atteintes les logs existants sont roul s Chacun des fichiers log est configura ble ind pendamment des autres 8 5 6 1 Emplacements et valeurs par d faut Le client sedex accueillera probablement d autres modules dans le futur Cette logique modulaire s applique galement aux fichiers log dont voici les param tres par d faut Emplacement Roulement Fichier de configuration Adaptateur ClientDir logs adapter 5 fichiers de 10 adapter log4j xml Mo ClientDir adapter conf Proxy service ClientDir logs wsproxy 5 fichiers de 10 wsproxy log4j xml web Mo ClientDir adapter conf Controller ClientDir logs controller 5 fichiers de 10 controller log4j xml Mo
69. ier et en v rifie la conformit avec le sch ma XML correspon dant La collaboration avec sedex exige des metteurs et r cepteurs que soient remplies les conditions suivantes e installation du client e installation du certificat d organisation X509 v3 e un canal de communication lectronique TCP IP HTTP HTTPS doit tre disponible pour communiquer avec sedex sedex_v4_0 4 hb fr 68 88 Manuel sedex V4 0 4 OFS sedex et registres e dans le firewall les ports 80 HTTP et 443 HTTPS doivent tre ouverts pour des liaisons sortantes Etant donn que sedex n tablit jamais de liaison avec un adaptateur en r ception aucun port ne doit tre ouvert pour un flux de donn es entrant Ind pendamment de sedex les environnements locaux doivent naturellement aussi prendre les mesures de s curit ad quates voir chapitre 7 3 Les types de raccordement logiques sont sp cialement expos s un risque de s curit L OFS recommande donc de pr f rer dans la mesure du possible les raccordements physiques aux raccordements logiques Remarque le syst me sedex utilise pour l change de donn es le produit Governikus de la mai son Bremen Online Services Ce produit a t v rifi sur le plan de sa s curit par l Office f d ral pour la s curit dans les technologies d information du gouvernement allemand 7 3 Attente l gard des applications participantes Dans la s curit de l exploitation les fournisse
70. ieux comprendre le comportement de l adaptateur sedex tout en permettant aux administrateurs sedex de continuer acc der aux informations techniques les concernant Les fichiers de log ont t cr s de fa on s parer les informations techniques des informations pouvant servir au participant pour suivre les messages sedex Cette s paration permet au partici pant de mieux comprendre le comportement de l adaptateur sedex sans pour autant sacrifier de pr cieux d tails dans le log technique destin aux administrateurs sedex dans le cadre du sup port 8 5 2 Description des fichiers Voici quoi correspond chacun des fichiers de log e Log technique Correspond au fichier log actuel e Log d erreur Contient toutes les erreurs d tect es par l adaptateur Les erreurs se rapportant un message sont identifi es par un code permettant de suivre le message e Log de r ception Contient la liste des messages re us Chaque enregistrement de ce log est identifi par diff rentes informations telles que l identifiant du message correspondant e Log d envoi Contient la liste des messages envoy s et des quittances re ues Chaque enregistrement de ce log est identifi par diff rentes informations telles que l identifiant du message correspon dant sedex_v4 0 4 hb fr 81 88 Manuel sedex V4 0 4 OFS sedex et registres 8 5 3 Logs du controller 8 5 3 1 Le log technique controller technical log G n ralit s Ce log
71. ion Microsoft Corporation Microsoft Corporation A Contr le wmr Microsoft Corporation R D fragmenteur de disque Microsoft Corp Execut ADossiers partag s Microsoft Corporation Folder Microsoft Corporation Gestion de la strat gie de s curit Microsoft Corporation 4 Description Le composant logiciel enfichable Certificats vous permet de parcourir le contenu des magasins de certificats pour vous un service ou un ordinateur Add Cliquer sur Add et s lectionner le Snap in Certificats Cliquer ensuite sur Add puis Close 12 Add Remove Snap in Standalone Extensions Use this page to add or remove a stand alone snap in from the console Snap ins added to Ey console Root amp Certificats Utilisateur actuel Description Annuler Oar Ganca Aurrch C T01 em GA OHIO AZI Adonca CD L lt gt maonar Personnel carr 2 cat Le certificat et sa date d expiration apparaissent sous amp Certificats Utilisateur actuel amp Personnel amp Certificats sedex v4 0 4 hb fr 80 88 Manuel sedex V4 0 4 OFS sedex et registres 8 5 Fichier logs Ce chapitre d crit les fichiers logs pour le client sedex controller adaptateur et proxy service web 8 5 1 Contexte Dans le cadre de son exploitation le client sedex g n re des logs Ceux ci permettent tous les exploitants de m
72. ion au moyen du certificat d organisation Webservice Documentation CheckSedex cf chapitre 8 3 UPIQueryService cf 8 UPICompareService cf 8 Le Proxy service web sedex ne propose en principe que des services qui peuvent tre directe ment appel s en utilisant le certificat du participant sedex La configuration du proxy d finit quels points finaux sont r pliqu s localement aupr s de l utilisateur et de quelle mani re les requ tes sont transmises au prestataire de service 3 12 Aspects de l exploitation de l adaptateur sedex 3 12 1 D lais de conservation ll n y a pas de d lai de conservation pour les messages et les quittances re ues ou envoy es par l adaptateur sedex Lorsqu il existe des r gles de conservation des donn es transmises par sedex celles ci doivent tre conserv es par l application participante L adaptateur n efface ni les messages dossiers inbox outbox et sent ni les quittances techni ques dossier receipts Il revient l application participante de supprimer ces donn es selon des r gles utiles p ex p riodiquement sur la base de l ge ou la cl ture d un cas Les fichiers log sont cras s d s que le nombre maximal de fichiers log est atteint principe du rollover Cette mesure n affecte pas la journalisation tablie par le serveur sedex 3 12 2 Version du sch ma XML eCH 0090 Les enveloppes et les quittances techniques sont construites sur la base du sc
73. ite internet renseigne galement au sujet des prochaines mises jour pr vues La liste des mises jours contient no tamment la planification de publication des composantes informatiques des nomenclatures et des r gles de validation etc http Awww sedex ch gt Clients sedex et documentation is http www registre stat admin ch gt Sp cifications informatiques gt Release Management sedex_v4 0 4 hb fr 62 88 Manuel sedex V4 0 4 OFS sedex et registres 4 7 1 Support des diff rentes versions La fin du support s effectue en deux tapes Le support complet s arr te en principe 18 mois apr s la publication Pass e cette date un support r duit est mis disposition En cas de disfonc tionnement une recherche est effectu e mais le probl me n est pas transmis pour r solution l office f d ral de l informatique OFIT Ce support r duit se termine en g n ral 24 mois apr s la publication Plus aucun support n est mis disposition au del de la fin du support r duit Version du client Publication Fin du support complet Fin du support r duit 2 2 1 Juin 2010 31 12 2011 30 06 2012 2 2 2 Octobre 2010 30 06 2012 31 12 2012 3 0 Avril 2011 30 06 2013 31 12 2013 4 0 3 Novembre 2012 30 06 2014 31 12 2014 4 0 4 Juillet 2013 31 12 2014 30 06 2015 4 8 Exploitation L Office f d ral de la statistique OFS a mis la plateforme sedex en exploitation en date du 15 janvier 2008 L OFS a
74. la commande du nouveau certificat aupr s du service client le et l installation doit tre aussi courte que possible afin d viter des probl mes de cryptage li s la transition de l ancien vers le nouveau certificat L OFS recommande donc de r server suffisamment de temps pour effectuer en une fois la com mande et l installation du nouveau certificat 4 7 Management des mises jour Le d veloppement ult rieur de la plateforme sedex et les modifications de l adaptateur sedex qui y seront li es se d rouleront selon des tapes bien d finies Il faut s attendre deux mises jour par an au maximum L OFS annonce dans ses Release Notes les modifications et les innovations accompagnant la nouvelle version du client Les Release Notes sont publi es avec le pr sent manuel Le pr sent manuel et le guide d installation sont mis jour lors de chaque publication d une nou velle version du client La compatibilit des nouvelles versions avec les versions ant rieures est assur e au moins jus qu la version n 0 de la version courante A titre d exemple la version 4 9 est compatible avec la 4 0 mais pas avec la 3 9 La compatibilit des diff rentes versions d adaptateur est d crite dans les Release Notes Nous recommandons cependant l installation de la derni re version du client sedex lorsque l application participante est mise jour Le client sedex peut tre t l charg depuis le site Internet de l OFS Ce s
75. la m moire vive RAM utilisable par la machine virtuelle Java Le profil doit tre choisi en fonction de l environnement de l adaptateur e caract ristiques machine CPU m moire place disque e r seau d bit du r seau interne Internet pr sence de pare feu etc Le tableau suivant r sume les caract ristiques des diff rents profils small medium large x large Connexions au serveur sedex 1x 2x 4x 8x Processus parall les threads 2x 3x 5x 7x Scripts de nettoyage cleaning job 15 min 30 min 45 min 60 min Profil par d faut Plus de renseignements au sujet des possibilit s d optimisation dans le document 7 Le service client le de l OFS chapitre 5 1 se tient galement a disposition pour plus d informations au sujet du changement de profil 3 17 Verrouillage des applications Dans l optique d offrir une plus grande fiabilit le verrouillage des applications qui emp che le d marrage multiple d une m me instance a t am lior de fa on a ne plus emp cher le d mar rage apr s un arr t brutal Le controller et le proxy service web sont galement quip s de ce nouveau verrouillage sedex_v4 0 4 hb fr 52 88 Manuel sedex V4 0 4 OFS sedex et registres 3 18 Assistance a distance 3 18 1 M canisme des commandes D s la version 4 0 le client integre un m canisme de commandes a distance qui permet a l administration sedex d effectuer certaines actions pr cises et cl
76. le client sedex doit pouvoir acc der lire et crire des fichiers diff rents emplacements de l installation sedex Le dossier du client sedex mais aussi tous ses sous dossiers doivent donc tre accessibles sans limitation par le client sedex En revanche le client ne n cessite aucun acc s en dehors de son arborescence Sur les syst mes Windows il faut d finir le privil ge contr le total alors que sur les syst mes de type Unix Linux il faut d finir le droit rwx L adaptateur sedex ne n cessite pas de droit d criture sur d autres dossiers du syst me Si le client sedex est d marr en tant qu application script bin controller start bat ou bin controller start sh les droits ci dessus doivent tre d finis pour l utilisateur qui utilisera le sedex_v4 0 4 hb fr 60 88 Manuel sedex V4 0 4 OFS sedex et registres client Si le client est d marr en tant que service Windows ou daemon Unix Linux ces m mes droits doivent tre appliqu s l utilisateur System Windows ou root Unix Linux 4 5 Modification des autorisations routage Les demandes de modification des types de messages autoris s et ou des r gles de routage doi vent tre adress es par les participants m mes ou par les fournisseurs au Service client le de l OFS chapitre 5 1 4 5 1 Modification des autorisations Seuls doivent tre annonc s les types de messages que le participant souhaite voir ajouter a ceux ou retir s de ce
77. ly e request sans reply La base de la plateforme d changes sedex est fond e sur un interm diaire impl ment selon un standard OSCI voir 1 et 2 d fini en Allemagne L interm diaire est un syst me serveur de communication qui ne conna t pas le contenu du message chang et qui r pond aux exigences de s curit end to end fix es par le l gislateur authentification contr les d acc s confidentialit int grit des donn es retrait des donn es Les messages chang s via la plateforme d change de donn es sont compos s d une envelop pe et de donn es utiles L enveloppe est constitu e d un document XML qui contient les informa tions d adressage n cessaires au bon acheminement du message Les donn es utiles sont contenues dans un fichier dont le format est d fini par le service responsable du type de messa ge L adressage des messages en interconnexion est effectu partir d une liste des participants au syst me Le syst me sedex construit cet effet selon les cas concrets des noms logiques commune service administratif sur la base des certificats requis pour le transport s curis des donn es L interface des syst mes des applications participantes lors de l interconnexion avec le syst me sedex repose principalement sur deux r pertoires enregistr s sur le syst me L application doit simplement mettre disposition les messages envoyer comme fichiers dans l un de ces r per
78. messageld xsd dateTime String Constitu selon chapitre 3 8 String Constitu selon chapitre 3 8 Manuel sedex V4 0 4 Nom de l l ment messageDate loopback testData Signification Date d envoi Date chronotimbre laquelle l application mettrice a d pos le message dans le r pertoire de sortie de l adaptateur Marque le message en tant que message de loopback Un loopback est un message que l adaptateur de r ception traite comme un message normal le cas ch ant la l gitimit de l metteur est v rifi e mais qu il ne transf re pas dans son applica tion Ce genre de message est aussi utilis en exploitation pour effectuer des tests Peut tre utilis par une application mettrice pour des tests afin d actionner la simulation de la r cep tion La s mantique des valeurs transmises est l affaire du simulateur de r ception OFS sedex et registres Type Oblig Nombre xsd dateTime Mod le de contenu vide avec un attribut authorise L attribut d finit si le contr le de l gitimit se dex doit tre effectu pour ce message loopback Si la valeur est positionn e sur true le message peut tre utilis pour v rifier si un metteur est bien habi lit envoyer un message d un certain type un r cepteur Si la valeur est positionn e sur false le message peut tre utilis comme simple test de liaison entre deux adapta teurs ping
79. ng bt 1 sedex client monitoring adapter uptime 10 05 48 3 adapter version Adapter 4 0 3 4 adapter sedexId 3 CH 29 5 adapter profile small 5 adapter organisationCertificateExpirationDate 2013 08 27T09 31 57 adapter interfaceFoldersPresent OK 8 adapter moveToSedexTempMessageFolder OK 9 adapter connectionToSedexServer OK adapter lastConnectionCheck 2012 10 10T12 01 47 1 adapter writeAccessToDatabase OK 2 controller uptime 10 06 00 3 controller version Controller 4 0 3 4 controller updateCertificateExpirationDate 2014 11 25T14 24 03 5 client version Sedex Client 4 0 3 monitor lastCheckUp 2012 10 10T12 21 27 Illustration 14 Aper u du fichier monitoring 3 15 2 Requ te HTTP La requ te HTTP permet de se connecter au service HTTP mis disposition par le controller se dex sur le port 8000 La r ponse est au format texte text plain et comporte les informations lis t es ci dessus Pour utiliser la requ te HTTP il faut utiliser l URL suivante http hote port monitoring p ex http localhost 8000 monitoring Par d faut le serveur HTTP du monitoring est activ Il est possible de d sactiver le monitoring mais aussi de d finir le port et l intervalle de v rification l aide des param tres ad quats dans le fichier de configuration du client sedex voir document 7 is es _ http localhost 8000 monitoring localhost 8000 monitoring C 4 Google Pia BD
80. ns Modification du routage Renouvellement du certificat d organisation Types de renouvellement Renouvellement automatique Renouvellement manuel Management des mises jour Support des diff rentes versions Exploitation Frequently Asked Questions FAQ Comp tences Service client le de l OFS Prestations Contact Fournisseur Participants Coordination avec un domaine technique T ches Coordinateurs actuels des domaines techniques Test et int gration sedex_v4_ 0 4 hb fr OFS sedex et registres 4 88 Manuel sedex V4 0 4 OFS sedex et registres 6 1 Types de tests 66 6 1 1 Tests sedex 66 6 1 2 Tests End to End 66 6 2 Instances de tests 66 6 3 Messages de tests 67 6 4 Int gration 67 7 S curit 68 7 1 Principes de base des r flexions concernant la s curit 68 7 2 Vue d ensemble du syst me sedex 68 7 3 Attente l gard des applications participantes 69 7 4 Evaluation des risques de s curit pour l metteur et le r cepteur 69 7 5 Composants de la s curit certificats de s curit 70 7 6 Renouvellement des certificats de s curit 70 7 6 1 La probl matique de la mise jour des certificats de s curit 70 8 Annexe 72 8 1 Sch mas XML 72 8 2 R gles pour les documents XML 72 8 2 1 Codage des documents XML 72 8 2 2 Indications de temps 72 8 3 Service web CheckSedex 72 8 3 1 Description du service 72 8 3 2 Limitations 73 8 3 3 Configuration requise 73 8 3 4 Param tres d envoi 73 8 3 5 Param tr
81. nt et qui est bien parvenu au r cepteur lt xml version 1 0 encoding UTF 8 gt lt receipt xmins http www ech ch xmIns eCH 0090 1 xmIns xsi http www w3 org 2001 XMLSchema instance xsi schemaLocation http www ech ch xmlns eCcH 0090 1 http www ech ch xmlns eCH 0090 1 ecH 0090 2 0 xsd version 2 0 gt lt eventDate gt 2007 09 06T14 13 51Z lt eventDate gt lt statusCode gt 100 lt statusCode gt lt statusInfo gt 0K lt statusinfo gt lt messageld gt 62fdee70d9ea77646f6e8686a3f9332e lt messagelrd gt lt messageType gt 99 lt messageType gt lt messageClass gt 0 lt messageClass gt lt senderid gt 1 351 1 lt senderId gt lt recipientId gt 3 CH 1 lt recipientId gt lt receipt gt C receiptType m E eventDate statusCode statusInfo messageld messageType messageClass senderld J recipientId s a 1 version iH lnmmmmmmmmmmmmmmm Illustration 11 Repr sentation graphique du mod le pour le contenu d une quittance sedex_v4 0 4 hb fr 33 88 Manuel sedex V4 0 4 OFS sedex et registres 3 8 Adressage 3 8 1 Les participants l interconnexion sedex sont par exemple les syst mes des services administra tifs des communes des cantons et de la Conf d ration Ils sont identifi s par un ID univoque Pour permettre aux syst mes participant de g n rer facilement l adressage des partenaires dans l interconnexion le syst me sedex d finit un ID de participant
82. ode Num rique kk voir RecipientAuthResult pour un r sultat par r cepteur ErrorMessage String Message d erreur si ErrorCode gt 0 RecipientAuthResult RecipientAuthResult Liste comprenant les autorisations pour chaque des tinataire Existe seulement si ErrorCode contient un des codes suivants 301 311 312 330 Typ RecipientAuthResult Nom d attribut Type Description RecipientSedexld string ID sedex pour lequel le r sultat s applique RecipientResult Num rique 0 YES le r cepteur est autoris 1 NO le message ne peut pas tre envoy ce r cepteur voir motif sous RecipientErrorCode RecipientErrorCode Num rique 100 OK no error 301 Unknown recipient id s 311 Not allowed to receive 312 User certificate not valid 330 Message size exceeds limit RecipientErrorMessage String Message d erreur si RecipientErrorCode gt 0 Voir le chapitre 3 9 2 pour la signification des codes d erreur sedex_v4_0 4 hb fr 74 88 Manuel sedex V4 0 4 OFS sedex et registres 8 4 Processus standard pour la distribution de certificats d organisation 8 4 1 Premi re distribution et renouvellement manuel Adaptateur f Autorit a wah f AdminPKI Chef de service Technicien Liste des Application CA Liste OSCI sedex cantonale services ChF d enregistrement m D l guer responsabilit s Q m ol T Rattacher les services concern s l autorit cantonale comp
83. on il est recommand d utiliser pleinement les possibilit s de test offertes voir chapitre 4 2 6 2 Instances de tests Lorsque les tests doivent tre r alis s au moyen d instances de test sp ciales il convient de de mander ces derni res aupr s du service client le de l OFS On fournira en principe les m mes donn es que pour l annonce d un participant traditionnel voir chapitre 4 3 Les autorisations et les r gles de routage n cessaires aux tests devront le cas ch ant tre pr cis es A noter que sedex n autorise pas l change de messages entre les instances de tests et les ins tances normales Cela signifie qu un Testcase n cessite au moins deux instances de tests sedex_v4 0 4 hb fr 66 88 Manuel sedex V4 0 4 OFS sedex et registres 6 3 Messages de tests La plateforme sedex donne ses participants la possibilit de tester l change de messages Deux m thodes sont disposition pour effectuer des tests e Les messages de test sont chang s l aide de participants test sedex ID T e Les messages de test sont muni d un indicateur de test et sont chang s l aide de partici pants productifs Un change de messages entre un participant sedex test et un participant sedex productif n est techniquement pas possible Cela signifie qu il n est pas possible d envoyer un message partir d un participant test vers un participant productif et inversement Pour les tests E2E voir chapitre 6 1 2
84. oxy service web sedex_v4 0 4 hb fr 13 88 Manuel sedex V4 0 4 OFS sedex et registres 2 3 Sc narios de communication Dans le processus en interconnexion sedex metteur et r cepteur sont compl tement s par s l un par rapport l autre La communication entre les deux organes est assur e par un change de donn es asynchrone dans lequel le syst me sedex joue le r le d interm diaire L interface entre l application et le syst me sedex est constitu e par le r pertoire d entr e et le r pertoire de sortie de l adaptateur L application mettrice pr pare les messages envoyer sous forme de fichiers dans un r pertoire de l adaptateur de l les messages sont transport s par le syst me sedex vers le ou les desti nataires pr vus Les messages destin s l application sont r ceptionn s par l adaptateur et mis disposition dans un r pertoire voir Illustration 1 Interface entre application et syst me sedex Pour chaque message envoy et pour chaque destinataire de ce message l adaptateur tablit une quittance d envoi sous forme d un fichier XML Le Proxy service web propose des services web permettant des sc narios de communication suppl mentaires nous renon ons d crire ici ces sc narios car ils ne font pas partie de la fonc tion centrale de sedex L illustration 3 montre l envoi r ussi d un message d un metteur un r cepteur L adaptateur individuel repr sent dans l illu
85. pe ments ult rieurs r alis s par les diff rents cantons La num rotation fonctionne de mani re iden tique au type de message le pr fixe correspond donc au num ro de canton de l OFS o A N Exemple le canton de Z rich peut librement disposer de la plage de num ro 1000 1999 pour ses besoins particuliers 3 8 3 4 Domaine f d ral Domaine Code de Secteur d activit Signification fonction Office f d ral de la statistique 2 Office f d ral de la statistique seulement pour utilisation interne CdC UPI DB DMZ nfoStar SYMIC ORDIPRO 7 verA 7 8 17 Office f d ral de la statistique seulement pour utilisation interne sedex v4 0 4 hb fr 36 88 Manuel sedex V4 0 4 OFS sedex et registres Les codes de fonction sont r serv s pour la Conf d ration Ces num ros sont attribu s par l OFS Un historique est tenu pour ces num ros un num ro est attribu de fa on permanente et ne pourra plus tre r utilis pour un autre service 3 8 4 Exemples e 0 sedex 0 d signe le syst me sedex lui m me e 1 351 1 d signe le RdH de la commune politique de Berne e 1 351 6 d signe le RdH de la commune bourgeoise de Berne e 2 SO 1 d signe le RdH du canton de Soleure e 2 GL 2 d signe le service cantonal de l informatique de Glaris e 3 CH 5 d signe le syst me central d information sur les migrations SYMIC du DFJP e T3 CH 1 d signe l instance de test de l Office f d ral de la statisti
86. pour le codage 8 2 2 Indications de temps Toutes les indications de temps dans les documents XML types de donn es XML xs datetime et xs time doivent contenir des indications sur le fuseau horaire soit sous forme hh mm ssZ soit hh mmiss hh mm Si l indication du fuseau horaire manque les indications de temps ne sont pas d termin es compl tement Nous recommandons de formuler toutes les indications d heure ou de date au format UTC 8 3 Service web CheckSedex Lorsqu un participant souhaite envoyer un message un autre service administratif il ne sait pas s il peut envoyer ce message via sedex ou s il doit rechercher un autre moyen de transmission pour ce message par exemple la voie postale C est la raison pour laquelle il est possible de consulter le service web CheckSedex avant la transmission d un message 8 3 1 Description du service Le service CheckSedex confronte les l ments principaux de l enveloppe du message metteur type de message classe de message r cepteur la liste des participants et effectue une proc dure d autorisation Pour les raisons suivantes il est possible que le participant ne puisse pas envoyer de message via sedex e le service administratif de l metteur ou du destinataire n est pas activ en tant que participant sedex e l metteur mentionn dans l enveloppe n est pas habilit envoyer le type de message autori sation de l metteur sedex_v4 0 4 hb f
87. pr cision dans ce log les d tails figurent dans le log d erreur voir chapitre 8 5 4 2 Les diff rents destinataires pertinents pour l adaptateur sont indiqu s sous forme de liste s par e par le caract re point virgule Cette liste est indiqu e dans le champ RecipienttId sedex v4 0 4 hb fr 83 88 Manuel sedex V4 0 4 OFS sedex et registres Cardinalit Ce log comporte dans tous les cas un seul enregistrement ind pendamment du nombre de des tinataires Les diff rents destinataires pertinents pour l adaptateur sont indiqu s sous forme de liste s par e par le caract re point virgule Cette liste appara t dans le champ Langues Exclusivement en anglais Formatage e ll est construit de la fa o n suivante 8 5 4 4 Le log d envoi adapter send log G n ralit s Ce log liste les diff rents messages envoy s le statut de chaque message ainsi que les quittan ces re ues par l adaptateur Les informations inscrites permettent d identifier le message Les ventuelles erreurs lors de l envoi d un message sont mentionn es de mani re g n rique les d tails sont indiqu s dans le log d erreur voir chapitre 8 5 4 2 Lorsque l enveloppe sedex du message envoyer n est pas lisible l adaptateur tente malgr tout de lire le message ID et l exp diteur de l enveloppe afin de pouvoir g n rer une quittance mini male Langues Exclusivement en anglais Formatage e ll est
88. properties wrapper conf wsproxykey properties wsproxylog4j properties wsproxy properties wsproxywrapper conf sedexclient internalmessages failed incoming outgoing processing sent successful unsupported sedexclient lib activation 1 1 jar adapter jar alarmingClient jar annogen 1 0 0 0 jar ant 1 7 0 jar ant launcher 1 7 0 jar antlr 2 7 6 jar ant optional 1 5 1 jar asm 1 5 3 jar asm attrs 1 5 3 jar authorisationclient jar avalon framework 4 1 3 jar base64 jar bc extensions jdk15 143 bos 0 2 jar bcmail jdk15 143 bos 0 2 jar bcprov dk15 143 bos 0 2 jar bctsp jdk15 143 bos 0 2 jar bind 2 0 jar buildtime 1 0 0 0 jar certificatechooser jar CertificateViewer jar ce_transportimpl jar cglib 2 1_3 jar 20 88 Manuel sedex V4 0 4 OFS sedex et registres R pertoire Description Contenu enregistr s dans la base de donn es interne de l adaptateur outbox Contient les messages sor tants interface entre l application participante et la plateforme de communi cation sedex receipts Contient les quittances in terface entre l application participante et la plateforme de communication sedex sedexclient schema schema Contient les sch mas XML A armingwebservic wedi et les fichiers WSDL n ces CertificateConfiguration 1 0 xsd certificateDelivery xsd saires au fonctionnement CertificateInstallationResult xsd du client sedex CertificatePublicationResult xsd CertificateRene
89. que e 7 1 1 d signe l adaptateur sedex n 1 de l entreprise TI Informatique e 8 TG 1 d signe le premier office de poursuites du canton de Thurgovie connect sedex 3 9 Cat gories d erreurs et codes de statut Les codes de statut sont subdivis s en cat gories et en sous cat gories Les cat gories sont structur es de telle mani re que l application appelante est d j en mesure de d cider en fonc tion de la cat gorie du code de la r action adopter Ainsi dans le cas d un code de statut erreur temporaire un nouvel envoi peut tre tent apr s un certain temps Une application doit galement tre capable de r agir un code inconnu en le traitant en fonction de sa cat gorie d appartenance ou le cas ch ant en l ignorant en fonction de sa cat gorie p ex pour les informations avertissements 3 9 1 Cat gories d erreurs Les codes de statut qui peuvent survenir lors de la transmission sont class s de la mani re sui vante Cat gorie Sous cat gorie Codes de statut Explication Ex un message a t envoy 100 199 Confirmations de la avec SUCCES r ception Comportement infor mer l utilisateur 200 299 Il y a un probl me avec le message ou l autori sation Erreur Message Error permanente Ex l enveloppe d un message n est pas valable p Une nouvelle tentative d envoi sans modifica tion des conditions en tra nera la m me er Authorisation Error 300 399 reur
90. r respond pas au sch ma XML attendu pour les enveloppes res pectivement elle n est pas dans la version en vigueur Voir aussi le chapitre 0 Comme source l adaptateur est resum comme suit AE adaptateur metteur AR adaptateur r cepteur 7 Le code de statut a t introduit lors du nouveau Release de l adaptateur sedex_v4 0 4 hb fr 38 88 Manuel sedex V4 0 4 Sous cat gorie Valeur Message correspondant Duplicate mes sage ID 202 No Payload found Message to old to send Message expired 300 Unknown sender id s Unknown reci pient id s ae 302 Unknown physi cal sender id s ae Invalid message type s sedex_v4 0 4 hb fr OFS sedex et registres Signification L enveloppe contient un ID de message dont l adaptateur dis pose d ja dans sa banque de donn es des statuts voir cha Un message sedex se compose toujours de deux fichiers l enve loppe et les donn es voir chapitre 0 L ap plication mettrice a mis uniquement dis position une envelop pe sans le fichier de donn es La date du message dans l enveloppe re monte plus de 30 jours Le r cepteur n a pas r ceptionn le messa ge dans les 30 jours fix s par sedex Le senderld donn dans l enveloppe n est pas r pertori dans la liste sedex Le recipientld donn dans l enveloppe n est pas r pertori dans la liste sedex L ID de l adaptateur configur dans l a
91. r 72 88 Manuel sedex V4 0 4 OFS sedex et registres e le destinataire n est pas en mesure de traiter le type de messages envoy s autorisation du destinataire e l adaptateur metteur metteur physique n est pas autoris a envoyer le message autorisa tion de l metteur e l un des destinataires n a pas le certificat valable n cessaire pour crypter le message e erreur dans l enveloppe l metteur l ID de l adaptateur le type de message ou le destinataire comporte une erreur e La taille du fichier m tier d passe la limite maximale autoris e champ optionnel L ID de l adaptateur est n cessaire car certaines r gles d autorisation utilisent galement l identit de l adaptateur qui envoie le message il s agit de l identit de l metteur physique 8 3 2 Limitations Ce service web peut tre utilis pour tous les envois effectuer via sedex mais il est surtout utile dans le cadre d changes intercommunaux et plus g n ralement lorsque le cercle de participants volue p ex pour les messages de d m nagement entre registres des habitants Lors de la r ponse le service web se base uniquement sur les types de messages autoris s pour un participant Les versions de sch mas XML support es par les participants n entrent donc pas en consid ration Il est galement possible d interroger les services web de l annuaire des participants Event Bus Suisse EBS Dir qui fourni les types de messages e
92. r la s curit la cl priv e a t prot g e avec un mot de passe Entrez le mot de passe de la cl priv e Mot de passe hook Activer la protection renforc e de cl s priv es La cl priv e vous sera demand e chaque fois qu elle est utilis e par une application si vous activez cette option Marquer cette cl comme exportable Cela vous permettra de sauvegarder et de transporter vos cl s ult rieurement Entrer le mot de passe du certificat d organisation d fini dans le fichier conf password txt ou conf certificateConfiguration xml Cliquer sur Suivant 5 Assistant Importation de certificat Magasin de certificats Les magasins de certificats sont des zones syst me o les certificats sont stock s ey F F D Windows peut s lectio S lectionner un magasin de certificats PR sp cifier l emplacement _ E 3 S lectionnez le magasin de certificats que vous O S lectionner aut voulez utiliser a Ca Autorit s de certification racines de confiance a Confiance de l entreprise 3 Autorit s interm diaires Ca Objet utilisateur Active Directory Ca diteurs approuv s v Afficher les magasins physiques lt Pr c dent Suivant gt Annuler Cliquer sur Parcourir et s lectionner le magasin de certificats Personnel Cliquer sur Suivant 6 Assistant Importation de certificat Fin de l Assistant Importation de certificat Vous avez termin co
93. reusement pas possible de v rifier si les adresses www oscitv gw admin ch www sedex gw admin ch et www osciservices gw admin ch sont atteignable l aide d un naviga teur web Les composants r seaux comme proxy serveur DNS routeur pare feu des partici pants sedex doivent donc tre configur s en cons quence si des probl mes de connexion sont constat s La version 4 0 du client sedex effectue une v rification des URL au d marrage de adaptateur sedex Le r sultat de la v rification est visible dans le log technique de l adaptateur sedex ou dans le monitoring Extrait du log technique de l adaptateur Connection test for lt nttps Aww sedex qw adhnin ch sedex runtime ws SedexAuthori sationImp wSDL gt passed Connection test for lt nttp Aww govermikus adntin ch osci manager entry extemalentry gt passed Connection test for lt https ww osciservices gw admin ch pros logic iProSLogicSDL gt passed Connection test for lt https Aww oscitv gw admin ch idn services idn iGetATASDL gt passed Connection test finished successfully Extrait du monitoring adapter connectionToSedexServer 0K adapter lastConnectionCheck 2012 10 18T15 13 59 Pour plus de d tails veuillez vous r f rer au document 7 sedex_v4 0 4 hb fr 56 88 Manuel sedex V4 0 4 OFS sedex et registres 4 4 2 2 V rification de la connectivit aux prestataires de services web Dans le cadre de sont fonctionnement le proxy servic
94. roc der permet de garantir que lors de grands transferts de donn es il n y ait pas de timeout notamment lorsque la liaison internet du parte naire de communication ne dispose que d une faible bande passante e Interrogation p riodique de la case postale sur l interm diaire OSCI e V rification des autorisations l application mettrice est elle habilit e envoyer des messages l application r ceptrice et t l chargement des messages depuis la case postale e R ception des messages administratifs de la plateforme Receipts e Les messages non attendus sont rejet s e Les messages re us sont d pos s par l adaptateur dans un r pertoire du syst me de fichiers c est la que l application r ceptrice peut les r cup rer e G n ration des quittances d envoi l application mettrice e Enregistrement centralis journalisation des messages envoy s et re us e L adaptateur g re sa propre base de donn es int gr e dans laquelle les statuts des messa ges individuels sont r pertori s Une s curit transactionnelle garantit qu aucun message n est gar 2 2 5 Proxy service web Le Proxy service web sedex permet aux applications participantes d utiliser certains services web sans devoir s auto authentifier explicitement vis vis du prestataire de service et sans avoir effectuer le cryptage des donn es Sedex proc de automatiquement l authentification et au cryptage en utilisant le cer
95. roxy service web 3 11 1 But du Proxy service web Les applications participantes peuvent utiliser des services web sans avoir elles m mes s au thentifier de mani re explicite vis vis du prestataire de service ou effectuer le cryptage des donn es L authentification et le cryptage sont effectu s automatiquement par sedex au moyen du certificat d organisation de l adaptateur A cet effet sedex propose un Proxy service web qui r pli que chez le client les points finaux correspondants du fournisseur de prestations 3 11 2 Fonctionnement du Proxy service web Le Proxy service web r ceptionne les appels service web destin es certains points finaux les authentifie les crypte et les dirige vers le point final du fournisseur de prestations correspondant Les r ponses des fournisseurs de prestations sont si n cessaire authentifi es et d crypt es par le Proxy service web et retransmises l metteur d origine L illustration 13 illustre ce processus 3 11 3 Echange de messages L change de message qui a lieu via le Proxy service web s effectue de mani re synchrone contrairement l adaptateur qui lui permet d changer des messages de mani re asynchrone Le Proxy service web n apporte aucune modification au message adress l un de ses points finaux l exception du cryptage de la signature en d autres termes le contenu des messages est retransmis tel quel au fournisseur de prestations La m me r gle s applique
96. rrectement l Assistant Importation de certificat Vous avez sp cifi les param tres suivants Magasin de certificats s lectionn par l utilisateur Persor Contenu PFX Nom du fichier H cer lt Pr c dent Terminer Annuler Cliquer sur Terminer sedex_v4 0 4 hb fr 78 88 Manuel sedex V4 0 4 OFS sedex et registres Assistant Importation de certificat x e jl L importation s est termin e correctement Cliquer sur OK 8 gt Ex cuter Ex cuter Entrez le nom d un programme dossier document ou d une ressource Internet et Windows l ouvrira pour vous Ouvrir x Taper MMC Cliquer sur OK 10 im Console1 Action view Favorites Window Help New Ctrl N Open Ctrl O Save Ctrl s Save As Add Remove Snap in Ctrl M Options 1 C WINNT isystem32 eventywr msc 2 CA WINNT system32 compmamt msc 3 C AWINNT system32 services msc Exit Cliquer sur File et s lectionner Add Remove Snap in sedex_v4_0 4 hb fr 79 88 Manuel sedex V4 0 4 OFS sedex et registres 11 Add Remove Snap in Standalone Extensions Use this page to add or remove a stand alone snap in from the console Snap ins added to E console Root Add Standalone Snap in Available standalone snap ins Snap in Vendor Ah NET Framework 1 0 Configuratio Microsoft Corporation H2 NET Framework 1 1 Configuration Microsoft Corporation C Microsoft Corporat
97. rreur adapter error log G n ralit s Ce log liste les erreurs de mani re lisible et compr hensible Si l erreur se rapporte un message sedex re u ou envoy les diff rentes informations permet tant d identifier ce message sont indiqu es Les erreurs m tier de l adaptateur autorisation refus e date du message trop ancienne etc autant que les erreurs techniques pas de connexion dossier inexistant etc sont clairement in diqu es et sont accompagn es d un num ro d erreur permettant un meilleur support en cas de probl me Exception Pour les erreurs li es a des probl mes de connexion les d tails du message ne peu vent pas tre affich s Liste des erreurs Selon le chapitre G n ralit s les erreurs list es dans ce log sont d taill es et comportent un num ro d erreur Les diff rentes erreurs possibles sont r pertori es dans le chapitre 8 5 7 1 Langues Exclusivement en anglais Formatage ed il S na d un RUES SEE f JJ HH MM SS MsgId Se eigd Recipients Usmid CommonMsgId e JJ HH MM HH MM cn ERP il s agit d une erreur connue et num rot e 8 5 4 3 Le log de r ception adapter receive log G n ralit s Les messages que l adaptateur a re us ainsi que leur statut sont logg s ici Les informations ins crites permettent d identifier le message Les ventuelles erreurs lors de la r ception d un message sont mentionn es de mani re g n ri que pas de
98. rt des cas le sedex ID d un adaptateur correspond galement au sedex ID d un participant En revanche un participant n a pas forc ment son propre adaptateur Les deux chapitres suivants expliquent en d tail les variantes possibles physi que logique 2 4 1 Raccordement physique Un participant est dit physique lorsqu il utilise sont propre adaptateur Dans un tel cas le sedex ID du participant correspond au sedex ID de l adaptateur il ny a en effet pas lieu de diff rencier le participant de l adaptateur vu que le participant est le seul utilisateur de l adaptateur en question Les participants sedex 1 et 2 dans l illustration suivante sont des participants physiques Participant Participant sedex 1 sedex 2 ID 1 1 1 ID 1 2 1 outbox Serveur sedex Illustration 6 Exemple de participants physiques Ce type de raccordement est particuli rement conseill lorsque le participant raccorder change un grand nombre de messages sedex et lorsque les exigences d isolation s curit et protection de l installation sont importantes sedex_v4 0 4 hb fr 16 88 Manuel sedex V4 0 4 OFS sedex et registres Conseil Afin de garantir une s curit optimale il est recommand d utiliser un raccordement physique lorsque c est possible 2 4 2 Raccordement logique Un participant est dit logique lorsqu il utilise un adaptateur g n rique mis a disposition par un cen tre de calcul ou un canton Dans un tel cas
99. rticipant phy sique directement raccord ou un participant logique raccord indirectement via un centre de calcul ou un canton sedex_v4 0 4 hb fr 18 88 Manuel sedex V4 0 4 OFS sedex et registres 3 Utilisation de sedex 3 1 Structure de r pertoire du client sedex L installation du client sedex n cessite la cr ation d un nombre cons quent de r pertoires En plus des r pertoires d interface voir chapitre 3 2 1 qui permettent aux applications participantes d changer des donn es via la plateforme sedex il existe une multitude d autres r pertoires Afin de permettre un fonctionnement optimal le client sedex doit pouvoir acc der sans restriction ses r pertoires voir chapitre 4 4 3 2 Pour des raisons videntes il est en outre interdit de supprimer des fichiers ou r pertoires de l installation sedex La structure de r pertoire varie selon la version du client sedex 3 1 1 Client sedex lt V4 0 Ce chapitre donne un aper u de la structure de r pertoire pour les versions lt 4 0 du client sedex sedexclient axis2 bin conf deploy inbox internalmessages lib logs messagestorage outbox receipts schema sent zertifikate R pertoire Description Contient les fichiers n ces saires pour le fonctionne ment du proxy service web librairies configuration fichiers AAR axis2 repository Contient les fichiers n ces saires pour d marrer et arr ter le client sedex et ins
100. s 80 HTTP et 443 HTTPS En tant que configuration minimale il s agirait d autoriser l application java exe pour ces deux ports Etant donn que le client sedex ne fait jamais office de serveur les ports ne doivent pas tre ou verts pour les donn es entrantes sedex_v4 0 4 hb fr 55 88 Manuel sedex V4 0 4 OFS sedex et registres 4 4 2 Pr paration de la configuration r seau 4 4 2 1 V rification de la connectivit au serveur sedex Avec les anciennes versions toutes les communications n cessaires entre l adaptateur sedex et le serveur transitaient via SOAP over OSCI Du point de vue de l adaptateur seule l adresse du serveur OSCI www governikus admin ch devait donc tre accessible L introduction de SOAP over HTTPS signifie concr tement que l adaptateur 2 v2 2 doit pouvoir acc der aux adresses suivantes e www governikus admin ch port 80 e www oscitv gw admin ch port 443 e www sedex gw admin ch port 443 e www osciservices qw admin ch port 443 La connectivit pour l adresse www governikus admin ch peut tre v rifi e facilement l aide d un navigateur Pour cela indiquez dans le navigateur web de la machine sur laquelle vous d sirez installer le client sedex l adresse suivante http www governikus admin ch osci manager entry externalentry Si le message suivant s affiche le module Governikus du serveur sedex est atteignable dont speak GET Send POST to URL Il n est malheu
101. s tiers malveillant Par d faut le m canisme de mise jour est activ d sactiv dans la version 4 0 3 Cette valeur peut tre modifi e l aide d un param tre ad quat dans le fichier de configuration du client sedex voir document 7 Rappel Les mises jour comme tout autre type de commande sont t l charg es et appliqu es uniquement aupr s des participants d fini par l administration sedex dans la commande 3 19 Journalisation Durant son fonctionnement le client sedex g n re des fichiers logs qui permettent en cas de probl mes d analyser les erreurs rencontr es Chaque composant du client sedex controller adaptateur et proxy service web g n re au mini mum un fichier log Le chapitre 8 5 d crit en d tail les diff rents logs et leur contenu sedex_v4 0 4 hb fr 53 88 Manuel sedex V4 0 4 OFS sedex et registres 4 Processus 4 1 Vue d ensemble Le raccordement d une application et ou d un participant sedex peut tre subdivis en trois pha ses savoir le d veloppement l introduction et l exploitation D veloppement Introduction Exploitation gt M nt x lt n a gt Inscription des Installation Changement Remplacement participants Adapter d autorisation du certificat de routage d organisation k j ri a 2 5 3 rr Participants Illustration 16 Cha ne de processus sedex 4 2 Certification des applications participantes Le coordinateur du
102. se generated by a web proxy or if a net work component changed the request A80000 The organization certificate is expired Please install a valid organization certificate and retry again A80001 The organization certificate renewal cannot take place Problem A80002 The transport certificate renewal cannot take place Problem A80003 The truststore update cannot take place Problem A80004 An old transport certificate is used Please install a validate transport certificate and retry again A80005 The sedex adapter cannot start as another instance is probably already running Please stop the sedex adapter and retry again after 5 minutes A80006 The sedex adapter cannot start as another instance is using the database Please stop the sedex adapter and retry again after 5 minutes A80007 There are not enough privileges to write on the folder Folder Please check the privi leges and restart the sedex adapter A90000 The sedex adapter ID does not match with the organization certificate A90001 The password does not match with the organization certificate A90002 The organization certificate cannot be found within the given path A90003 The JCE extension is not installed in the Java Runtime Environment JRE A90004 Some of the data folders dataFolder pathToDataFolder are not available or there is not enough space left A90005 The temp folder tempFolderPath is not available or there is not enough spac
103. stration r sume du point de vue des applications l ensemble du syst me sedex Pour l instant la taille des messages envoy s via ce sc nario est limit e 10 Go Malgr tout les exp diteurs doivent tre conscients des exigences mat rielles que les grands envois peuvent engendrer aussi bien pour l exp diteur que pour le s destinataire s Emetteur Adaptateur R cepteur L adaptateur l transmet le request au i r cepteur request L metteur re oit request une quittance receipt l M me processus pour l envoi de la r ponse Illustration 3 Envoi r ussi d un message sedex_v4_0 4 hb fr 14 88 Manuel sedex V4 0 4 OFS sedex et registres L illustration 4 montre l chec d un envoi de message Les causes peuvent r sider dans une er reur formelle de l application mettrice par ex adressage erron dans l enveloppe ou dans un probl me technique par ex probl me de r seau L application mettrice re oit dans la quittance d envoi des indications quant l origine de l erreur Emetteur request Adaptateur receipt T be R cepteur _ Illustration 4 Envoi non r ussi d un message L adaptateur ne peut pas transmettre le request au r cepteur L metteur re oit une quittance
104. t gories d erreurs Codes de statut Comportement en cas d enveloppe incorrecte statut 200 Gestion des doublons en mati re de message ID statut 201 Comportement lors d erreurs de r seau OFS sedex et registres Calcul de la date de p remption d un message codes de statut 203 204 et 701 43 Exemples Exemple livraison de la commune d Olten la statistique sedex_v4 0 4 hb fr 3 88 Manuel sedex V4 0 4 D D U 1R amp w D M MU NU NU NU NU NU NU NU NU NU NU NU HN ND 0 HA D st WON ODDMDODNOMNNMHAWONNNABRHAHAA Proxy service web But du Proxy service web Fonctionnement du Proxy service web Echange de messages Acc s au Proxy service web Services web compatibles Aspects de exploitation de l adaptateur sedex D lais de conservation Version du sch ma XML eCH 0090 Messages de service sedex Polling Surveillance des composants Fichier monitoring Requ te HTTP Optimisation du client sedex Verrouillage des applications Assistance a distance M canisme des commandes R cup ration de la configuration et des logs Mise a jour Journalisation Processus Vue d ensemble Certification des applications participantes Annonce d un participant Pr parer l annonce Annoncer les participants l OFS Installation du client sedex Exigences en mati re de configuration r seau Pr paration de la configuration r seau Installation Modification des autorisations routage Modification des autorisatio
105. t 1 i 1 7 H 1 H i i i i CerificateRenewalAuthorizationStatus certid pending i i E y 1 1 T LI i 1 i 1 1 1 1 1 1 1 1 H 1 i i i 1 i i 1 i 1 1 i A RenewalAuthorization i 1 1 1 g T j 1 1 1 1 i i j i 1 1 i 1 i 1 i i i CertificateDelivery certificate password replacingCertid 1 1 1 L 1 i i i i i install Certificate f i i gt i i i 1 i i 1 i I 1 1 1 i 1 i 7 i i i i i i 1 1 1 i 1 j i i CertificatelnstallationResult certid time installe d i i 1 1 Illustration 22 Processus standard du renouvellement automatique du certificat 8 4 3 Inconv nients du renouvellement manuel du certificat Le processus n est pas d clench par le syst me mais initi par le participant sedex Le transport du certificat d organisation depuis l application g n ratrice d Admin PKI jusqu au par ticipant sedex est une proc dure longue lourde et co teuse La clef publique est publi e imm diatement apr s la commande et non pas suite l installation du certificat Les messages adress s durant ce laps de temps au participant ne pourront pas tre t l charg s Le renouvellement manuel du certificat n cessite un red marrage de l adaptateur sedex_v4 0 4 hb fr 76 88 Manuel sedex V4 0 4 OFS sedex et registres 8 4 4 Proc dure pour retrouver la date d expiration du certificat d organisation
106. t les versions de sch mas XML support s par les participants 8 3 3 Configuration requise Le service web CheckSedex exige l utilisation d un certificat pour chiffrer la communication Pour utiliser ce service il est donc n cessaire d utiliser le proxy service web Il est galement possible d impl menter les m canismes de s curit directement dans l application participante il n est d s lors plus n cessaire d utiliser le proxy service web 8 3 4 Param tres d envoi Nom d attribut Type ot Description Sender sedex ID i ID de l metteur metteur dans l enveloppe AdapterlD sedex ID ID de l adaptateur qui doit en w oo les donn es MessageType lol meena de message MessageClass Classe de message Taille du fichier m tier en octets Recipients Liste des sedex Oui Liste des destinataires dans ID l enveloppe sedex_v4 0 4 hb fr 73 88 Manuel sedex V4 0 4 OFS sedex et registres 8 3 5 Param tres de r ponse Nom d attribut Type Description Result Num rique 0 YES message valable et autoris 1 NO le message ne peut pas tre envoy voir code d erreur OK no error Unknown sender id s Unknown recipient id s Unknown physical sender id s Invalid message type s Invalid message class s Not allowed to send Not allowed to receive User certificate not valid Message size exceeds limit 999 Other d tails sous Attribut ErrorMessage ErrorC
107. taller les services cor respondants sedex_v4 0 4 hb fr sedexclient bin Instal lAswindowsService bat sedexAdapterwrapper sh start bat start sh startwsproxy bat startwsproxyNowrapper bat startwsproxyNowrapper sh stop bat stop sh UninstallwindowsService bat wrapper aix ppc 32 wrapper aix ppc 64 wrapper exe wrapper linux ppc 64 wrapper linux x86 32 wrapper linux x86 64 wrapper macosx ppc 32 wrapper macosx universal 32 wrapper solaris sparc 32 wrapper solaris sparc 64 wrapper solaris x86 32 19 88 Manuel sedex V4 0 4 OFS sedex et registres R pertoire conf Contient les fichiers de configuration du client se dex deploy R pertoire utilis par l adaptateur sedex grace auquel le proxy service web d ploie les paquets Contient les messages en trants interface entre l application participante et la plateforme de communi cation sedex Description internalmessages Contient les messages techniques envoy s et re Contient les librairies n cessaires au fonctionne ment du client sedex Contient les fichiers logs du client sedex messagestorage Contient les messages a envoyer Les messages sont d plac s dans ce r pertoire d s qu ils ont t sedex_v4 0 4 hb fr Contenu wsproxyinstal Service bat wsproxyserver jar wsproxy sh wsproxyStartService bat wsproxyStopService bat wsproxyUninstallService bat sedexclient conf certificateConfiguration xml log4j xml sedexAdapter
108. ti re de s curit authentification et certification A partir de la version 2 0 l adaptateur sedex inclut un proxy service web permettant une authenti fication par certificat du participant vis vis d autres services web qui n ont d s lors plus s oc cuper de la gestion des utilisateurs La version 4 0 int gre la notion de controller Ce nouveau composant doit garantir la bonne mar che de l adaptateur sedex et du proxy service web sedex Ces trois composants sont d sormais regroup s sous le nom de client sedex 1 2 Objectif du document Ce document d crit le syst me sedex du point de vue des applications participant l interconnexion avec sedex Il est destin en premier lieu aux fournisseurs de logiciel d veloppant ce genre d applications Les publics cible de ce document sont e les architectes de logiciel e les d veloppeurs de logiciel e les responsables de la s curit e les exploitants du client sedex Ce manuel fixe les conditions de mise en ceuvre pour les fournisseurs de logiciel qui souhaitent raccorder leur application a sedex ou passer par sedex pour traiter des business use cases L Of fice f d ral de la statistique a tabli ce manuel l issue de longs travaux d analyse et au terme de larges consultations Des adaptations et des modifications ne peuvent cependant pas tre ex clues 1 3 Version du document Chaque version du client sedex fait l objet d une version correspondante du manuel sed
109. tificat d organisation de l adaptateur A cet effet le Proxy service web r plique localement aupr s des clients les points finaux correspondants du prestataire de servi ce sedex_v4 0 4 hb fr 12 88 Manuel sedex V4 0 4 OFS sedex et registres Plus d informations au chapitre 3 11 2 2 6 Controller La version 4 0 comprends un controller sedex Ce produit vient s ajouter aux composants exis tants adaptateur et proxy service web et est destin a garantir leur bonne marche Principales caract ristiques du controller e Surveillance des composants e Red marrage des composants lorsque ceux ci s arr tent inopin ment e Mise a disposition d un monitoring surveillance du client sedex e Extraction a distance des logs et de la configuration pour un meilleur support e Mise a jour des composants Jusqu a la version 3 0 l adaptateur et le proxy service web sont d marr s de mani re ind pen dante D s la version 4 0 seul le controller doit tre d marr A son tour il d marre l adaptateur et le proxy service web De cette fa on le controller d tecte et corrige tout arr t inopin d un composant Le controller apporte donc un changement fondamental dans la mani re de d marrer les composants sedex 2 2 7 Client Le client sedex n est pas un programme suppl mentaire mais un terme utilis partir de la ver sion 4 0 pour d signer l installation compl te comprenant le controller l adaptateur et le pr
110. transfert est assur e dans sedex au moyen de la tech nologie Public key avec utilisation de certificats d organisation d livr s par AdminPKI voir aussi le site http www pki admin ch La protection des donn es trait es exige cependant aussi que l ordinateur sur lequel sont pr par es les donn es avant leur transfert soit galement s curis Cette protection est importante dans la mesure o les donn es sont ici sans protection aucune et que les l ments secrets private key sont galement install s sur cet ordinateur Important la s curit de ces composants pourrait tre compromise si une personne non autori s e pouvait y acc der 7 6 Renouvellement des certificats de s curit 7 6 1 La probl matique de la mise jour des certificats de s curit La plate forme sedex n cessite plusieurs types de certificats pour son fonctionnement Les certifi cats de s curit serveur et client sedex sont valables 3 ans Ce document traite seulement deux types de certificats qui sont directement touch s par cette date d expiration et l utilisation de la fonctionnalit du renouvellement automatique 1 le certificat d organisation de l adaptateur sedex 2 le certificat de transport et les truststores du serveur sedex Pour permettre la mise jour de ces certificats le client sedex doit fonctionner sans interruption pendant au moins 24 heures Il n est pas possible de transmettre un message sur la plateforme sedex s
111. uittance par une application confirmation de r ception que le r cepteur envoie l application mettrice Le cas ch ant une quittance de ce type est envoy e lorsqu un grand laps de temps peut s couler d ici l envoi d une r ponse ou lorsque le r cepteur n a pas pr vu d envoyer de r ponse 3 Error Information de l appli cation destinataire l attention de l application mettrice indiquant que le message n a pas pu tre trait 4 9 et 11 maxint r serv pour des d veloppements ult rieurs Cet l ment est attribu par une application en r ponse une autre application ou lorsqu elle met un message d erreur par rapport un message L l ment contient lID du message initial Cet l ment doit tre plac lorsque messageClass 1 response 2 receipt ou 3 er ror Emetteur du message D signe de mani re univoque le service adminis tratif qui met le message R cepteur du message D signe de mani re univoque le service adminis tratif qui re oit le message Date de l v nement Date laquelle l v nement auquel se r f rent les donn es utiles s est produit La date de l v nement peut tre consid r e comme partie int grante des donn es utiles par le r cepteur par ex d m nagement jour de r f rence dans la livraison pour la statistique etc OFS sedex et registres Oblig Nombre 29 88 Type xs int Idem que pour
112. urs de logiciel doivent r pondre aux exigences sui vantes e Le logiciel doit utiliser le client sedex selon les conditions d crites dans ce manuel Il n est pas permis d impl menter des solutions d vitement qui pourraient mettre en danger la s curit e L ordinateur sur lequel est install le logiciel doit b n ficier d un niveau de protection lev En font partie e une protection contre les virus mise jour automatiquement e l actualisation imm diate de l installation si des lacunes de s curit sont d tect es e un acc s r serv exclusivement aux personnes qui en ont besoin pour exercer leur fonction e la d connexion des services qui ne sont pas utilis s par le syst me d exploitation e la limitation des acc s au r seau aux seuls protocoles utilis s dans l exploitation Cela concerne en particulier l acc s des r seaux qui ne sont pas sous la responsabilit directe de l organisation concern e 7 4 Evaluation des risques de s curit pour l metteur et le r cepteur L valuation des risques de s curit pour l metteur et le r cepteur a t r alis e par l Unit de pilotage informatique de la Conf d ration UPIC Le r sultat est disposition document en alle mand l adresse http www sedex ch sedex_v4 0 4 hb fr 69 88 Manuel sedex V4 0 4 OFS sedex et registres 7 5 Composants de la s curit certificats de s curit La s curit des donn es au cours de leur
113. ux qui ont t inclus dans l auto certification par son fournisseur de logiciel Il n est pas n cessaire que chaque participant proc de a une requ te isol e pour demander l ajout par le fournisseur de types de messages suppl mentaires lors du renouvellement de l au to certification le service client le de l OFS veille ce que les clients du fournisseur qui sont d j autoris s le soient galement pour les nouveaux types de message Selon le nombre des partici pants concern s le service client le conviendra avec le fournisseur du d lai dans lequel les mu tations doivent s effectuer 4 5 2 Modification du routage Les participants qui souhaitent passer un raccordement indirect sedex doivent d signer le nom du r cepteur par d faut Sauf instruction contraire le certificat d organisation est r voqu apr s le changement de routage Les participants qui souhaitent passer a un raccordement direct sedex doivent annoncer l adresse postale pour la livraison du certificat d organisation 4 6 Renouvellement du certificat d organisation 4 6 1 Types de renouvellement Les certificats d organisation sont valables trois ans En principe le renouvellement s effectue automatiquement voir chapitre 4 6 2 Si le participant est une instance de test p ex T3 CH 1 le renouvellement doit tre effectu manuellement voir chapitre 4 6 3 En raison des d savantages que repr sente le renouvellement manuel voir chapitre
114. walAuthorizationStatus xsd CertificateRenewalGlobalDefinitions xsd CertificateRenewalInitiation xsd certificateRenewalRequest xsd CertificateRenewalTermination xsd CheckSedexwebService wsd1 clientServicesTypes xsd clientServices wsdl ConfigurationwebService wsd1 eCH 0090 1 0 xsd eCH 0090 2 0 xsd SedexAuthorisationimpl wsdi sedexServiceMessages 1 0 xsd sedexutil 1 0 xsd truststoreDelivery 1 0 xsd xenc schema xsd xmldsig core schema xsd sent Contient les messages trai t s pas n cessairement zertifikate Contient le certificat ee ee d organisation le certificat de transport et les truststo res 3 1 2 Client sedex 2 V4 0 Ce chapitre donne un aper u de la structure de r pertoire pour les versions 2 4 0 du client sedex sedexclient adapter bin controller interface lib logs monitoring sil temp sedex_v4_0 4 hb fr 21 88 Manuel sedex V4 0 4 R pertoire Description adapter Contient l adaptateur sedex le proxy service web sedex la base de donn es interne les fichiers de configuration les sch mas XML le certificat d organisation le certi ficat de transport et les truststores bin Contient les fichiers n cessaires pour d marrer et arr ter le client sedex et installer le service cor respondant controller Contient le controller sedex les fichiers de configuration le sch mas XML et le certificat de mise jour interface Contient les r pertoires qui for ment l interface entr
115. x Le certificat de transport et les truststores du serveur sedex sont livr s avec le client sedex Ces certificats servent a identifier de mani re certaine le serveur sedex de fa on emp cher la connexion a des serveurs quelconques Ce type de certificat est g n r par l OFIT et renouvel automatiquement et au m me moment par tous les participants sedex y compris les participants tests sedex_v4 0 4 hb fr 71 88 Manuel sedex V4 0 4 OFS sedex et registres 8 Annexe 8 1 Sch mas XML Par le pass L OFS mettait disposition sur son site Internet les sch mas XML pour l enveloppe sedex la quittance sedex ainsi que pour les diff rents use cases utiles dans le cadre de l harmonisation des registres Etant donn que les sch mas XML sont entre temps publi s sur le site Internet de l association eCH l OFS renonce publier l avenir son propre jeu de sch mas XML Les sch mas sont d sormais t l chargeables l adresse suivante http www ech ch xmins 8 2 R gles pour les documents XML 8 2 1 Codage des documents XML Le codage de tous les documents XML chang s devrait tre UTF 8 conform ment aux recom mandations d eCH et de la norme eCH 0018 XML Best Practices Si UTF 8 n est pas utilis il faut indiquer l encodage correpondant dans la d claration de XML encoding cause du vo lume de donn es suppl mentaires chaque signe n cessite 2 octets il faut renoncer l utilisa tion d UTF 16
Download Pdf Manuals
Related Search