ezPortal企业门户系统V30技术白皮书ortal企业门户系统V30技术.doc

ezPortal企业门户系统V3.0技术白皮书二零零五年十一月二内容目录1.前言42.Portlet52.1.Portlet介绍52.2.Portlet应用程序72.3.Portlet模式72.4.Portlet API72.5.Portlet生成工具83.门户安全性93.1.统一用户目录管理93.1.1.用户身份认证93.2.用户授权管理93.2.1.统一资源目录管理103.2.2.用户授权管理体系架构103.2.3.授权控制管理113.2.4.统一权限验证123.3.资源访问权124.单点登录145.个性化门户网站175.1定制页面175.1.1皮肤、主题186.门户的管理196.1门户网站设置196.2管理Portlet196.3用户和组管理206.4日志审计217.ezPortal技术特点238.ezPortal系统应用范围249.ezPortal系统运行环境25图表目录图 21 一个典型门户网站的页面2图 22 ezPortal提供的Portlet列表2图 23有Portlet开发工具的ezStudio2图 31 用户授权管理体系架构11图 32管理门户网站中的访问权12图 41 ezPortal单点登录示意图14图 42 ezPortal企业门户 的SSO 技术体系结构15图 51 ezPortal的页面布局设计17图 52 ezPortal的主题和外观管理18图 61 ezPortal对属性文件的维护19图 62 ezPortal对Portlet的管理20图 63 ezPortal 提供对用户及组的管理21图 64 ezPortal日志审计22第22页北京同方软件股份有限公司 版权所有 2007年7月1. 前言在Internet的环境下，针对企业多样的数据资源、应用系统，门户提供了单一访问入口（SSO）、安全互动、可定制的界面、个性化的内容展现等等功能。它能够向分布在各处的用户提供商业信息，帮助用户管理、组织和查询与企业和部门相关的信息；内部和外部用户只需要使用浏览器就可以得到自己需要的数据、分析报表及业务决策支持信息。因此，多部门协作、整合独立分散的信息系统、使企业各系统间协同工作起来、形成一个完整的有效率的整体是门户所提供的服务。目前市场上存在有各种门户，其中包括企业信息门户、B2B门户、雇员工作区门户和公共外网门户。不管使用何种门户，所有门户的基本要求都是相同的。即都需要： 一个可扩展的基础结构； 一个灵活强大的展示框架； 一个可在其上轻松构建门户组件的框架。北京同方软件股份ezPortal企业门户系统提供了一个解决用户展现、安全、可扩展以及可用性问题的框架。同时，还提供了开放和灵活的基础结构以便创建和配置各种可通过多种台式机和移动设备来访问的门户。ezPortal企业门户系统的主要特点有：一站通访问方式SSO(Single Sign On)、个性化用户界面、多应用无缝集成、高度的可扩展性、安全可靠的保障、Portlet可重用的组件、二次开发API和开发工具、国际化支持、多应用协同工作。ezPortal通过门户提供的各类型Portlet进行整合，并可自行扩展。其整合方式有：URL方式的整合(IFrame)、页面裁剪(WebClipper /WebCut)、部分界面嵌入门户的整合(jspInclude)、屏幕映像的整合(NFuse)、Portlet应用编程接口(Portlet API-JSR168)的整合、基于WSRP的远程门户整合。此白皮书可帮助我们可以深入了解ezPortal的相关性能，包括Portlets框架及其安全性、单点登录、个性化、门户的管理、性能和可扩展性。2. Portlet2.1. Portlet介绍作为门户网站的核心，portlet为门户网站提供内容与应用程序。Portlet一词指门户网站小型应用程序，它是可重复使用的组件，提供用户存取应用程序、网站内容、及其它资源。企业可以自行建立portlet或从ezPortal产品目录中选择。所有portlet之间并无依存关系，可独立开发、部署、管理、及显示。管理者及使用者可选择及排列portlet以建立个性化的入口网页。图 2-1所示是一个典型门户网站的页面。图 21 一个典型门户网站的页面ezPortal企业门户已经包含一组丰富的标准 portlet，图 22的表格列出一些 ezPortal提供的 portlet。ezPortal 企业门户Portlet列表AccessControl资源授权ClientManagement客户端管理DataSourceManager数据源管理DocViewer文档察看器FreeEditHTML WYSIWYG 编辑器GroupManagement用户管理ImageViewer图片察看器LayoutAndPageManagement布局管理LogAudit日志审计MarkupManagement标记管理PortletApplicationManagementPortlet 组件应用管理PortletInstallPortlet 组件安装PortletManagementPortlet 组件管理PortletOrganizePortlet 组件分类PropertiesMaintenance门户配置属性文件管理RoleManagement角色管理ServiceManagement门户服务管理Remainder便笺RSSManagementRSS管理RSSSearchRSS搜索引擎SearchEngine搜索引擎WorldClock世界时钟FreeEdit即时编辑PortletSSOApplicationManagement单点登陆应用管理SSOPortlet单点登陆应用PortletCaculator计算器图 23 ezPortal提供的Portlet列表2.2. Portlet应用程序Portlet的功能不仅仅是用来查看现有网页的资料。每个portlet都是完整的应用程序，其设计皆遵循标准M-V-C模型。Portlet有各种状态及查看模式，以及事件和消息功能。Portlet执行环境是门户网站服务器的Portlet容器，类似执行在应用程序服务器中的Servlet。Portlet容器提供执行时期环境，Portlet在此环境中激活、使用、到最后毁弃。Portlet需依赖门户网站架构来存取使用者个人资料、参与窗口及动作事件、与其它Portlet通讯、存取远程内容、查询凭证、及储存保留资料。 通常，Portlet的管理方式较Servlet更为动态。例如，包含数个Portlet的Portlet应用程序可在服务器执行过程中进行安装与移除。即使门户网站正在执行中，也可由管理者变更Portlet的设定与存取权限，即使在实际运作的环境中也是这样。2.3. Portlet模式Portlet模式允许Portlet依据作业所需，显示不同的使用者接口。Portlet拥有多种显示模式，并可利用Portlet标题列上的图标进行激活：查看、帮助、及编辑。Portlet在初始时都以查看模式显示。当使用者与Portlet进行互动时，它可能会显示各种查看状态。帮助模式用于提供使用者有关Portlet的帮助。编辑模式提供让使用者变更Portlet设定的网页。各个Portlet模式都可以一般、最大化、或最小化显示。当Portlet最大化时，将会占据整个入口网页的版面，并取代其它Portlet画面。当Portlet最小化时，则只会剩下Portlet标题列显于入口网页中。2.4. Portlet APIPortlet是HttpServlet的特殊子类(subclass)，其属性使Portlet可轻易外挂并运行在门户网站服务器中。Portlet被集成至较大的入口网页中，同一个Portlet的多个实例可为每个使用者显示不同的数据。Portlet需依赖门户网站架构来存取使用者个人资料、参与窗口及动作事件、与其它Portlet通讯、存取远程内容、查询凭证、及储存保留资料。Portlet API可为这些功能提供标准的接口。Portlet API定义Portlet的一般基础类别及接口，以清楚区别Portlet与门户网站架构。大体而言，除了会限制部分功能之外，Portlet API就是Servlet API的延伸，藉此可使Portlet能够顺利地在门户网站中执行。2.5. Portlet生成工具Portlet可以结成群组形式，形成Portlet应用程序。Portlet应用程序可使用web资料文件(WAR)发布及部署。目前已有许多标准web应用程序部署Descriptor的Portlet专用扩展程序。北京同方软件股份的ezStudio开发工具，为Portlet应用程序提供了一个优秀的开发、测试和调试环境。它可以通过模版自动生成Portlet的目录基本结构、java代码和配置文件；自动更新context；生成自动构建脚本；帮助构建Portlet部署描述符并自动打包成WAR文件，以方便将其部署到运行时门户网站服务器；还有自动配置、更新server.xml文件等功能。界面显示如图2-3所示:图 24有Portlet开发工具的ezStudio3. 门户安全性3.1. 统一用户目录管理ezPortal企业门户提供统一用户目录管理，方便用户访问组织机构内所有的授权资源和服务，简化用户管理。它基于LDAP或基于数据库，对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。ezPortal旨在建立一个中央统一用户目录管理系统，并支持所有应用的合法性访问。如有新用户加入，系统则提供通过LDAP目录管理工具登记注册新用户；同时，通过用户信息同步和授权信息传递，系统自动在与其相关的每个应用系统中增加一套用户账号，并能立即生效。如有员工离职，系统提供通过LDAP 目录管理工具删除该用户信息并立即生效，从而简化了用户管理工作，有效避免了安全隐患的发生。3.1.1. 用户身份认证ezPortal企业门户目前支持两个安全级别的身份认证方式，参与SSO的各个应用系统和受保护资源，可以根据自身的安全需要设置安全等级。这两个身份认证方式的安全级别由低到高分别为：l 普通口令级：用户输入用户名和口令进行身份认证；l 数字证书级：用户使用智能卡等设备通过数字证书和数字签名进行身份认证；ezPortal企业门户支持多种身份验证方式：支持多个生产商的动态密码卡、数字证书卡、DSA Key和指纹识别仪器等设备。身份认证模块是以插件方式配置的，以确保快速的实施和灵活的调整。系统可以使用客户现存应用系统的已有用户数据库或LDAP用户目录进行身份验证，通过配置即可实现通过LDAP或JDBC进行用户身份验证。3.2. 用户授权管理ezPortal企业门户系统提供与当前我国政府和企业实际组织体系和业务模式相适应的分级分类授权机制，向用户和应用程序提供整合的授权控制管理服务，提供用户控制的基于多种业务属性组合条件下灵活的授权策略，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。ezPortal企业门户用户授权管理对非结构化数据、结构化数据、应用系统的各类异构信息资源以统一的标准Portlet方式实现了形式上的统一。这为统一的用户Portlet入口级的授权控制奠定了基础。ezPortal企业门户用户授权管理同时提供了分层次授权机制：l Portlet入口级授权：实现对Portlet入口级的授权。l 应用内部授权：实现对Portlet对应的CMS、各应用系统内部细粒度的授权控制。3.2.1. 统一资源目录管理统一资源目录是构建企业信息资源整合与管理平台的基础设施，是进行信息资源整合的主线。统一资源目录基于统一的封装机制，实现异构信息资源的统一。接入：l Portlet入口级资源目录：ezPortal企业门户 用户授权管理对非结构化数据、结构化数据、应用系统的各类异构信息资源以统一的标准Portlet方式实现了形式上的统一。这为统一的用户Portlet入口级的授权控制奠定了基础。l 部分应用内部细粒度资源注册：实现对LDAP目录中信息资源、数据资源、各应用系统内部模块操作级(如增删改查等)细粒度的授权控制。3.2.2. 用户授权管理体系架构用户授权管理在统一用户目录和统一资源目录的基础上，实现针对不同角色的用户提供对统一的信息资源目录的灵活的授权策略；实现统一的分级分类授权等一系列管理。用户访问门户时，通过授权访问接口来确定该用户被授权的所有可访问资源。用户授权管理体系架构如图3-1所示：图 31 用户授权管理体系架构3.2.3. 授权控制管理授权控制管理是建立在基于统一用户目录管理的基础之上，在统一信息资源目录的管理下对信息资源进行统一的授权。基于统一资源目录，对不同的资源进行授权：通过统一资源目录映射到各应用系统的功能模块或子系统中。从而在授权时，不用关心该应用在什么位置，具体有什么内容和作用，只需根据灵活的授权策略进行授权即可： l 用户组/角色或级别授权：对于属于某一用户组/角色或级别的用户，确定可被授权的信息资源列表； l 针对信息资源授权：对于信息资源目录中某一具体的信息资源而言，确定哪些用户组/角色或级别的用户可以对该信息资源拥有权限； l 确定用户所属的用户组/角色或级别：对于某一用户，确定该用户属于哪些用户组/角色或级别。 3.2.4. 统一权限验证用户登录后，在允许访问资源内可以任意切换，而权限验证是统一验证的，而不是在各应用中分别验证的。3.3. 资源访问权ezPortal对门户资源（页面、Portlet、页面组和用户组）实施访问控制。访问控制表存储在门户网站的管理数据库。用户还可以在外部的安全性管理器中对特定资源的访问控制进行管理。访问许可权的维护是通过使用Access Control Portlet来完成的。使用这个Portlet把查看、编辑和管理许可权授予个人用户或组用户，以使他们能够访问特定Portlet、页面或页面组。界面显示如图3-2所示:图 32管理门户网站中的访问权授予对页面或页面组的查看（view）访问权意味着用户在登录后将可以查阅那些页面组或页面。授予对Portlet的查看访问权意味着用户在定制他们的门户网站体验时可以将这个Portlet添加到他们的页面中。授予编辑（edit）访问权意味着用户可以对Portlet设置进行设置或者更改页面的内容。管理（manage）访问权意味着用户可以执行查看操作和编辑操作，并且可以删除Portlet或页面。4. 单点登录ezPortal企业门户提供了全面的单点登录（Single Sign-On（SSO）支持。用户只需要进行一次登录，就可以访问到所有的授权服务，实现了对信息资源访问权限的集中控制，并且采用了基于角色的权限管理模型，使得企业对权限的管理更加合理方便。ezPortal企业门户SSO提供一种基于动态票据或令牌的单点登录解决方案，如图4-1所示：图 41 ezPortal单点登录示意图ezPortal企业门户采用独立的认证模块和用户管理, 与授权机制相结合, 实现了一次性签发的机制，并且签发的票据都有一个有效期. 该系统支持双向的身份认证，即服务器可以通过身份认证确认客户方的身份，而客户如果需要也可以反向认证服务方的身份。 ezPortal企业门户的SSO单点登录技术体系结构如图4-2所示：图 42 ezPortal企业门户 的SSO 技术体系结构其单点登录的过程为：1. 用户使用浏览器浏览ezPortal； 2. ezPortal将SSO Server的URL指定给浏览器，并做为服务向SSO Server请求验证；3. 用户的请求结果有两种： l 如果用户没有通过验证，则返回失败界面；l 如果成功，SSO Server 则设置TGC到浏览器；4. SSO Server重定向浏览器到ezPortal，并传回一个single-use service ticket (ST)；5. 浏览器接下来重定向回ezPortal；6. ezPortal拿ST到SSO Server对ST的有效性进行验证；7. SSO Server检查ST票证的有效性并返回验证的状态，如果验证成功还将返回用户名和一个proxy-granting-IOU(PGT-IOU), ezPortal保留此PGT-IOU。以上步骤直到用户退出系统并重新登录时才会重复；8. ezPortal使用PGT-IOU和后台服务的URL请求SSO Server；9. SSO Server验证PGT-IOU合法，并返回proxy ticket (PT);10. Proxy Portlet(SSO Application Portlet)用PT调用后台服务；11. 后台服务向SSO Server验证PT；12. SSO Server销毁PT,并返回结果。如果成功，将包括用户名和此次请求所经过的代理路径。单点登录界面显示如图4-3所示:图 43 ezPortal单点登录界面5. 个性化门户网站为了最优化每个用户的体验，ezPortal企业门户提供了最终用户接口和管理的接口，用于定制门户网站页面的内容以及页面的外观和布局。有了这些工具，用户就可以通过选择Portlet和定制每个Portlet的设置来定制自己的页面了。用户还可以更改页面布局和色彩模式。5.1 定制页面用户可以有一个或多个个性化的页面，页面分到页面组内。在一个页面组中，每个个性化的页面都可以有一组不同的Portlet。页面上的Portlet 可以由最终用户或管理员来选择，这取决于他们对页面的访问权。管理员可以指定需要某些Portlet，这样最终用户就不能删除或重新排列它们。另外，还可以对页面进行重新排列以获得不同的导航顺序。页面布局完全是动态的，可以在页面上直接添加删除列。添加新Portlet，可以在页面上直接拖拽Portlet改变布局。界面显示如图5-1所示:图 51 ezPortal的页面布局设计5.1.1 皮肤、主题ezPortal企业门户使用JSP模板、层叠样式表和图像组成的系统来定义门户网站页面的外观。用户可以对这些进行修改，从而控制门户网站的任何视觉方面。可以是添加公司特定的品牌元素，或是获得一个不同的色彩主题和视觉风格。界面显示如图5-2所示:图 52 ezPortal的主题和外观6. 门户的管理门户网站的管理是通过门户网站自身完成的，或者以集中的方式，或者以委托的方式。管理员只需把新的Portlet添加到门户网站页面上就可以给用户提供新的服务，并且管理员可以控制对它们的访问。另外ezPortal也提供管理类Portlet，可用于将Portlet新增至Portlet的注册管理目录器、管理用户（组）及访问控制、设定整体门户网站的设定值、管理记录文件及其它一般工作。在这章节中，将重点介绍一下ezPortal提供的几种管理类Portlet的作用。6.1 门户网站设置在全局设置Portlet中，管理员可以改变诸如缺省语言、高速缓存超时值之类的Portlet设置。此功能在平台管理下的属性文件管理中，如图6-1所示：图 61 ezPortal对属性文件的维护6.2 管理Portlet安装新Portlet时，您可以使用本地文件系统中的web压缩文件（WAR）。新Portlet是被自动激活的，但是没有特殊的许可权限。用访问控制（Access Control）Portlet决定哪些用户和组可以察看、编辑或管理新Portlet。一旦安装了Portlet，您就可以复制它、设置它的配置参数、激活它或使其无效、或者卸载Portlet。如图6-2所示：图 62 ezPortal对Portlet的管理6.3 用户和组管理ezPortal企业门户提供Group Management的Portlet，来提供门户用户管理的服务。用户管理（也称组织结构管理）：向使用者提供一个可视化组态工具，利用此工具可以创建本企业的组织结构图，增加或删除组织结构中的部门或职工，同时定义各级负责人的管辖部门和部门内各职工的岗位职责。ezPortal用组成员信息来决定授权用户察看和编辑的页面组、页面和Portlet。用户可以是一个组或多个组的成员，组可以包含其它组。当用户所在的任何一个组被授予门户网站资源的访问权的时候，用户将被允许访问门户网站资源。界面显示如图6-3所示:图 63 ezPortal 提供对用户及组的管理6.4 日志审计管理员可以通过ezPortal提供的LogAudit的Portlet及通过修改记录子系统的配置属性文件来控制跟踪活动和记录活动。ezPortal通过自身的logAudit Portlet提供的日志审计服务，来记录影响平台内容或状态的敏感操作，以备查询。敏感操作如：删除Portlet，修改客户端类型等。界面显示如图6-4所示:图 64 ezPortal日志审计7. ezPortal技术特点l 先进性系统遵循技术发展主流的国际标准，以J2EE体系为骨架,采用了Portal、Portlet、XML、Web Service(WSRP)等最新开源技术,同时兼顾对.NET技术的支持。l 开放性为适应各行各业的需要，本产品内置了可与若干主流企业级软件系统集成的接口，以及开放的标准集成接口。还提供了开放式的应用开发编程接口,为用户提供了一个可二次开发的平台。l 可扩展性ezPortal是基于Portlet的模块化技术,保证了对各种技术的兼容性,提高了技术合作的可选择性、灵活性,并且可根据业务需要进行扩展.运用目前最先进的XML语言技术，实现本系统的数据与其它业务系统的数据进行交换。保证多种应用软件能在同一操作平台上兼容,从技术和体系结构上保证了系统升级或数据库更换时能够使企业门户平台平滑的移植到新的环境中,并可继续正常运行。l 跨平台性在设计上采用先进的J2EE技术，使ezPortal具有跨平台的特性。l 安全性为了确保用户安全可靠的访问相应的信息，ezPortal采用了统一用户管理（UUM）机制来对注册的用户进行管理。对于一些安全性要求比较高的用户，它在数据传输和用户认证方面提供了高度的稳定性和保密性。本平台支持PKI认证和单点登录（SSO），提供了包括身份认证、多级权限控制、信息保密、保证数据完整性等一整套完善的安全体系。l 易用性ezPortal的用户界面和管理员界面全部采用可视化界面。只需简单的拖拽，并在相关的输入框中输入相关信息即可完成，以最大程度的简化手续，方便使用者。对用户无需进行专业培训。8. ezPortal系统应用范围l 智能建筑、楼宇自动化ezPortal可以整合各智能建筑和楼宇自动化系统，用浏览器/服务器（Browser/Server）代替客户机/服务器(Client/Server)模式，将智能建筑和楼宇自动化系统与办公自动化、物业管理等应用连接起来，使对硬件的操作与应用类的软件应用联系起来，同一系统内既能管理电梯、摄像头控制、门禁，又能进行日常办公、收发邮件，节省了企业的投资，更增加了集成的信息量和管理程度，可以使管理人员在任何一台连接到网络的电脑上，以个性化、可定制、易管理的界面管理各子系统，提高管理效率，降低运行成本。l 电子政务基于ezPortal企业门户系统的政务内网门户解决方案，为电子政务提供以下功能:个性化办公页面、安全认证机制的完善、面向事件的可视化信息资源调度、一站式服务、工作流、组织结构管理等。l 企