Linee Guida per la pubblicazione di Applicazioni in E015 Digital Ecosystem

Transcript

1 Linee Guida per la pubblicazione di Applicazioni in E015 Digital Ecosystem Versione 1.0 Data di rilascio: 4/10/2012

2 Contenuti 1 Introduzione Processo di pubblicazione delle applicazioni in E015 Digital Ecosystem Dimensioni di qualità per le applicazioni in E015 Digital Ecosystem e Linee Guida per la pubblicazione Integrazione con Ecosistema (Aspetti Generali) Integrazione con Ecosistema (Aspetti Tecnico/Funzionali) Architettura dell : caching delle informazioni erogate dai servizi Integrazione con i componenti core dell ecosistema : Accesso sicuro ai servizi e utilizzo del meccanismo dell attestazione Interazione con End User: Linee guida per Usabilità e User Experience Interazione con End User: Smooth Degradation of Quality of User Experience Verifiche del Technical Management Board per la pubblicazione delle applicazioni Allegato 1. Scheda Applicazione A1.1 Sezione Descrizione Generale A1.2 Sezione Informazioni Integrative A1.3 Sezione Sessione di validazione Allegato 2. Template e Linee Guida per sezione E015 Digital Ecosystem su proprio sito web istituzionale Pag. 2 di 21

3 1 Introduzione E015 Digital Ecosystem offre ai soggetti aderenti numerose opportunità (sinteticamente riportate nello schema in Figura 1): a. Mettere a disposizione un servizio. Il soggetto aderente pubblica all interno dell Ecosistema un servizio disponibile per la realizzazione di applicazioni End User. Contestualmente alla pubblicazione, il Service Provider stabilisce le condizioni di utilizzo e le opzioni selezionate per la fruizione dei dati e delle funzionalità erogate dal servizio. b. Mettere a disposizione una. Il soggetto aderente pubblica all interno di E015 Digital Ecosystem una End User Application, realizzata utilizzando alcuni dei servizi resi disponibili da parte di altri soggetti. c. Mettere a disposizione un servizio di Identity Provider. Il soggetto aderente agisce in qualità di Identity Provider specializzato nella gestione dell Identità Digitale e pubblica all interno dell Ecosistema uno speciale servizio condiviso per la verifica della validità delle credenziali degli utenti finali. La disponibilità di servizi di questo tipo (denominati servizi di IdP) abilita la separazione di ruoli tra chi fornisce funzionalità applicative agli utenti e chi si occupa della gestione dell identità digitale degli utenti. I servizi di IdP consentono di agganciare a E015 Digital Ecosystem i bacini di utenza da essi gestiti e possono essere utilizzati da parte degli End User Application Provider per l esternalizzazione delle funzionalità di verifica e gestione delle credenziali utente. d. Mettere a disposizione un glossario. Il soggetto aderente propone di pubblicare all interno dell Ecosistema un glossario condiviso che possa essere utilizzato come schema di classificazione e data model di riferimento da parte di chi sviluppa applicazioni e servizi all interno di uno o più domini applicativi. Il Technical Management Board ed il Governance Board possono a loro volta decidere di recepire all interno dell Ecosistema glossari condivisi ritenuti significativi per maturità e grado di diffusione. Figura 1 Opzioni disponibili per i soggetti aderenti all Ecosistema Il presente documento indica le modalità operative e le Linee Guida tecnologiche che è necessario seguire al fine di poter pubblicare una all interno di E015 Digital Ecosystem. Pag. 3 di 21

4 2 Processo di pubblicazione delle applicazioni in E015 Digital Ecosystem La pubblicazione di applicazioni all interno di E015 Digital Ecosystem si svolge in modo controllato, in accordo a un processo di pubblicazione ben preciso che prevede l interazione tra l End User Application Provider e l Ecosistema stesso. Tale processo di pubblicazione è raffigurato in Figura 2. RICHIESTA USO SERVIZI SCHEDA APPLICAZIONE Elaborazione concept Servizi richiesti: Servizio A Servizio B Servizio C Sviluppo Esercizio Applicazione Consultazione registry servizi Invio Scheda Applicazione e Richieste uso servizi Notifiche accettazione richieste Richiesta di pubblicazione e invio scheda di dettaglio Notifica pubblicazione Valutazione richieste da parte dei service provider Verifica Approvazione Messa a disposizione Linee guida per sviluppo applicazioni Linee Guida per lo sviluppo delle applicazioni Figura 2 Processo di pubblicazione delle applicazioni in E015 Digital Ecosystem (da sinistra a destra il flusso delle attività che ogni soggetto svolge e la corrispondente sincronizzazione) Viene riportata nel seguito una descrizione di tutti i passi che caratterizzano il processo di pubblicazione delle applicazioni all interno dell Ecosistema. Si precisa che le interazioni tra l End User Application Provider ed E015 Digital Ecosystem sono supportate da un ambiente di interazione disponibile online attraverso il quale gestire le richieste di pubblicazione delle applicazioni ed i necessari scambi informativi (incluse eventuali notifiche). FASE DI PROCESSO Consultazione Registry Servizi Elaborazione Concept DESCRIZIONE L End User Application Provider naviga all interno del Registro dei Servizi dell Ecosistema e prende visione dei servizi offerti e potenzialmente disponibili per essere utilizzati all interno dell. L End User Application Provider, dopo aver aderito a E015 Digital Ecosystem, identifica le funzionalità di interesse che ritiene opportuno esporre sotto forma di ICT all interno dell Ecosistema. Tale valutazione di opportunità viene eseguita dall End User Application Provider in accordo alle proprie strategie. Pag. 4 di 21

5 Richiesta utilizzo servizi Notifica Richieste d uso dei servizi Valutazione richieste d uso da parte dei service provider Notifiche accettazione richieste d uso Sviluppo Invio Richiesta di pubblicazione e scheda Verifica Applicazione Una volta consolidato il concept della nuova che prevede l utilizzo di servizi comuni esposti su E015 Digital Ecosystem l End User Application Provider inoltra al Technical Management Board le richieste per poter utilizzare i servizi necessari per la realizzazione dell stessa. Tali richieste devono essere accompagnate da: 1. una descrizione sintetica del concept dell che si intende realizzare e pubblicare; 2. l indicazione delle modalità secondo le quali si intende erogare l (ad esempio, erogazione attraverso la sezione pubblica di un sito web, erogazione di mobile a pagamento su uno specifico store, ). Le richieste di utilizzo dei servizi vengono notificate dal Technical Management Board ai soggetti erogatori dei servizi. Per quei servizi che necessitano di una autorizzazione di accesso esplicita da parte dei Service provider (poiché esposti sull ecosistema in modalità RESTRICTED ) le richieste di utilizzo sono verificate ed accettate dai soggetti erogatori a propria discrezione. Per i servizi che non necessitano di una specifica autorizzazione di accesso viene comunque notificato al corrispondente Service Provider la richiesta di utilizzo del proprio servizio esposto. L accettazione delle richieste di utilizzo da parte dei singoli soggetti erogatori del servizio viene notificata al Technical Management Board e all End User Application Provider che ne aveva fatto richiesta. Una volta ottenuto l accesso ai servizi richiesti E015 Digital Ecosystem fornisce tutte le informazioni predisposte dal Service Provider per poter effettuare l integrazione -servizio, riassunte nel Descrittore del Servizio. Da questo punto l End User Application Provider può proseguire operativamente nella progettazione e nell implementazione dell sviluppando le logiche proprie dell e utilizzando i servizi cui ha ottenuto accesso (eventualmente facendo riferimento a versioni di test dei servizi nel caso in cui tali versioni siano state messe a disposizione dai corrispondenti Service Provider ). Una volta completata la propria l End User Application Provider compila in ogni sua parte la Scheda Applicazione (si veda l Allegato 1 per i dettagli sul contenuto) e la invia all Ecosistema. L invio della scheda all Ecosistema consente di definire completamente la richiesta di pubblicazione dell stessa fornendo tutti gli elementi necessari per la successiva verifica e validazione da parte del Technical Management Board. Con l invio della Scheda Applicazione l End User Application Provider formalizza la propria disponibilità all avvio delle verifiche necessarie da parte del Technical Management Board per poter approvare la pubblicazione dell in E015 Digital Ecosystem. Il Technical Management Board prende in carico la richiesta di pubblicazione trasmessa dall End User Application Provider e procede con le attività di verifica necessarie. I dettagli sulla procedura di verifica dell da parte del Technical Management Board sono forniti nel capitolo 4 del presente documento. In questa fase, l End User Application Provider garantisce al TMB pieno Pag. 5 di 21

6 Accettazione richiesta di pubblicazione Notifica pubblicazione Esercizio Applicazione accesso all, in modo da rendere possibile l esecuzione delle verifiche. Nel caso in cui fossero riscontrate delle anomalie, il TMB interagisce con l End User Application Provider fornendo indicazioni e raccomandazioni relative a quali interventi eseguire per ottenere l approvazione alla pubblicazione. Nel caso in cui tutte le verifiche effettuate siano andate a buon fine, il Technical Management Board accetta la richiesta di pubblicazione dell inviata da parte dell End User Application Provider. Il Technical Management Board inserisce l all interno del Registro delle applicazioni ufficialmente pubblicate all interno di E015 Digital Ecosystem. Le informazioni riportate pubblicamente nel Registro consultabile presso il portale dell Ecosistema rappresentano una porzione dei contenuti presenti all interno della Scheda Applicazione (alcune informazioni della scheda sono infatti ad uso interno del Technical Management Board e non saranno visibili all interno del Registro pubblico delle applicazioni). Qualora la richiesta di pubblicazione non potesse essere accettata (ad esempio, per motivi di non conformità dell con le Linee Guida dell Ecosistema per la pubblicazione delle applicazioni), il Technical Management Board interagirà con l End User Application Provider fornendo raccomandazioni specifiche al fine di indirizzare le problematiche riscontrate e facilitare in questo modo il processo di pubblicazione attraverso la ripetizione di una successiva e analoga sessione di validazione. E015 Digital Ecosystem inoltra all End User Application Provider la notifica di accettazione della richiesta di pubblicazione. Contestualmente E015 Digital Ecosystem segnala ai Service Provider che i servizi da loro concessi sono stati integrati ed utilizzati nell che è stata pubblicata. L End User Application Provider è tenuto a dare comunicazione su proprio sito web istituzionale dell avvenuta pubblicazione della propria all interno dell Ecosistema, in accordo alle Linee Guida riportate nella successiva sezione 3. L End User Application Provider è responsabile dell erogazione dell in accordo alle Linee Guida dell Ecosistema e secondo le modalità descritte attraverso la Scheda Applicazione. Tabella 1 Descrizione delle fasi del processo di pubblicazione di una Si precisa che durante tutte le fasi sopra riportate il Technical Management Board resterà a disposizione degli End User Application Provider e svolgerà un ruolo di supporto e di facilitazione al fine di consentire ai soggetti aderenti di poter portare a termine con successo le procedure di pubblicazione delle proprie applicazioni. Si precisa inoltre che tutte le indicazioni e le Linee Guida specifiche per poter portare a termine con successo la procedura di pubblicazione di una sono rese disponibili agli End User Application Provider all interno dell ambiente online di interazione con E015 Digital Ecosystem. Pag. 6 di 21

7 3 Dimensioni di qualità per le applicazioni in E015 Digital Ecosystem e Linee Guida per la pubblicazione Un per poter essere pubblicata in E015 Digital Ecosystem deve possedere caratteristiche di qualità che indirizzano sia tematiche di tipo tecnologico per abilitare la corretta interazione con i servizi pubblicati nell Ecosistema che aspetti di tipo organizzativo. Tutti questi elementi sono correlati alle verifiche che saranno svolte dal Technical Management Board per stabilire l idoneità dell stessa alla pubblicazione nell Ecosistema. In generale le caratteristiche specifiche di tipo tecnologico rappresentano solo una quota parte delle proprietà di qualità; in una ideale scala di maturità di una verso l Ecosistema, gli aspetti di tipo tecnologico (ad esempio: disponibilità del codice, aspetti infrastrutturali e di architettura, accesso sicuro ai servizi, ) sono solo alcune delle proprietà desiderate per un ; a queste vanno necessariamente affiancate altre proprietà di qualità che si focalizzano sugli aspetti di interazione con l utente e sugli aspetti generali di interazione con l Ecosistema, che individuano elementi di tipo organizzativo essenziali per assicurare che ciascuna sia descritta in modo completo e coerente nell Ecosistema. Ciascuna delle dimensioni di interesse per la pubblicazione delle applicazioni rappresenta una specifica caratteristica di qualità di un, che deve essere realizzata e documentata affinché l possa essere considerata pubblicabile all interno di E015 Digital Ecosystem. Le caratteristiche rilevanti per la pubblicazione di una in E015 Digital Ecosystem sono le seguenti: aspetti generali di integrazione con E015 Digital Ecosystem (paragrafo 3.1): rientrano in questa categoria tutti gli aspetti di tipo non tecnico necessari per garantire una corretta gestione organizzativa dell all interno dell Ecosistema; aspetti tecnico-funzionali di integrazione con E015 Digital Ecosystem (paragrafo 3.2): rientrano in questa categoria tutti gli aspetti di tipo tecnico necessari per garantire la corretta integrazione dell con i servizi pubblicati nell Ecosistema e utilizzati dall ; aspetti correlati all interazione con l utente finale (usabilità, grafica, utilizzo) (paragrafi 3.3 e 3.3.1): rientrano in questa categoria tutti gli aspetti correlati all usabilità dell e alla user experience dell utente finale (ad esempio, la semplicità di installazione e configurazione); o in particolare, le Linee Guida di E015 Digital Ecosystem forniscono una linea guida specifica denominata Smooth degradation of Quality of User Experience (paragrafo 3.3.1) attraverso la quale si forniscono agli End User Application Provider indicazioni per prendersi in carico eventuali difficoltà di interazione con i servizi utilizzati dall evitando di renderli visibili agli utenti finali. Nei prossimi paragrafi vengono fornite le indicazioni operative per indirizzare ciascuna di queste caratteristiche di qualità. 3.1 Integrazione con Ecosistema (Aspetti Generali) Perché un venga pubblicata nell Ecosistema l End User Application Provider deve garantire il rispetto delle seguenti linee guida: Pag. 7 di 21

8 Utilizzo del logo «E015 digital ecosystem Powered by EXPO MILANO 2015» nell. L deve evidenziare, ove possibile 1, sulle proprie schermate il logo rilasciato in fase di adesione e, ove possibile (nel caso ad esempio di applicazioni interattive) il logo stesso dovrà essere reso cliccabile dall utente finale referenziando la Home page del sito web dell Ecosistema. Pubblicazione sul sito web istituzionale delle informazioni inerenti l pubblicata. L End User Application Provider deve prevedere sul suo sito web istituzionale una sezione dedicata alla descrizione dell iniziativa E015 Digital Ecosystem e alla descrizione generale della partecipazione all Ecosistema da parte dell end User Application Provider. Ulteriori indicazioni operative relative a tale Linea Guida web sono disponibili all interno dell Allegato Integrazione con Ecosistema (Aspetti Tecnico/Funzionali) In aggiunta alla conformità rispetto alle linee guida generali di integrazione con l ecosistema descritte nel paragrafo precedente è necessario che l garantisca la corretta integrazione con i servizi pubblicati nell ecosistema e utilizzati dall stessa sia dal punto di vista della conformità funzionale all interfaccia presentata dai servizi, sia con riferimento al rispetto delle modalità di interazione specifiche previste dai singoli servizi e definite nei rispettivi descrittori (ad esempio la frequenza massima consentita per l invocazione del servizio da parte di una ). In particolare l End User Application Provider dovrà indirizzare i seguenti aspetti: o Invocazione dei servizi. Tutti i servizi dichiarati nella Scheda Applicazione devono essere correttamente invocati dall stessa, secondo le modalità specifiche previste e indicate nei Descrittori dei singoli servizi. o Architettura. Al fine di ottimizzare l utilizzo dei servizi comuni esposti sull Ecosistema da parte dell è richiesta l adozione di appositi accorgimenti architetturali interni all stessa (quali ad esempio componenti per il caching delle informazioni, l utilizzo di gateway etc.). o Integrazione con i componenti core dell ecosistema. Rientrano in questa categoria tutti gli aspetti tecnologici ed organizzativi a supporto dell utilizzo dei componenti e meccanismi core di E015 Digital Ecosystem da parte dell, quali ad esempio i meccanismi e componenti, già disponibili, a supporto dell accesso sicuro ai servizi da parte delle applicazioni, così come componenti a supporto dell utilizzo di meccanismi di feedback e rating per applicazioni e servizi che potranno essere resi disponibili in futuro nell ecosistema Architettura dell : caching delle informazioni erogate dai servizi L End User Application Provider nella progettazione e sviluppo dell deve adottare gli accorgimenti architetturali interni necessari per garantire l ottimizzazione delle interazioni con i servizi comuni dell Ecosistema utilizzati dall stessa. L End User Application Provider deve garantire che il numero di richieste trasmesse ai servizi utilizzati dall sia in linea con la frequenza massima di aggiornamento dei dati stabilita dai singoli servizi (così come specificata dai Service Provider nei rispettivi Descrittori dei servizi). Per garantire questo comportamento, l End User Application Provider deve progettare l architettura applicativa in modo da evitare che tutte le azioni effettuate sull interfaccia utente dell si traducano automaticamente in richieste sui servizi utilizzati dall, con il rischio di generare un 1 Alcuni esempi di applicazioni impossibilitate a mostrare il logo rilasciato in fase di adesione sono: pannelli informativi in grado di visualizzare solamente messaggi di tipo testuale, schermi vincolati anche per motivi di carattere normativo alla visualizzazione di soli elementi grafici predefiniti non personalizzabili. Pag. 8 di 21

9 traffico inutile (se la frequenza delle richieste supera quella massima di aggiornamento da parte dei singoli Service Provider) e potenzialmente dannoso per il Service Provider. Invocazione diretta dei servizi da parte dell Invocazione mediata da un componente di caching dei dati COMPONENTE DI CACHING DEI DATI FUNZIONALITÀ FUNZIONALITÀ FUNZIONALITÀ FUNZIONALITÀ FUNZIONALITÀ FUNZIONALITÀ DATI DATI DATI DATI DATI DATI Figura 3 Utilizzo di componenti di caching dei dati per mediare l interazione con i servizi dell Ecosistema L introduzione nell architettura dell di componenti intermedi in grado di svolgere il ruolo di mediatori nelle interazioni con i servizi applicativi dell ecosistema (come mostrato in Figura 3), consente di indirizzare in modo adeguato e flessibile il requisito sopra descritto. Questi componenti implementano dei meccanismi di caching intelligente dei dati restituiti dai servizi dell ecosistema utilizzati dall. È importante ricordare che la durata della memorizzazione dei dati di ciascun servizio nella cache dovrà essere necessariamente conforme a quanto eventualmente definito dal Service Provider nelle policy del servizio Integrazione con i componenti core dell ecosistema : Accesso sicuro ai servizi e utilizzo del meccanismo dell attestazione L End User Application Provider deve garantire l utilizzo dei componenti e meccanismi core di E015 Digital Ecosystem da parte dell, quali ad esempio i meccanismi e componenti a supporto dell accesso sicuro, o componenti a supporto dell utilizzo di meccanismi di feedback e rating per applicazioni e servizi che potranno essere resi disponibili in futuro. In particolare il componente di supporto alla gestione dell attestazione di partecipazione all Ecosistema è un componente logico dell architettura che rappresenta il supporto al meccanismo di attestazione dell appartenenza di servizi e applicazioni all Ecosistema basato su certificati X.509 memorizzati e resi disponibili dai registri di E015 Digital Ecosystem. Tale supporto consiste nel fornire meccanismi che permettano di discriminare l accesso ai servizi a diversi livelli, permettendo per esempio al service provider di decidere a quali applicazioni o servizi permettere l accesso applicativo e all End User Application Provider di indentificare univocamente la propria nel momento dell invio delle richieste ai servizi utilizzati nell ecosistema. Il meccanismo di attestazione si basa sulla pubblicazione e sull utilizzo di certificati X.509 ( da parte del Service Provider e dell End User Application Provider che intendono interagire a fini di mutuo riconoscimento. Tale meccanismo è monitorato dal Technical Management Board dell Ecosistema. Pag. 9 di 21

10 Segue una descrizione di dettaglio delle attività da svolgere da parte dell End User Application Provider per la predisposizione e successivo utilizzo del meccanismo di attestazione nelle diverse fasi del processo di pubblicazione dell : Fase di invio della richiesta d uso dei servizi a E015 Digital Ecosystem o L End User Application Provider crea una coppia di chiavi, una privata e una pubblica inserita in un certificato X.509, ottenendola da una authority esterna o auto generandola (si veda più avanti). o L End User Application Provider trasmette il certificato definito per la propria all Ecosistema insieme alla richiesta di utilizzo dei servizi. Fase di sviluppo e dispiegamento dell o L End User Application Provider configura il proprio application server per l utilizzo della chiave privata inserendola nel relativo keystore allo scopo di utilizzarla nelle interazioni su protocollo SSL/TSL con Client Authentication richieste dai Service Provider. In caso di app mobile, realizza un opportuno End User Application Broker per la gestione delle interazioni sicure tra Ecosistema e istanze multiple dell installate su dispositivi mobili (tale mediatore rappresenta un elemento di disaccoppiamento tra istanze multiple di una mobile e il resto dell Ecosistema, così da ricondurre allo scenario standard e gestire in modo omogeneo le interazioni tra soggetti dell Ecosistema relative all attestazione di appartenenza). Fase di preparazione alla fruizione del servizio o L End User Application Provider recupera il certificato del servizio da fruire dal relativo descrittore pubblicato nel Registro dei servizi di E015 Digital Ecosystem oppure dalla notifica di accettazione della richiesta di utilizzo del servizio trasmessa dall ecosistema. o L End User Application Provider inserisce il certificato del servizio nel truststore dell application server su cui gira l (o il proprio Application Broker). Fase di fruizione del servizio a runtime o L instaura un canale di comunicazione sicuro (SSL/TLS con Client Authentication) tra EUApp Broker e servizio utilizzando lato client la propria chiave privata. Il Technical Management Board supporta la gestione del meccanismo di attestazione svolgendo le seguenti attività: Durante la fase di gestione delle richieste di utilizzo dei servizi trasmesse dall End User Application Provider: o Verifica che il certificato X.509 predisposto per l (e che sarà successivamente usato nelle interazioni applicative per attestare l appartenenza dell a E015 Digital Ecosystem) abbia una struttura conforme a quanto previsto dalle linee guida. o Se il certificato è corretto lo aggiunge all albo dei certificati di servizi e applicazioni dell Ecosistema o lo trasmette ai Service Provider unitamente alla richiesta di utilizzo dei servizi. A regime: o Monitora periodicamente la validità dei certificati pubblicati nei registri dell Ecosistema e propaga agli end User Application Provider le opportune notifiche di invito al rinnovo in prossimità delle date di scadenza. Pag. 10 di 21

11 Obiettivo dell Ecosistema in questo scenario di accesso sicuro ai servizi non è rivestire il ruolo di certificatore bensì gestire l albo dei certificati di servizi e applicazioni per supportare il meccanismo di attestazione basato sul reperimento e mutuo riconoscimento di certificati. Per questo motivo non sono previste componenti software di supporto centralizzate per l emissione di certificati X.509 che dovranno essere selezionati autonomamente; ciascun referente (di o servizio) è responsabile infatti di scegliere il proprio certificato e pubblicarlo nell Ecosistema per renderlo noto alle altre entità dell Ecosistema con cui potrà interagire. I certificati utilizzati da applicazioni e servizi potranno quindi in generale essere emessi da operatori di mercato ampiamente riconosciuti ed acquistati dal referente dell oppure potranno essere generati autonomamente dal referente dell utilizzando strumenti anche di libero utilizzo disponibili sul mercato. Si precisa infine che l utilizzo in E015 Digital Ecosystem di certificati auto-generati è consentito al fine di ampliare al massimo la possibilità di inclusione nell ecosistema di applicazioni e servizi; la soluzione da preferire comunque dovrebbe essere quella di utilizzo di certificati emessi da operatori professionali di mercato ampiamente riconosciuti. Pag. 11 di 21

12 Linee guida per la definizione del certificato dell Si richiede per ciascuna pubblicata nell'ecosistema l'utilizzo di certificati X509 non self-signed. o Nel caso di certificati non auto-generati (ad es. acquistati da un operatore di mercato o comunque emessi da una authority riconosciuta) questa è la normale prassi poiché questi certificati non sono mai self-signed ed esiste sempre una CA (quella del fornitore dei certificati) utilizzata per firmare i certificati foglia. o Nel caso di certificati auto-generati il requisito si traduce nella necessità di generare prima di tutto un certificato root CA (Certification Authority) e solo successivamente il certificato foglia finale che sarà effettivamente utilizzato nella connessione con i diversi servizi da parte dell. o Entrambi i certificati (CA+foglia) dovranno essere trasmessi con la richiesta di utilizzo dei servizi e successivamente forniti insieme alla scheda 2. Caratteristiche richieste per il certificato CA e il certificato foglia: Certificato CA o Durata: >=5 anni o Basic Constraint: Certification Authority, non critical o Signature Algorithm: almeno sha1rsa per massimizzare la compatibilità con il software esistente (in futuro si potrà passare a sha256rsa) Certificato foglia o Durata: >=3 anni o Basic Constraint: End Entity (quindi non-ca) o Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication o Signature Algorithm: almeno sha1rsa per massimizzare la compatibilità con il software esistente (in futuro si potrà passare a sha256rsa) 3.3 Interazione con End User: Linee guida per Usabilità e User Experience L End User Application Provider nella progettazione e sviluppo dell deve adottare gli accorgimenti architetturali interni necessari per garantire buone caratteristiche di usabilità dell da parte degli utenti finali, oltre ad assicurare una buona user experience. Con riferimento al tema generale dell usabilità dell da parte degli utenti finali, è importante che siano indirizzate in particolare almeno le seguenti tematiche: Prestazioni dell. La percezione dell utente finale sui tempi di risposta dell deve essere di tempi ragionevolmente brevi e comunque accettabili nell accesso alle diverse funzionalità applicative, in particolare quelle correlate all interazione con i Service Provider dell Ecosistema e questo qualunque sia la tipologia specifica di ( web, nativa in esecuzione su un device dell utente, etc,). Ad esempio questo potrà richiedere di prevedere nella progettazione dell architettura applicativa meccanismi in grado di nascondere all utente finale, per quanto possibile, eventuali inefficienze nell accesso ai servizi (ad esempio per problemi di rete). In questo ambito potrebbe risultare ancora una volta utile l utilizzo di componenti di architetturali di 2 Ciascun Service Provider poi potrà stabilire, sulla base delle specificità dei propri componenti per la gestione delle connessioni SSL, se utilizzare per l abilitazione di una specifica direttamente il certificato foglia oppure il certificato CA (aggiungendo poi regole specifiche per abilitare soltanto lo specifico certificato foglia). Pag. 12 di 21

13 mediazione nell interazione con i servizi dell Ecosistema già descritti in precedenza con riferimento al caching delle informazioni restituite dai servizi dell ecosistema. Installabilità e configurabilità dell. Nel caso di applicazioni che richiedono attività di installazione da parte dell utente finale su dispositivi propri (ad esempio applicazioni per smartphone scaricate da un application store) si richiede che l attività di installazione e configurazione eventualmente richiesta all utente finale sia minimale e che possa essere svolta da utenti senza conoscenze tecniche specifiche. Supporto MultiBrowser (solo per applicazioni Web). Si richiede che l possa essere eseguita sulle ultime versioni dei principali browser utilizzabili nei diversi ambienti applicativi utilizzabili dagli utenti finali. Queste caratteristiche sono importanti affinché l sia attraente e di facile utilizzo, ma, qualora non fossero realizzate, non precludono l accettazione dell da parte del TMB; in sede di verifica il TMB potrà esprimere delle raccomandazioni al fine di incentivare l evoluzione futura delle applicazioni nell ottica di migliorare nel tempo tutte queste caratteristiche di usabilità v. sezione Interazione con End User: Smooth Degradation of Quality of User Experience Con riferimento alla user experience dell correlate all interazione con i servizi dell ecosistema, si richiede che gli End User Application Provider progettino l in modo da garantire il rispetto di una linea guida specifica per l usabilità denominata Smooth degradation of Quality of User Experience. Questa linea guida stabilisce in sostanza che l deve implementare meccanismi in grado di gestire adeguatamente eventuali problemi di non raggiungibilità dei servizi, evitando quindi di rendere visibile agli utenti finali l indisponibilità dei servizi ma presentando - ad esempio - contenuti alternativi in sostituzione degli stessi. L attuazione di questo principio richiede che l si impegni a fornire una vista utente ricca e innovativa e non una semplice visualizzazione diretta dei dati restituiti dai Service Provider. L deve esser realizzata con l obiettivo di indirizzare le reali esigenze degli utenti finali e non deve quindi essere un semplice strumento di presentazione delle informazioni fornite dai servizi con cui interagisce l. Inoltre l dovrà anche preoccuparsi di fornire una interfaccia omogenea agli utenti finali anche nel caso di interazione dell con una pluralità di erogatori di servizi: questo significa che l interazione con i singoli servizi dovrà essere presentata agli utenti finali prescindendo dalle eventuali specificità di interazione richieste dai singoli servizi utilizzati. Pag. 13 di 21

14 4 Verifiche del Technical Management Board per la pubblicazione delle applicazioni END USER APPLICATION PROVIDER TECHNICAL MANAGEMENT BOARD Compilazione Scheda Applicazione Trasmissione Scheda al TMB Scheda Applicazione STEP 0 Verifica completezza scheda Segnalazione non conformità riscontrate STEP 1 EUAPP PROVIDER TMB SESSION EUApp provider mostra la propria al TMB STEP 2 Il TMB effettua sull le verifiche di integrazione con l Ecosistema (di tipo generale e tecnico-funzionale) Verifiche superate? [Si] [No] PUBBLICAZIONE APPLICAZIONE Aggiornamento Registry delle Applicazioni (inclusa sezione pubblica) STEP 4 STEP 3 Il TMB effettua sull le verifiche di tipo «End User» Invio notifica disponibilità nuova a: 1. EUApp provider («ok») 2. Service Provider (i cui servizi sono utilizzati dall ) 3. Ecosystem community Figura 4 Processo di verifica delle applicazioni in E015 Digital Ecosystem Viene riportata nel seguito una descrizione sintetica di tutti i passi che caratterizzano il processo di verifica delle applicazioni all interno dell Ecosistema. FASE DI PROCESSO Compilazione Scheda Applicazione Invio richiesta di pubblicazione Verifica completezza Scheda Applicazione DESCRIZIONE L End User Application Provider compila in ogni sua parte la Scheda Applicazione (si veda l Allegato 1 per i dettagli sul contenuto). La scheda consente di definire completamente la richiesta di pubblicazione dell fornendo tutti gli elementi necessari per la successiva verifica e validazione da parte del Technical Management Board. L End User Application Provider invia a E015 Digital Ecosystem la Scheda Applicazione. Con l invio della Scheda Applicazione l End User Application Provider formalizza la propria disponibilità all avvio delle verifiche necessarie da parte del Technical Management Board per poter approvare la pubblicazione dell nell ecosistema. Il Technical Management Board prende in carico la richiesta di pubblicazione trasmessa dall End User Application Provider ed effettua una prima verifica sulla completezza del contenuto della Scheda Pag. 14 di 21

15 Sessione di validazione Applicazione Pubblicazione (esito positivo della sessione di validazione) Segnalazione non conformità (esito negativo della sessione di validazione) Applicazione. Nel caso in cui fossero riscontrate delle anomalie, il TMB interagisce con l End User Application Provider fornendo indicazioni e raccomandazioni su quali interventi eseguire per completare i contenuti della Scheda Applicazione. Dopo aver verificato la completezza della scheda il Technical Management Board avvia la sessione di verifica e validazione dell. Al fine di consentire l esecuzione della sessione di validazione, l End User Application Provider deve mettere a disposizione del TMB: un ambiente di verifica del tutto assimilabile all ambiente di esecuzione finale dell in produzione; tutti i semilavorati ritenuti necessari dell End User Application Provider per consentire al TMB di verificare l effettivo soddisfacimento delle Linee Guida riportate nel presente documento (ad esempio, documenti di specifica tecnica, package di installazione, ambiente di configurazione, frammenti di codice o parametri di configurazione, ). In questa fase, l End User Application Provider garantisce al TMB pieno accesso all, in modo da rendere possibile l esecuzione di tutte le verifiche necessarie. Nel caso in cui tutte le verifiche effettuate siano andate a buon fine, il Technical Management Board predispone un report di sintesi relativo alla sessione di validazione. Nel caso in cui la validazione abbia esito positivo, la scheda formalizza l accettazione da parte dell Ecosistema della richiesta di pubblicazione dell e sancisce per l End User Application Provider il diritto/dovere di utilizzare il logo «E015 digital ecosystem - Powered by EXPO MILANO 2015». Qualora venissero riscontrate delle non conformità lievi (non bloccanti), rispetto alle Linee Guida, il report finale conterrà le raccomandazioni per le quali è richiesta da parte dell End User Application Provider la definizione di un piano di interventi (attività e tempi) per porre rimedio alle non conformità rilevate. La mancata definizione di tale piano oppure il mancato rispetto dei tempi in esso indicati può costituire motivo di revoca del bollino di pubblicazione dell nell Ecosistema. Infine, il Technical Management Board inserisce l all interno del Registro delle applicazioni ufficialmente pubblicate all interno di E015 Digital Ecosystem; le informazioni pubblicate sono una porzione dei contenuti della Scheda Applicazione (alcune informazioni della scheda sono infatti ad uso interno del Technical Management Board e non saranno visibili all interno del Registry pubblico delle applicazioni). Qualora la richiesta di pubblicazione non potesse essere accettata per motivi di non conformità bloccanti del servizio con le Linee Guida dell Ecosistema, il Technical Management Board concorderà con l End User Application Provider un insieme di azioni volte ad eliminare le non conformità rilevate, fornendo delle raccomandazioni per indirizzare correttamente le problematiche specifiche riscontrate (con l obiettivo di facilitare il successivo buon esito del processo di pubblicazione dell ). Fintanto che le non conformità non sono risolte, l End User Application Provider non potrà essere inserito nel registro dell Ecosistema. Pag. 15 di 21

16 Notifica disponibilità Il Technical Management Board inoltra all End User Application Provider la notifica di accettazione della richiesta di pubblicazione. L End User Application Provider è tenuto a dare comunicazione su proprio sito web istituzionale dell avvenuta pubblicazione del proprio servizio all interno dell Ecosistema, in accordo con le Linee Guida riportate nella sezione 3 e nell Allegato 2. Il Technical Management Board invia inoltre la notifica di disponibilità della nuova anche a tutti i Service Provider i cui servizi sono utilizzati nell pubblicata e in generale può informare la comunità dell Ecosistema della disponibilità della nuova. Pag. 16 di 21

17 ALLEGATO 1. SCHEDA APPLICAZIONE Nelle successive tabelle sono riportati tutti gli attributi identificati per la Scheda dell che riporta le informazioni necessarie a supporto della richiesta di pubblicazione di una End User Application; per ogni attributo vengono forniti una descrizione ed un esempio illustrativo di compilazione. A1.1 Sezione Descrizione Generale ATTRIBUTO DESCRIZIONE VALORI AMMISSIBILI / ESEMPI CARDINALITA' NOME Nome univoco dell' all'interno dell'ecosistema (per fini di comunicazione) Es: "Visitare Milano" 1 DESCRIZIONE Descrizione dell ("abstract" per fini di comunicazione) Descrizione testuale o riferimento a file esterno 1 SCREENSHOT Immagini reali dell' in esecuzione all'interno di un ambiente del tutto assimilabile a quello di produzione. Le immagini devono dare evidenza delle principali funzionalità dell' e del logo «Powered by Expo Digital Ecosystem» Riferimento a file esterni 1 N TAG PER CLASSIFICAZIONE Insieme di parole chiave che consentono di classificare l' Es: "traffico", "voli", "tagenziali", 1 N CATEGORIA Indicazione della tipologia di Es: "informazioni per il pubblico" 1 SOCIETA' EROGATRICE Nome dell'azienda che eroga l' Es: "ATM" 1 VERSIONE DATA PREVISTA DI RILASCIO Identificativo della versione dell' all'interno dell'ecosistema Data prevista per il rilascio dell' ai propri utenti finali (rilascio in produzione) Es: "1.0" 1 Es: "15/9/2012" 1 AMBITO APPLICATIVO Indicazione del dominio applicativo di riferimento dell' Es: "turismo integrato", "accoglienza", "ricettività alberghiera", 1 Pag. 17 di 21

18 A1.2 Sezione Informazioni Integrative ATTRIBUTO DESCRIZIONE VALORI AMMISSIBILI / ESEMPI CARDINALITA' TECNOLOGIA DI FRUIZIONE Tecnologie con le quali l' è stata realizzata e resa disponibile agli utenti finali Es: " web fruibile via browser", " per smart phone Android", "OBOE", 1 N SCENARIO DI EROGAZIONE Descrizione dell'ambiente e del contesto nel quale l' verrà resa disponibile agli utenti finali. Nel caso di erogata su infrastrutture fisiche (es: totem) deve anche essere fornita una mappa con tutti i punti di erogazione dislocati sul territorio. Nel caso di web deve anche essere indicata la url di accesso all'. Nel caso di applicazioni per dispositivi mobili deve anche essere indicato lo store di riferimento Descrizione testuale + Eventuale riferimento a file esterno 1 DISPONIBILITA' DELL'APPLICAZIONE Descrizione delle modalità in accordo alle quali l' sarà resa disponibile agli utenti finali: disponibile a chiunque / disponibilità limitata solo ad alcuni utenti, disponibile pubblicamente in modo gratuito / a pagamento Es: " disponibile in modo gratuito a tutti gli utenti degli aeroporti di Milano Malpensa e Linate" 1 N UTENZA TARGET Indicazione della tipologia di utenti alla quale l' è rivolta e stima indicativa del numero di utenti potenziali Es: " utenti potenziali in transito ogni giorno sulla tangenziale " 1 Pag. 18 di 21

19 A1.3 Sezione Sessione di validazione ATTRIBUTO DESCRIZIONE VALORI AMMISSIBILI / ESEMPI CARDINALITA' INFORMAZIONI SULL'AMBIENTE DI TEST Descrizione dell'ambiente di test messo a disposizione da parte dell'end User Application Provider per l'esecuzione della sessione di validazione del TMB (inclusa l'indicazione del luogo nel quale le attività di verifica dovranno essere svolte) Es: "totem di test installato presso la sede dell'end User Application Provider all'indirizzo..." 1 TEST CASE PER LINEA GUIDA "SMOOTH DEGRADATION OF QUALITY OF USER EXPERIENCE" Indicazione dei casi di test che il TMB dovrà eseguire per verificare la compliance con la linea guida di "Smooth degradation of quality of user experience". I test case relativi allo «spegnimento» di ciascuno dei singoli servizi utilizzati dall sono da considerarsi obbligatori; i test case relativi allo spegnimento di specifiche funzionalità (es: singole operations) di ciascuno dei servizi utilizzati sono da considerarsi opzionali Es: "Caso di test 1: servizio Arrivi e Partenze voli non disponibile. Caso di test 2: servizio Telecamere tangenziali non disponibile. Caso di test 3: dati della stazione di Milano Centrale non disponibili". 1 DATA VALIDAZIONE APPLICAZIONE DA PARTE DEL TMB Data in cui è stata pianificata la sessione di validazione dell' da parte del TMB Es: "24/7/2012" 1 ESITO VALIDAZIONE APPLICAZIONE Risultato della sessione di validazione dell' da parte del TMB, inclusi eventuali warning, raccomandazioni o non conformità Riferimento a file esterno 1 Pag. 19 di 21

20 ALLEGATO 2. TEMPLATE E LINEE GUIDA PER SEZIONE E015 DIGITAL ECOSYSTEM SU PROPRIO SITO WEB ISTITUZIONALE Ciascun soggetto aderente a E015 Digital Ecosystem deve prevedere sul proprio sito web istituzionale un apposita sezione pubblicamente accessibile nella quale comunicare la partecipazione all iniziativa. Tale sezione dovrà essere denominata <nome_azienda> e E015 Digital Ecosystem (ad esempio: Mario Rossi SpA e E015 Digital Ecosystem ) e dovrà contenere il seguente testo 3 : <nome_azienda> partecipa attivamente a E015 Digital Ecosystem. E015 Digital Ecosystem è un ambiente digitale di cooperazione aperto, competitivo, non discriminatorio e concorrenziale per lo sviluppo di servizi integrati offerti ai cittadini tramite la rete internet e rappresenta una importante opportunità per lo sviluppo del territorio. L iniziativa nasce da una collaborazione tra la società Expo 2015 SpA e Confindustria, CCIAA di Milano, Confcommercio, Assolombarda e Unione del Commercio con l obiettivo di favorire l incontro tra domanda e offerta di beni e servizi da parte del sistema delle imprese a favore dei cittadini, non solo nel quadriennio di preparazione e di svolgimento dell esposizione universale, ma anche per gli anni successivi. E015 Digital Ecosystem mette a disposizione di tutti gli operatori economici che intendono partecipare all iniziativa gli standard tecnologici, le Linee Guida, i processi, le regole e gli elementi infrastrutturali abilitanti per favorire l interoperabilità dei servizi ICT e la realizzazione di applicazioni informatiche (multicanale / multidispositivo e/o siti web) che offrono funzionalità integrate agli utenti finali. Maggiori dettagli possono essere reperiti all indirizzo [Inserire il link alla Home Page dell Ecosistema] Qualora l azienda contribuisse all Ecosistema in qualità di End User Application Provider, si richiede di predisporre una breve descrizione in stile comunicazione web delle proprie applicazioni realizzate all interno dell Ecosistema, introdotta dal seguente testo: <nome_azienda> contribuisce a E015 Digital Ecosystem in qualità di End User Application Provider avendo realizzato le seguenti applicazioni per l utente finale: [Bla bla bla ] [ ] Per ogni si richiede una descrizione generale di alto livello (di poche righe) che comunichi il valore dell stessa; la descrizione fornita non deve essere di tipo tecnico, ma di stampo divulgativo e commerciale (il nome attribuito all deve essere lo stesso utilizzato nella Scheda Applicazione sottoposta al TMB per la validazione). Le informazioni tecniche di dettaglio relative all saranno comunque quelle riportate nella sezione registro del portale dell Ecosistema, da linkare a partire da questa pagina. 3 Qualora, ad esempio per vincoli di spazio, non fosse possibile riportare integralmente il testo proposto, è concesso pubblicarne una sintesi (purché elaborata a partire dal testo originale) Pag. 20 di 21