有关门户集成信息技术研究分析报告

1 有关门户集成信息技术 研究分析报告 目 录 一 技术背景 1 二 名词定义 2 三 系统框架 3 四 技术介绍 4 一 统一身份认证 4 1 统一认证与单点登录 5 2 集成的基础统一用户目录 7 二 统一应用门户 10 1 用户统一界面 11 2 信息集成 12 三 统一业务流程 13 1 业务过程集成 13 2 业务过程集成约束条件 15 2 技技术术背景背景 为清晰准确企业门户集成在 IT 总体规划中的定位 需要深入分 析所面临的行业背景与信息化现状 现基于我们项目的经验和对技术 的认识以及分析如下 现今各大行业企事业单位在经过多年的信息化建设 形成了基于 自己公司实际情况的面向各个职能 业务部门的专业系统 但是 毕 竟现有的系系统统建建设设有先有后有先有后 系系统统开开发发商不同商不同导导致平台 致平台 编码编码等基等基础础 数据存在部分 很大差异 而且大都存在数据存在部分 很大差异 而且大都存在编码编码不不统统一 数据重复一 数据重复等等 情况 面临企业越来越多的数据积累 数据结构的差异 业务编码的 差异显得越来越突出 信息化资源管理将变得越加困难 同时各个各个业业 务务系系统间统间由于某些由于某些业务业务关关联联而存在而存在业务业务关关联联 导导致系致系统间统间需要需要进进行行业业 务务整合 流程整合 整合 流程整合 或者数据交或者数据交换换等等情况 企业越来越多的系统 导致系统使用 UI 界面越来越多 企企业业人人员员将面将面临临众多的不同的系众多的不同的系统统 使用使用规规范 范 记记住众多的用住众多的用户户名密名密码码 登 登录录不同系不同系统统来来访问访问系系统统 业务 使用规范不统一 数据不统一 导致很多业务系统后续成为空壳 没 有真正发挥系统的实际功能 数据散落在不同系数据散落在不同系统统内部 没有内部 没有进进行有行有 效的效的规规范的整合 无法挖掘出企范的整合 无法挖掘出企业业的数据价的数据价值值 由此可见 现今各大行业的企事业单位需要一个统一的信息 数 据集成平台 将企业内部各自为政的业务应用系统 千变万化的企业 内部经营管理信息全部集成在一个统一的基于浏览器平台下 在统一 的信息平台下 企业所有人员使用浏览器 通过单点登录和身份认证 可以按照各自的权限范围处理日常办公事宜 包括业务部门信息的发 3 布 文件的收发和审批 关键业务数据的查询 企业内部新闻公告和 外部 Internet 信息的搜索和浏 览 邮件收发等 同时为了方便数据共 享 业务流程整合和交换 需要建立一个统一的业务应用集成平台 名名词词定定义义 门户门户集成集成 解决企业内各系统之间的数据共享 数据共享 单单点登点登录录 数 数 据交据交换换等问题 同时也能有效支撑集有效支撑集团团型企型企业业各分公司各分公司级级与与总总部之部之间间 的的业务业务数据交数据交换换的需求 解决信息的上信息的上传传下达 数据的集成和下达 数据的集成和进进行行统统 一用一用户户管理管理 打造一个企企业业数据交数据交换换和信息和信息资资源管理平台源管理平台 系统主要 包含了 身份身份认证认证平台 平台 应应用基用基础础管理平台 管理平台 应应用用门户门户三个模块 系系统统框架框架 通过统一的认证方式 门户系统为各级机关的用户提供综合管理 和对信息及应用的访问控制 通过服务的集成如资源库系统 搜索 协作 业务管理等 满足信息综合平台建设可持续发展的初步需求 框架结构如下 4 通过提供统一的用户管理控制 整合现有业务系统的访问控制 为各部门 各级基层用户 各级领导按照各自角色权限提供统一接入 点 实现单点登录 SSO Single Sign On 打破多点登录 入口分散的 现状 通过权限控制 登录用户在可控权限内通过统一门户在一个界面 中进行日常事务处理操作 在同一界面呈现用户所需的工具和关联的 业务 同时 在综合应用数据库的支撑下 提供各类信息的统计汇总 数据显示 以及各类业务信息的通告 门户集成是一个旨在服务全体的信息信息发发布 信息反布 信息反馈馈 信息分析 信息分析 信息交流 信息交流 资资源共享 源共享 预预警警发发布的一站式布的一站式门户门户 同时也是广大用户利 用业务信息系统 综合信息应用系统和资源库系统等进行网上办公 协同工作的平台 通过统一门户 结合现有的身份认证系统 以最迅速的方式 最 高效的方式提供全面的应急信息和应用 技技术术介介绍绍 统统一身份一身份认证认证 将基于相同或者不同技术平台上的各个业务应用中的用户身份 认证和权限识别进行统一管理 实现 单单点登点登录录 全网皆用 全网皆用 的功能 达到 IT 管理和使用者的多赢 通过统一身份认证 用户无需在不同 业务系统中频繁登录登出 提高工作效率 IT 管理人员可以避免多个 业务系统中的同一用户授权出现不一致 不同步 对用户身份 系统 初级权限做到统一管控 把不同软件系统中的功能组织在一起 让多 5 个业务软件系统像一个软件系统一样工作 用用户户登登录录采用两种方式 采用两种方式 CA 认证认证 静 静态态口令口令认证认证 无论那种登录 方式 要求门户系统可配置成后台自动匹配 保证用户仅在门户系统 进行一次登录即可完成本次访问对所有系统的登录认证操作 并实现 用户在各系统间的无缝转接 漫游和状态保持 CA 认证认证 通过 CA 系统 CA 系系统统能提供完善的功能 包括 能提供完善的功能 包括 证书证书 签发签发 证书证书生命周期管理 生命周期管理 证书证书吊吊销销列表 列表 CRL 查询查询服服务务 目 目录查询录查询 服服务务 CA 管理 密管理 密钥钥管理和日志管理和日志审计审计等全面的功能等全面的功能 将用户数字证 书提交到 CA 服务器进行认证 认证通过后根据用户的角色级别 业 务点特色进行分配业务办理权限 并生成相应的操作界面 静静态态口令口令认证认证 采用输入口令的方式进行认证 各个不相同的各个不相同的应应 用系用系统统用用户户口令之口令之间间建立密建立密码码映射完成映射完成单单点登点登录录配置配置 对于不同的不同的应应 用系用系统统 根据不同的登录需求 改造原有的登改造原有的登录录模式模式 以适应新的单 点登录模式 对于已建系已建系统统使用加密方式作使用加密方式作传输传输的的 在不改变原系统 程序情况下 实现在门户系统对该系统原方式的完全访问 对于在建在建 和未建系和未建系统统制定制定统统一的接入一的接入规规格格说说明 提供明 提供规规范接口 保范接口 保证证各系各系统统可可 按照按照规规范自行开范自行开发发后后实现对门户实现对门户的自的自动动接入和接入和单单点登点登录录 实现门户系 统对各接入系统的统一管理 1 统统一一认证认证与与单单点登点登录录 1 统统一一认证认证 统统一一认证认证中心提供系中心提供系统统的的认证认证服服务务和用和用户户管理 但并不包括集中管理 但并不包括集中 的授的授权权和会和会话话的管理 授的管理 授权权和会和会话话的管理依的管理依赖赖于各于各应应用系用系统统本身本身 其 6 主要功能是 向所有向所有应应用系用系统统提供提供认证认证服服务务和入口 提供用和入口 提供用户调户调用接用接 口和用口和用户户基本信息服基本信息服务务 同 同时时提供提供对认证对认证系系统统管理功能 管理功能 EIP 认证中 心的用户包含全部应用系统的用户 是所有应用系统用户的并集 每 个应用系统的登录认证机制可能各不相同 要根据具体情况而定 2 单单点登点登录录 用户登录信息门户经过统一认证中心认证通过后 系统就进行 SSO 单点登录 SSO 模模块块包含用包含用户户映射和映射和单单点登点登录录 2 部分 1 用用户户映射映射 将用户在各应用系统的用户名和密码经过加密后保存在 EIP EIP 是指在 是指在 Internet 的的环环境下 把各种境下 把各种应应用系用系统统 数据 数据资资源和互源和互 联联网网资资源源统统一集一集 系统用户映射表中 如表 1 该部分包含一个一个应应用用 系系统统注册模注册模块块和一个和一个应应用用用用户户注册模注册模块块 对于加入单点登录的每一个 应用系统 系统管理员会为其注册一个全局唯一的应用 ID 并设置对 应的认证接口 然后初始化用户映射表 初始化的主要工作是导入各 应用系统与认证相关的主要信息 如用户名 密码等 并与 EIP 用户 ID 应用 ID 进行关联 以后新增的用户可以通过用户注册模块进行 注册 用户映射表 2 Form 表表单单的的单单点登点登录录 7 这种登录机制是针对那些基于浏览器的 Form 表单方式的 Web 应用系统设计的 不需要对应用系统的原有认证模块作任何修改 在在 用用户户通通过过 EIP 认证认证中心登中心登录认证录认证通通过过后 系后 系统统根据用根据用户户映射表中映射表中对对 应应的的应应用用 ID 用 用户户名和密名和密码码 自 自动动向用向用户浏览户浏览器生成器生成 Ajax 程序代程序代码码 在客在客户户端由端由 Ajax A 捷克斯 Asynchronous e s kr n s JavaScript And XML 通 通过过底底层层模模拟拟 form 表表单单向向应应用系用系统统登登录录模模块块 提交登提交登录请录请求 求 应应用系用系统统登登录录模模块块根据提交的用根据提交的用户户名和密名和密码进码进行登行登录录 校校验验 若用 若用户户名和密名和密码码正确 返回登正确 返回登录录成功的信息包 并向客成功的信息包 并向客户户端端浏浏 览览器写入允器写入允许许票据票据 Cookie 建立会 建立会话话 否 否则则返回登返回登录录失失败败的信息包 的信息包 Ajax 程序根据返回信息包中的 URL 或 Html 信息判断是否登录成 功 3 非非 Form 表表单单的的单单点登点登录录 常规单点登录图 这种登录方式如 Domino 应用系统 ftp 应用等比较常见 它没 有 form 登录页面 不能运用模拟表单提交的方式登录 因此 需要 运用运用 Xmlhttp 模模拟浏览拟浏览器提交器提交访问请访问请求 通求 通过过 Xmlhttp Open 携携带带 8 用用户户名和密名和密码码向目向目标应标应用系用系统发统发送送访问请访问请求 并通求 并通过过 Xmlhttp Status 来来获获得返回状得返回状态态 如果状 如果状态态等于等于 200 表示用 表示用户户名和密名和密码码正确 登正确 登录录 成功 成功 应应用系用系统统会向客会向客户户端端浏览浏览器写入允器写入允许许票据票据 Cookie 建立会 建立会话话 2 集成的基集成的基础统础统一用一用户户目目录录 在门户集成项目实施中 首先要考虑的是用户目录的因素 用户 目录是用于存储用户身份信息 可利用以下几种方式实现 基于 LDAP 协议 符合 X500 标准的用户目录服务产品 定制用户注册表 接口 如 基于关系型数据库系统实现 基于本地用户系统实现 统一 用户目录可以分为物理的物理的统统一一和逻辑逻辑的的统统一一 1 物理物理统统一用一用户户目目录录 物理统一用户目录是要求门户与待集成的业务系统使用统一的 用户目录注册表 物理统一的用户目录不仅仅包含有用户基本信息 同时包含相关的业务系统资源信息 与业务系统相关的账户信息 为了保证可用性 统一用户目录一般分为中央目中央目录录服服务务器及分器及分 支目支目录录服服务务器器 门户门户系系统试统试用中央目用中央目录录服服务务器作器作为为用用户户存存储储 各各业务业务 系系统统 可以 可以试试用中央目用中央目录录服服务务器也可以器也可以试试用分支目用分支目录录服服务务器器 中央目录服务器和分支目录服务器通过目录复制技术进行数据 同步 如可实现全局复制 也可以实现选择性复制 如图 1 9 图 1 物理统一用户目录 2 逻辑统逻辑统一用一用户户目目录录 一般情况下 由于历史遗留问题以及企业要求等各方面的原因 实现物理统一用户目录的情形不多 更多的是采用逻辑统一用户的方 式 逻辑统一用户是指门户与待集成的业务系统不使用唯一的用户注 册表 门户门户信息系信息系统统使用使用单单独的用独的用户户信息 信息 业务业务系系统统使用另外一套自使用另外一套自 己的用己的用户户注册表 建立注册表 建立逻辑统逻辑统一的用一的用户户目目录录 必 必须须建立建立门户门户用用户户目目录录 与与业务业务系系统统用用户户目目录录之之间间的的联联系 系 实现门户实现门户用用户户与与业务业务系系统统用用户户之之间间 映射技映射技术术主要包括 1 Credential Vault 凭 凭证证保保险库险库 Credential Vault 凭证保险库 是由 WebSphere Portal 提供一项 目服务 帮助 portlet 和门户网站用户来管理多个标识 凭证服务包 含处理基本认证 LTPA 令牌认证和简单基于表单的用户标识 密码 登录提问的对象 如图 2 10 图 2 凭证保险库 利用利用 GSO Lockbox 可以建立起一个用 可以建立起一个用户户身份信息和后台身份信息和后台应应用用 系系统统之之间间的的对应对应关系 关系 这这需要依需要依赖赖于于门户应门户应用 用 portlet 应应用或用或 J2EE 应应用 来用 来维护这样维护这样的关系映射表 包含的关系映射表 包含门户门户用用户户与与业务业务系系统帐户统帐户之之间间 的关系 的关系 门户门户用用户户与待集成与待集成业务业务系系统统之之间间映射关系完成之后 可根据映射关系完成之后 可根据业务业务 系系统认证统认证方式来方式来选择实现单选择实现单点登点登录录 2 用用户户目目录录信息同步信息同步 用户关系映射表建立后 需要随时可以对这种映射关系进行维护 通过定期强制密码更新策略让每一个用户维护自己业务系统的用户 密码是一种选择 更常见的选择是通过管理员进行统一的账户管理和 密码的同步推送 这项需求可通过开发完成 或者借助于成熟的企业 级安全产品 例如 TIM TDI 如图 3 所示 利用利用 TIM TDI 用户初 始化 实现门户实现门户目目录录与与应应用系用系统统直接用直接用户户目目录统录统一管理和用一管理和用户户信息信息 的同步及清理 的同步及清理 11 图 3 试用 TIM TDI 实现目录统一管理和信息同步 统统一一应应用用门户门户 将基于相同或者不同技术平台上的各个各个业务应业务应用的入口用的入口进进行行统统 一管理 并一管理 并针对针对登登录录用用户户的身份 行的身份 行为为及喜好及喜好进进行个性化的定制 行个性化的定制 从 展现层对数据 操作和流程进行整合 形成每个参与的工作人员都可 以设定自己喜好的 工作桌面 我最关心的数据 我最常用的操作 我日常的工作 等栏目 与工作相关的信息均在方寸之地一目了然 无需启动多个业务系统界面 并在各个业务应用间频繁切换 能够最 便捷的完成需要的操作 门户系统可预设有不同业务和领导层次的内容配置表 以对应业 务办理内容和个人事务管理内容 对于不同的用户 门户将可选性的 包括以下的操作功能 12 1 用用户统户统一界面一界面 1 业务办业务办理理 通过对业务系统系统级和页面级的整合 使用户能够在门户中直 接办理业务系统中的业务 2 待待办办事宜事宜 从应用系统中提取登陆用户需要办理 审批的业务 并在桌面统 一显示 并且可以进行后台定制 公文待办 催办 督办 收文 新消 息 新邮件等 3 公共信息公共信息 包括单位通知 应急新闻 简报 天气预报 病毒预警 4 个性化个性化门户门户 规定页面显示的内容以及内容的组织方式来定制使用者界面 5 系系统导统导航航 13 将各种不应急平台关联各委办局应用系统以及其它 Web 应用 系统集成至门户平台 根据用户需要进行链接配置 2 信息集成信息集成 信息集成主要包含对各应用系统的公共信息和个人待办事务 待 审批流程 邮件 消息等私有信息的集成 公共信息是与用户无关联 性的 允许所有用户浏览的公共性信息 而待办事务 待审批流程 邮 件 消息等属于用户私有信息 与用户有关联性 信息集成一般有信息集成一般有 2 种方式 第种方式 第 1 种是数据种是数据库级库级集成 就是通集成 就是通过门户过门户服服务务器端直接器端直接访问应访问应 用系用系统统的数据的数据库库来来获获取需要集成的数据 取需要集成的数据 这这种方式的种方式的优优点是不受用点是不受用户户 客客户户端端浏览浏览器器环环境的限制 但缺点是需要境的限制 但缺点是需要单单独开独开发业务处发业务处理理逻辑逻辑 而 而 且且门户门户服服务务器直接操作器直接操作应应用系用系统统的数据的数据库库 存在很大的安全 存在很大的安全风险风险 第 第 2 种方法是种方法是应应用用级级集成 就是通集成 就是通过调过调用用应应用系用系统统已有模已有模块块功能功能进进行信行信 息集成 息集成 这这种方式的最大种方式的最大优优点是不需要开点是不需要开发业务逻辑发业务逻辑 直接利用 直接利用应应用用 系系统统的功能模的功能模块块 且不直接 且不直接访问应访问应用系用系统统的数据的数据库库 不存在安全性 不存在安全性问问 题题 缺点就是此方式需要先 缺点就是此方式需要先实现单实现单点登点登录录 若解决了 若解决了单单点登点登录录的的问题问题 信息的集成就能信息的集成就能够够快速快速实现实现 根据前文单点登录结论 我们采取第 2 种信息集成方式即应用级集成 来实现信息的集成 企业中各应用系统的访问域名各不相同 有些还是通过 IP 地址 或端口号来访问 因此 信息集成一般都存在跨域的集成信息集成一般都存在跨域的集成问题问题 对于 跨域信息集成的问题可以通过 2 种方式解决 一是一是对对于公共于公共类类信息信息 的集成 可以是的集成 可以是动态动态程序程序语语言言 如如 java net 等等 通通过过服服务务器端器端进进行数行数 据集成 二是据集成 二是对对于用于用户户私有私有类类信息 因信息 因为为需要用需要用户户会会话话票据才能票据才能访问访问 14 因此需要使用因此需要使用 Ajax A 摘克斯 通 通过过客客户户端端进进行信息集成 行信息集成 具体实现的 过程是 根据集成的业务需要 使用 java 等动态 Web 技术或 Ajax 技 术为每个应用系统开发出多个 webapp 模块 将这些模块集成在信息 门户中 分别用来提取用户的待办事务 邮件 订单等私有信息和用 户关注的公共资讯类信息 用户可根据自己在信息门户中的角色权限 进行个性化定制 选择不同的 webapp 模块 将自己需要的或关注的 信息集中显示在信息门户中 方便自己进行查阅和直接办理 统统一一业务业务流程流程 将已有或在建的各个业务系统的业务流程进行抽象规划 针对针对同同 构技构技术术平台的平台的应应用 将用 将业务业务流程逐步整合集中管理流程逐步整合集中管理 对对异构技异构技术术平台平台 的的应应用 提供用 提供标标准的流程准的流程进进入接口入接口 基于以上思路通过 TRY BEST 原则 解决因解决因为为系系统间统间的隔的隔阂阂带来的 信息孤信息孤岛岛 和和 体外体外业务业务 问题 1 业务过业务过程集成程集成 企业中 往往有以下需求 在应用层面 处理一项业务 人们要在 不同的业务系统间来回切换 由此降低了工作的效率 并影响了工作 的效果 在业务层面 业务流程分散 不完善 致使企业不能根据业务 需求自由组合业务流程 比如 企业的业务功能和业务流程被分割成 许多小块 分散在不同的信息系统中 而这些系统之间的通信又是微 弱的 存在很多的人为工作 故 需要通过门户进行业务过程的集成 以便改进操作 减少成本 提高响应速度 当对业务过程进行集成的时候 企业必须在各种业务系统中定义 授权和管理各种业务信息的交换 业务过程集成包括业务管理 进程 15 模拟以及综合任务 流程 组织和进出信息的工作流 还包括业务处 理中每一步都需要的工具 对于非流程类的业务过程 可以通过业务 模块化集成技术实现 对于流程类的业务过程参考以下环节 企企业门户业门户常用来常用来实现实现跨系跨系统统的的业务业务流程整合 流程整合 业务业务流程本流程本质质是一是一 组组按一定次序按一定次序执执行的活行的活动动 Activity 流程中的每一步或每一 流程中的每一步或每一项项活活动动 都可以通都可以通过过服服务务 Services 来 来实现实现 在 在标标准的准的业务业务流程流程执执行行协议协议中 中 服服务务可以被