Планирование внедрения DSS SDK

Встраивание DSS SDK требует проведения анализа как бизнес-процессов работы с документами, которые будут передаваться в мобильное приложение, так и особенностей программного интерфейса DSS SDK, интегрируемой информационной системы и веб-сервисов КриптоПро DSS.

Данный раздел содержит общее описание этапов внедрения DSS SDK, включающих в себя как принятие организационных решений, так и выполнение некоторых настроек КриптоПро DSS.

В общем виде алгоритм действий при внедрении DSS SDK выглядит следующим образом.

sdk_plan.png

Для получения консультации по внедрению DSS SDK и/или в случае возникновения вопросов по настройке следует обращаться на Портал технической поддержки с соответствующим сертификатом на поддержку.

Этап 1. Определение необходимости внедрения / перехода к использованию мобильного приложения (МП) на базе DSS SDK.

Использование МП на базе DSS SDK подразумевает обязательное использование нового программного интерфейса КриптоПро DSS (далее – APIv2).

Примечание

APIv2 МОЖЕТ использоваться также с МП myDSS или не использовать мобильные приложения. Однако рекомендуется не использовать APIv2 без обоснованной необходимости перехода к нему, так как это может отразиться на скорости работы «старых» сценариев подписи. Рекомендуется также ознакомиться со всеми особенностями работы APIv2, прежде чем принимать решение о переходе.

Основные преимущества использования APIv2 (не является сравнением мобильных приложений):

  • усиление контроля за ЖЦ операции (оптимизация инфраструктуры сервисов DSS и интегрируемой ИС)
  • возможность хранения документов на время работы целевого бизнес-процесса, а не только операции подписи
  • снижение нагрузки на каналы связи за счет возможности постраничной загрузки больших документов
  • возможность работы с конфиденциальными документами

Новые возможности МП на базе DSS SDK по сравнению с МП myDSS подробно описаны в разделе 3.3 Общего Описания КриптоПро DSS.

Этап 2. Принятие решения по использованию готового МП (DSS Client, myDSS 2.0) или встраиванию DSS SDK в собственное МП

Использование DSS SDK подразумевает встраивание в мобильное приложение, что позволяет работать с КриптоПро DSS в собственных приложениях организаций-потребителей. Однако существует возможность использовать готовое мобильное приложение DSS Client или myDSS 2.0.

В этом случае необходимо учитывать, что несмотря на очевидные преимущества для пользователей, которым не придется устанавливать дополнительное приложение на свои смартфоны и планшеты, встраивание DSS SDK может оказаться более ресурсоемким и долгим по сравнению с использованием готового решения. В частности, требуется рассматривать следующие основные направления:

  • интегрируемая ИС – сервер DSS (требуются серьезные доработки в части интеграции с API КриптоПро DSS);
  • мобильное приложение – DSS SDK (вызов нужных методов API DSS SDK);
  • интегрируемая ИС – собственное мобильное приложение (реализация бизнес-процессов подписи, управления сертификатами и т.д.).

Этап 3. Выбор мобильного приложения

Данный этап необходим, если на Этапе 2 было принято решение в пользу готового мобильного приложения. В настоящее время существует возможность использовать следующие готовые мобильные приложения:

Этап 4. Приобретение лицензии

На данном этапе необходимо определить, потребуется ли приобретать новую лицензию для использования мобильного приложения на базе DSS SDK. Для этого можно воспользоваться следующим алгоритмом:

sdk_license.png

По другим вопросам приобретения лицензий необходимо обращаться по адресу info@cryptopro.ru.

См. также:

Этап 5. Оценка необходимого дискового пространства

При использовании APIv2 (например, интеграции с мобильным приложением на базе DSS SDK) требуется использовать Сервис Обработки Документов (см. список изменений настроек DSS для работы с DSS SDK). Использование Сервиса Обработки Документов (СОД) требует оценки планируемого к использованию дискового пространства серверов, на которых размещаются БД СОД.

При оценке требуемого дискового пространства для корректной работы КриптоПро DSS с APIv2 необходимо учитывать следующее:

  1. Срок хранения документов
  2. Размер загружаемых документов
  3. Необходимость потокового доступа к документам
Примечание

КриптоПро DSS не является средством для долговременного хранения документов или системой электронного документоооборота (ЭДО). Однако в КриптоПро DSS существует возможность настройки срока хранения подписываемых документов в зависимости от бизнес-требований, предъявляемых к процессу подписи.

1. Срок хранения документов

Все документы хранятся в СОД только в течение определенного настройками времени, после чего документы удаляются. В зависимости от бизнес-требований, предъявляемых к процессу подписи документов, можно выделить два основных сценария планирования дискового пространства для БД СОД:

  • хранение "временных" документов на время подписи документа и подтверждения данной операции (загружены с флагом IsTemporary)
  • хранение "долговременных" документов некоторое время после выполнения операции

Подробнее о жизненном цикле документа в СОД

Соответственно выбранному сценарию необходимо настраивать сроки хранения документов, отправляемых в СОД, следующим образом:

  • Временные (временного хранения) - загружены с флагом IsTemporary структуры PostDocumentInput в запросе к СОД. Флаг означает, что данный документ загружен только на короткое время (например, для подписи) и далее будет удален. Администратор может настроить срок хранения временных документов в минутах при помощи параметра -TempDocumentStorageTime командлета Set-DssDocumentStoreProperties. По умолчанию срок хранения временных документов равен 1 суткам (1440 минут).
Примечание

Рекомендации по настройке срока хранения документов:

1. Рекомендуется устанавливать срок хранения "временного" документа соразмерным(на 10-20% больше) времени жизни операции (параметр -OtpConfirmationTimeOut командлета Get-DssStsProperties).

2. В случае если время жизни операции передается от интегрированной ИС при помощи API, рекомендуется устанавливать срок хранения временного документа соразмерным(на 10-20% больше) наибольшему из значений времени, переданного через API, или времени, заданного в параметре -OtpConfirmationTimeOut.

  • Долговременные (долговременного хранения) - хранятся в пределах срока (в днях), установленного Администратором при помощи параметра -DocumentStorageTime командлета Set-DssDocumentStoreProperties. По умолчанию срок равен 30 дням.
Удаление документов

Удаление документов производится при помощи мониторинга работы СОД с заданным интервалом. Если на момент осуществления мониторинга в БД СОД присутствуют документы с истекшим сроком хранения, они будут удалены. Администратор может настроить период мониторинга в минутах при помощи параметра -DocumentsMonitoringPeriod командлета Set-DssDocumentStoreProperties. По умолчанию период мониторинга равен 5 минутам. Не рекомендуется устанавливать слишком частое удаление документов, так как это приводит к невозможности выполнения других запросов к БД во время удаления.

Существует возможность настроить количество документов, удаляемых за один раз. Для этого используется параметр -MonitoringFileBatch командлета Set-DssDocumentStoreProperties. Рекомендуемое значение (по умолчанию): 100.

При необходимости интегрированная ИС может запросить удаление документа раньше определенного настройками DSS времени.

2. Размер загружаемых документов

Размер загружаемых документов на СОД может быть ограничен следующими настройками:

  • для каждого документа;
  • для каждого пользователя.

Сервис Обработки Документов позволяет настроить максимальный размер каждого из документов, загружаемых на СОД, при помощи параметра -MaxMessageSize командлета Set-DssDocumentStoreProperties. По умолчанию максимальный размер загружаемого файла составляет около 2 ГБ.

Сервис Обработки Документов (СОД) хранит и обрабатывает для каждого документа следующие его версии:

  • исходный загруженный документ
  • конвертированный для отображения документ
  • подписанный документ

Таким образом, при оценке требуемого дискового пространства необходимо учитывать не только исходный документ, но и все перечисленные версии. Администратор может ввести ограничение на общий объем документов, загруженных Пользователем, при помощи параметра -DefaultMemoryLimitPerUserкомандлета Set-DssDocumentStoreProperties. По умолчанию максимальный объем документов, загружаемых одним Пользователем, составляет около 4 ГБ. При превышении установленного объема данный Пользователь не сможет более выполнять операции с документами.

3. Необходимость потокового доступа (FILESTREAM)

В случае если большинство загружаемых в СОД документов имеет объем каждого документа более 50 МБ, рекомендуется использовать технологию потокового доступа к документам (FILESTREAM).

Настройка FILESTREAM

Примечание

Использование FILESTREAM требует от интегрируемой ИС в запросах к СОД обязательно указывать тип загружаемого документа. Для этого необходимо задать значение поля SmallFile = true структуры AdditionalDocumentInfo, входящей в состав параметров загружаемого документа PostDocumentInput. По умолчанию SmallFile = false.

Пример загрузки документа в СОД

Этап 6. Выбор сценария инициализации мобильного приложения

Выбор сценария инициализации мобильного приложения является одним из важнейших этапов внедрения DSS SDK. Он позволяет определить дальнейшие этапы жизненного цикла ключей подписи и ключей аутентификации пользователей. Допустимые сценарии инициализации описаны в разделе 5 Общего Описания КриптоПро DSS.

Этап 7. Решение технических вопросов

Данный этап включает в себя настройку серверной части КриптоПро DSS и интеграции ИС для работы с мобильным приложением на базе DSS SDK.

Руководство Администратора DSS для использования DSS SDK