综合管理服务平台

第 1 页 1 1 ESB 服务总线服务总线 1 1 1 概述概述 各业务系统提供大量的服务接口 如何实现这些服务和接口的编排 调用 重组等 我们采用的是应用服务总线的模式 通用服务总线采用可靠消息服务 不丢失 不复传 在应用系统之间通过基于消息的异步方式集成各应用系统 1 1 2 架构设计架构设计 DB 电电子子政政务务 接接口口 服服务务 综综合合监监管管 接接口口 服服务务 社社会会化化服服 务务 接接口口 服服务务 数数据据管管理理 接接口口 服服务务 服服务务总总线线 动动态态路路由由实实时时服服务务异异步步服服务务服服务务注注册册服服务务查查找找 安安全全控控制制异异常常处处理理格格式式转转换换格格式式校校验验系系统统监监控控 发发布布订订阅阅日日志志记记录录数数据据存存取取内内容容过过滤滤系系统统管管理理 组组织织机机构构 接接口口 服服务务 权权限限 接接口口 服服务务 流流程程表表单单 接接口口 服服务务 即即时时通通讯讯 接接口口 服服务务 报报表表 接接口口 服服务务 ESB 服务总线架构图 ESB 服务总线是综合管理服务平台的一个中心组件 它负责接入各种服务 资源 通过采用统一服务接口使得各种服务或应用与服务之间可以相互方便访 问 以星形结构替代了原来各服务之间的点对点结构 极大地优化了系统连接 架构 降低了系统集成的复杂度 第 2 页 1 1 3 功能设计功能设计 ESB 应用服务总线基于消息交换组件开发 采用消息交换组件提供的可靠 消息服务 不丢失 不复传 在应用系统之间通过基于消息的异步方式集成各 应用系统 针对不同系统所处理的消息格式各不相同的特点 ESB 应用服务总 线提供了专门的格式代码转换器在不同的消息格式之间按照预先定义好的转换 规则进行自动的格式转换 然后将结果自动路由到目标应用系统 在消息转换 的过程中 ESB 应用服务总线能够识别 XML C 结构 JMS 等多种消息格式 对消 息的各种操作包括消息的来源 消息的目标应用 所期望的消息格式等通过定 义各种操作规则 Rules 进行 ESB 应用服务总线可以作为一个消息代理来实现这些功能 消息代理提供了消息传递层以及消息代理集线器 可被用于消息的处理 转换和分发 并能够将这些功能与发布 预订功能结合在一起 应用程序格式转换和智能路由功能应用程序格式转换和智能路由功能 作为各个应用的数据吞吐机 提供多种数据格式服务 其中包括 用户自 定义格式 用户可以为每一种应用定制自己的消息格式 通过这种消息格式来 连接原有的旧的应用 XML 格式 面向纪录的信息格式 如 C 的头文件 COBOL records 等 对于这些消息格式 提供相应的剖析器进行解析 实现它 们之间的格式转换 如对于用户的 bit stream 的输入信息可以输出为 XML 的格 式 反之亦然 从而无缝地连接现有的应用 并可以采用 XML 的新标准开发新 的应用 提供检查和过滤功能 根据所传输数据的内容做动态路由 强大的数据处理功能强大的数据处理功能 作为各个应用的数据处理机 对经过 BPI 的数据进行各种处理操作 如计 算 过滤等 使得数据在从 BPI 经过时便可以被进行相应地计算 从而发往目 的应用系统 支持数据仓库 对各应用系统所传输的数据进行集中记录 便于 以后的审计和分析 对各种应用系统的接口功能对各种应用系统的接口功能 提供强大的连接性 既提供各种与现有商业应用连接的 Adapter 可以将 企业内部各种应用系统进行无缝连接 如 SAP Notes Sibel SWIFT People Soft I2 等 支持各种标准数据格式或应用的接口 如 XML JDBC 对于这些 第 3 页 应用可以不必开发新的接口 减少开发的工作量 同时提供应用程序接口 以 开发客户化的连接件 对各种接入协议的支持对各种接入协议的支持 ESB 应用服务总线支持各种接入协议 其中包括 TCP IP Socket MQ SOAP HTTP SCADA 等 适配器技术选择 适配器完成的功能是实现应用系统与 EAI HUB 之间的连接接口 主要包括 数据与通讯两个层面 在适配器设计与选型方面 EAI 技术提供的方案有多种 形式 根据不同的情况作不同的选择 根据应用对外提供的接口的形式不同 下面对常用的适配器类型进行分析 基于数据库的接口与适配器基于数据库的接口与适配器 应用系统对外提供的接口是应用数据库 适配器通过对应用数据库的操作 来实现 EAI 与应用间的交互 此类接口是应用系统可对外提供的最底层的接口 类型 允许适配器直接访问应用的数据 针对此方式 尽管这也是常用方式之 一 但其中有很多严重的不足 使用数据作为应用的接口 意味着将数据的结构体设计暴露出来 当应用 发生改变时 通常需要重新分析 甚至改变此数据接口 当应用系统的数据改 变时 为了触发外部应用 通常需要使用基于应用数据库的外部触发器或使用 低效的循环查询策略 这不是一个 干净 的解决方案 外部应用对维护数据 的完整性也将负有责任 为此需要理解需要集成的应用系统的结构 总之 其 结果将是一个难以维护的交错系统 基于基于 APIAPI 的接口与适配器的接口与适配器 应用软件 通常提供内置于软件库的 API 作为与应用系统交互的接口 相对数据库接口而言 此类接口是一个更为 干净 的解决方案 其问题是相 对某种平台 如操作系统 编程语言 此 API 库可能不存在 为解决此问题 需要开发底层的代码并进行长期的维护 同时当支撑其运行的产品进行升级时 通常需要对此 API 进行升级以保证其兼容 另外 基于 API 技术 当应用系统 有事件发生时 一般难以提供自动通知功能 需要外部系统进行低效的循环查 询 第 4 页 基于组件的接口与适配器基于组件的接口与适配器 基于 J2EE 与 CORBA 的分布式对象技术 使应用系统的接口有较好的可移植 性 此类接口 可以屏蔽操作系统 编程语言的不同 此类接口属于紧耦合模 式 为发展中的技术 由于应用系统本身需要提供组件接口 在实际应用中限 制了其应用 基于消息队列的接口与适配器基于消息队列的接口与适配器 应用系统对外交互的接口为消息队列 同时提供消息 数据传输的可靠性保 障 业界领先的消息中间件同时提供同步 异步两种通讯方式 使用消息队列 消息系统可以管理很多通讯细节 此种接口方式为典型松耦合模式 是 EAI 技 术普遍使用的方式之一 可以实现接口的重用能力 成熟的商业适配器 J2EE Portal 综综合合管管理理服服务务平平台台服服务务库库 NET客客户户机机 C S应应用用系系统统 XML MQ 客客户户机机 文文本本 MQ 客客户户机机 ESB服服务务总总线线 第第三三方方应应用用服服 务务器器供供应应商商 NET供供应应商商 传传统统定定制制服服务务 的的供供应应商商 B S应应用用系系统统 Socket SOAP HTTP TDS MQ CSV MQ XML MQ 文文本本 MQ 文文本本 JMS SWIFT MQ CSV HTTP SOAP HTTP 文文本本 Socket ESB 应用服务总线支持的适配器 ESB 应用服务总线提供了诸多的既有的适配器 包括技术适配器与应用适 配器 部分列表如下 技术适配器 1 JDBC 2 JMS 3 MQ 4 E mail 第 5 页 5 JText 6 Microsoft Exchange 7 Web Services 应用适配器 1 SAP 2 Siebel 3 Spirent 4 Ariba Buyer 5 BroadVision 6 Clarify 7 eMatrix 8 i2 9 i2 ADW 10 Metasolv TBS 11 Nightfire 12 Oracle Applications 13 PeopleSoft 14 Portal Infranet 15 QAD 16 Retek 17 Telcordia Service Delivery 18 Vantive 适配器开发适配器开发 如果需要开发自己的适配器 ESB 应用服务总线提供了相关的开发工具 对外提供的适配器开发 API 同时支持 Java C 如果应用系统采用中间件技 术是 J2EE 应用服务器 CORBA CICS Tuxedo 等 都可以很容易的完成适配器 的开发 第 6 页 1 2 应用服务运行框架应用服务运行框架 1 2 1 总体框架描述总体框架描述 应用服务总体框架是国土资源综合管理服务平台项目的核心 总体框架由 系统微内核 系统服务层组成 系统微内核应能提供最基础 最核心的功能 包括模块管理 生命周期 服务管理 为整个系统的稳定运行提供保障 系统 服务层应能够提供各类标准化的 技术性的服务如时间服务 审计日志 持久 服务 缓存服务 事件服务 事务服务 数据服务等 框架之上支持公共服务 组件和业务服务组件 共同组成综合管理服务平台 1 2 2 总体总体框架组成框架组成 在本设计方案的总体结构图中 把系统划分为五层 而最底层的基础层提 供了系统运行的环境 最上层的门户展现层提供的进入各个应用系统的入口 其中应用支撑平台是系统的支撑层 其中综合管理服务平台是系统的支撑层 支撑层包括的主要内容有 系统微内核 系统服务层 各层的主要功能分别描 述如下 资资 源源 层层 系系统统管管理理 系系统统微微内内核核 系系统统服服务务层层 安安全全保保障障体体系系 表表现现层层 支支撑撑层层 1 2 2 1 系统微内核系统微内核 系统本身采用微内核架构 实现模块化 动态化 服务化 微内核做为整 个系统的运行内核 仅提供最基础 最核心的功能 包括模块管理 生命周期 服务管理 为整个系统的稳定运行提供保障 整个系统的各个部分都做为模块 第 7 页 直接或间接构建在微内核之上 1 2 2 2 系统服务层系统服务层 系统服务层还包含各类标准化的 技术性的服务 而在应用服务层则提供 功能性的服务 系统服务层提供的服务有 时间服务 审计日志 持久服务 缓存服务 事件服务 事务服务 数据服务等 本次项目的主要研讨内容为应用服务层中的各个服务组件 因此系统服务 层中的基础服务组件将不做为本方案阐述的重点 1 2 2 3 表现层描述表现层描述 业务表现层是面对最终用户的接入口 利用综合门户等方式提供各种业务 供客户使用 向下须与面向服务的业务层通过正确定义的服务接口实现兼容 采用的门户技术应该能够支持 JSR168Portal 规范 能够自由部署第三方的标准 Portal 1 2 3 总体框架的地位和作用总体框架的地位和作用 1 从技术复用到业务复用从技术复用到业务复用 当前的软件复用大多还是从技术角度出发的 例如 J2EE 领域的框架只是 一个以库 类和接口形式提供的基础架构 最终构成应用的业务逻辑和表现 控 制逻辑则要由建立在这个框架上的业务组件实现 而应用软件最终要解决的却 是应用问题 或者说是业务问题 如果软件能够在更高层次的业务层面上进行 大范围复用 那么对提高软件开发效率的作用将会更大 只有采用面向服务的 设计思想 才能够在更高层次上实现业务复用 2 业务组件的支撑平台业务组件的支撑平台 由于上述的业务组件并不是一个可以独立运行的应用软件 所以需要为它 们提供一个赖以生存的运行基础 核心底层机制 特别是组件的管理 如组 件的创建 组件的获得 组件的资源管理 组件的消亡等生命周期支持 以及 组件之间相互通讯的渠道和方式 3 分布式部署的应用系统分布式部署的应用系统 如果应用系统只部署在一台机器上 随着系统功能的增加和负载的加大 第 8 页 只有不断提升机器的硬件配置 我们希望能够把系统按照功能进行划分 以分 布式的方式进行部署 将不同的功能模块部署在不同的服务器上 服务器的压 力能够有效的降低 使得系统可以以较低的成本继续保持高稳定性和高可用性 以国土资源各类数据库为基础 以国土资源信息网络为依托 以标准 制 度和安全体系为保障 以地政 矿政 地质环境等主要管理业务流程优化为主 线 以支撑国土资源管理决策为核心 形成互联互通 贯穿上下的政务管理 决策支持和社会服务信息化体系 1 2 4 功能设计功能设计 1 2 4 1 应用服务运行管理框架应用服务运行管理框架 应用服务运行管理框架简称应用服务框架 是应用服务的运行 监控 管 理的框架 应用服务框架提供了统一的服务库注册 存储 查询的应用服务元数据信 息 提供了发布 调用应用服务的功能 可对应用服务及调用进行监控 管理 同时提供了本地和远程调用 可支持分布式应用和负载均衡 在不同的应用服务框架之间 采用对等的分布式调用机制 可注册远程的 服务库到本地 可通过应用服务框架之间的互操作调用 实现互联互通 应用服务框架本身不提供访问控制的功能 但可借助访问控制服务模块实 现对应用服务的认证 授权和访问控制 应用服务框架作为软件基础设施 通过部署在上面的服务模块 以标准的 协议对外提供服务 可实现更高层次的软件复用和业务复用 可将原有应用系 统中可重用 可共享的功能单元服务化 利于应用系统整合 应用服务框架提供高度可集成的能力 采用标准的 Web 服务协议组作为服 务接口描述和调用规范 可屏蔽不同软件平台的差异 实现透明的互操作 1 2 4 2 服务模块服务模块 服务模块是进行部署的最小单位 是满足某些特定功能需求的一组相关应 用服务的集合 可以是软件包的形式 也可以是第三方提供的应用服务集合的 第 9 页 形式 服务模块可通过元数据描述文件 附录 A 服务组件描述模式 schema 描述并部署在应用服务框架上 也可通过应用服务框架提供的界面或 API 来部 署 由应用服务框架实行统一的监控和管理 1 2 4 3 服务组件服务组件 服务组件是服务模块的基本组成元素和基本构建单位 是粒度最小的实现 和发布单元 是相关的一组应用服务的具体实现 它的功能以应用服务的形式 提供 服务组件具有可设置的属性 其属性是可以改变服务功能的数据 服务模块由一个或多个服务组件及相关配置信息构成 1 2 4 4 元数据元数据 1 元数据描述方法 采用摘要表示的方法定义和描述元数据 摘要包括以下属性 中文名 英 文名 数据类型 值域 约束 说明 中文名 元数据的中文名称 中文名称在同一类元数据中是唯一的 英文名 元数据的英文名称 英文名称在同一类元数据中是唯一的 比较 时不区分大小写 可包含的字符为大小写的英文字母 数字 所有组成词汇为 无缝连写 元数据的数据类型 值域 元数据可以取值的范围 约束 元数据的约束性条件 包括是否非空 最大出现的次数 是否唯一 说明 对元数据含义的进一步的解释及补充说明 2 应用服务及服务组件元数据 通过应用服务元数据对应用服务进行描述 发布 查找和调用应用服务时 都需使用元数据信息 应用服务和服务组件都使用相同的元数据描述 本部分 定义了核心元数据 即所有应用服务描述中共性的 必不可少的元数据 第 10 页 1 2 4 5 应用服务框架组成应用服务框架组成 应用服务工作原理图 1 工作原理工作原理 应用服务框架提供了应用服务的发布 注册 查找 调用 监控 管理功 能 其中涉及三个角色 服务提供者 服务请求者 服务库 应用服务工作原 理如下 1 服务提供者开发符合应用服务技术要求的功能单元 将开发好的功能 发布为应用服务 并将应用服务在服务库中注册 2 服务请求者在服务库中查找所需服务 根据返回的结果确定需要调用 的应用服务 3 服务请求者根据需要调用的应用服务 获得应用服务的代理对象 4 服务请求者发起调用请求 对应用服务进行实际调用 并获得服务返 回的结果 5 在整个提供服务的过程中 三个角色的基本功能如下 6 服务提供者 发布服务 进行注册 7 服务请求者 查找服务 调用服务 8 服务库 服务注册 服务查找 监控管理 2 总体框架总体框架 第 11 页 如上图所示 应用服务框架由服务库 发布模块 调用模块 管理模块和 监控模块五部分组成 服务库提供对应用服务元数据的注册 存储和查找功能 可以将服务模块 服务组件和应用服务注册在服务库中 发布模块提供将功能单元服务化的功能 读取并解析注册描述文件 将描述 在其中的接口发布为应用服务 并自动注册到服务库中 调用模块封装对应用服务的调用过程 屏蔽技术实现细节 直接实现对应 用服务的调用 可与应用服务框架部署在一起 也可单独部署在应用服务的调 用端 调用模块可将远程应用服务框架注册到本地 能对远程服务库查找和调 用 实现不同应用服务框架之间的分布式调用 管理模块提供对服务模块 组件和应用服务的管理功能 通过访问控制服 务模块实现对应用服务的授权和访问控制 并提供 UI 界面实现人机交互 监控模块在记录应用服务调用日志的基础上提供审计 统计和分析功能 可监控和改变应用服务的运行状态 1 2 4 6 接口定义接口定义 应用服务运行框架接口分为服务组件管理接口 服务模块管理接口 应用 服务管理接口 服务库管理接口 获取应用服务接口五大类 第 12 页 1 3 资源目录建设资源目录建设 对全市国土资源系统信息资源进行梳理 建立全市国土资源系统信息资源 目录规划 以便将全市国土资源系统可共享资源库进行集中有序组织 方便用 户资源查找 数据检索和应用系统访问 信息资源目录体系主要负责各级国土资源部门共享信息资源库的标准化描 述和合理化组织 其中信息资源库的描述主要针对信息资源库的数据存储 访 问方法和数据格式进行描述 是揭示信息资源库结构 指导用户使用的检索工 具 是用户迅速 准确 有效地寻找信息的向导 是对信息资源实施安全保护 的有效手段 信息资源目录可根据市各级国土资源部门提供资源的情况 动态更新 及 时反映共享数据资源接入的情况 是对信息资源实施安全保护的有效手段 其 主要功能是对各级国土资源部门的信息资源库进行合理规范的组织及维护 标 准化的描述信息资源库的访问方式 应用规则和相互关系 全市资源目录体系 主要包括三大基础目录 详细描述如下 1 3 1 组织身份目录组织身份目录 建设全市国土资源系统统一的组织身份目录 实现全市国土资源系统组织 身份的统一管理和各业务系统的身份整合 组织身份目录指全市国土资源系统 身份及组织架构目录的结构设计 用户身份信息属性设计等 全市国土资源系统统一身份库是以目录为基础建立的全面身份管理基础架 构 通过元目录的技术 可以将各个独立的应用中的用户资源统一到一个元目 录进行集中管理 这种方法提供了单点管理 大大地简化了用户身份的管理 在身份总库中建立统一的全市国土资源系统业务系统目录结构 身份总库 作为身份认证仓库 将用户的访问信息独立于应用程序来进行集中管理 建立单 一的权威用户数据库作为所有数据的数据源 同时 该基础架构对组织的授权 管理提供支持 身份管理基础架构为系统电子政务基础架构所提供的其他网络 服务提供了基础 第 13 页 总库中的组织机构信息应与各级国土资源部门的全部组织机构信息完全吻 合 换句话说 就是将身份总库中的组织目录信息与各级国土资源部门身份库 中的全部内容保持同步 1 3 1 1 建立组织模型规范及目录建立组织模型规范及目录 制定全市组织模型规范 统一规范电子政务系统中的组织身份数据模型 主要包括政府部门机构 领导 人员 职位 岗位 职级 用户组 角色等实 体对象 以及各实体对象之间的关系 根据组织模型规范 梳理并建设全市组织身份目录 组织身份目录是通过 对政府机构现状的调查来形成的 该模型对于组织机构及其相关的身份职责进 行了完整的描述 组织身份目录的重点在于职能岗位及其相应的职责 组织身 份目录可以认为是现状模型的体现 通过树状的层层细分 给出岗位和职责的 映射 组织身份目录模型图 department PKdepartmentguid personMembers PKpersonMenbersguid presonguid department person PKpersonguid duty PKdutyguid level position PKpositionguid dutyguid departmentguid level PKguid positionperson PKpositionpersonguid personguid positonguid group PKgroupguid departmentguid groupperson PKgrouppersonguid personguid groupguid ROLE PKROLEGUID DEPARTMENTGUID ROLEPERSON PKROLEPERSON ROLEGUID PERSONGUID ROLEDEP PKROLEDEP DEPGUID ROLEGUID 1 3 1 2 提供组织身份目录规范的接口提供组织身份目录规范的接口 提供规范的组织模型对外服务接口 所有注册在资源目录中的资源均可通 第 14 页 过 API 接口获得 下图为平台为用户提供的接口文件列表 1 3 2 应用服务目录应用服务目录 建设全市国土资源系统统一的应用服务目录 为实现全市国土资源系统多 业务系统应用整合奠定基础 网络管理员需要管理的应用系统很多 为了集中 对各应用系统中的各个功能进行授权控制 更好的为 portal 提供完整的应用系 统信息 我们在综合管理服务平台中提供应用系统管理服务 在目录服务中建立一个指定的容器对象 将各应用系统以对象的形式存放 在该容器中 各应用系统的子模块及子功能均可以作为对象以树的方式存放在 相应的应用系统对象下 每一个对象拥有相应的功能模块的基本信息 如 名 称 URL 开发商 版本等信息 通过应用服务目录的管理可以实现以下的几点 1 为集中授权做好基础 通过将各应用系统的功能映射到目录服务相应 的对象 就可以利用目录服务技术良好的安全控制机制 2 可以集中为应用系统提供有关其他系统的结构及 URL 信息 为单点登 录和门户整合提供应用系统的管理支持 第 15 页 1 3 3 信息资源目录信息资源目录 建设全市国土资源系统统一的信息资源目录 为实现全市国土资源系统信 息资源的统一描述与发现 为多部门信息资源的共享与整合提供资源环境基础 信息资源目录体系主要负责全市国土资源系统共享信息资源库的标准化描 述和合理化组织 其中信息资源库的描述主要针对信息资源库的数据存储 访 问方法和数据格式进行描述 是揭示信息资源库结构 指导用户使用的检索工 具 是用户迅速 准确 有效地寻找信息的向导 是对信息资源实施安全保护 的有效手段 并服务于信息资源共享平台的资源查找和定位 信息资源目录可根据全市各级国土资源部门提供资源的情况 动态更新 及时反映共享数据资源接入的情况 它是面向信息资源共享平台和全市国土资 源系统工作人员浏览和查询资源库信息的基础 是揭示信息资源库结构 指导 用户使用的检索工具 是用户迅速 准确 有效地寻找信息的向导 是对信息 资源实施安全保护的有效手段 其主要功能是对全市国土资源系统的信息资源 库进行合理规范的组织及维护 标准化的描述信息资源库的访问方式 应用规 则和相互关系 信息资源目录体系采用目录服务技术和元数据标准相结合的方式进行实现 目录服务技术目前已经成为国际上非常流行和通用的技术 其快速的查询效率 和强制性的安全管理特性为目录服务提供了良好的系统环境 国家有关资源库 描述的元数据标准对资源库的描述已经初步规范化 采用相关成熟的元数据标 准有利于对信息资源库的进行标准化描述和规范化定义 1 3 3 1 资源服务的注册维护资源服务的注册维护 资源库注册维护功能是为信息提供单位对可供共享的数据资源库在整个信 息资源目录体系中注册和元数据维护 以便其他单位能够及时准确地共享利用 该资源库的数据 其注册维护的主要信息包括共享资源库访问的 URL 联系人 负责人等 功能包括注册 修改和注销等 该功能只为全市信息中心平台管理 员和各共享资源库提供单位的管理员提供 第 16 页 1 3 3 2 资源服务的目录组织资源服务的目录组织 资源目录是将整个全市可共享资源库进行集中的有序组织 以方便用户资 源查找 数据检索和应用系统访问 信息资源目录由各提供单位在本部门组织节点下分级管理 为了全市综合 管理服务平台管理员的集中管理和监控 资源目录对分布在市各部门组织目录 不同节点的资源库信息进行集中展现 其实现界面参考如下 1 3 3 3 共享资源的注册发布共享资源的注册发布 通过信息资源目录实现对共享资源库的数据检索 列表及详细信息查看等 功能 这些功能可以通过授权控制进行访问控制 1 4 公共服务组件公共服务组件 公共服务组件应包括组织模型管理组件 身份服务组件 访问控制服务组 件 各类业务流程服务组件 各类业务电子表单组件 单点登录组件 通用 GIS 引擎服务组件以及非结构化数据管理组件等功能 1 4 1 组织模型管理组件组织模型管理组件 组织模型管理组件实现对组织模型的管理服务 用来定义组织形式的模型 第 17 页 以职责 权限的形式定义成员 各个部门的作用与任务 同时提供灵活的结构 以适应不同的部门或不同的组织结构 本组件提供对组织模型的管理服务 本组件提供对组织模型的管理服务 在本项目中根据组织模型规范 梳理并建设全市国土资源系统党政机关电 子政务组织身份目录 组织身份目录是通过对政府机构现状调查来形成的 该 模型对于政府组织机构及其相关身份职责进行了完整描述 组织身份目录重点 在于职能岗位及其相应职责 组织身份目录可以认为是现状模型体现 通过树 状层层细分 给出岗位和职责映射 组织模型的地位和作用组织模型的地位和作用 电子政务组织模型就是对政府组织结构进行建模 是利用抽象的模型或者 元素 构造出的一系列关系 用于表达政府政府组织机构中的实体间的层次和隶属 组织模型是用来定义政府的组织形式的模型 它以职责 权限的形式定义了政 府成员 政府各个部门的作用与任务 同时提供灵活的结构以适应不同的政府 部门或不同的组织结构 组织模型是大部份电子政务应用系统构建的基础 几乎所有的电子政务应 用系统都涉及到组织机构模型的建设 一个组织机构模型的好坏直接影响到基 于它构建的其它应用系统 组织机构模型对现实中的机构进行了抽象建模 提供了统一的概念和语义 通过组织模型的建设能很好的解决电子政务应用中人员调动 权限变化 职位变迁 部门合并 分级授权管理等各种业务问题 第 18 页 组织模型提供了一个统一的抽象 对用户统一集中管理 可管理多级用户 支持用户分类分组 多种用户接口 用户权限安全等方面的管理 组织模型为单点登录 统一授权提供基础 它为灵活授权 统一管理提供 了基础 组织模型支持各种业务应用组织模型支持各种业务应用 在当前的电子政务领域 通常一个部门或一个机构拥有多个应用系统 而 这些应用系统往往由多个厂家承建 他们基于不同的组织机构模型建立的 虽 然它们面对的是同一个机构 同一个部门 这些组织机构模型在实体的抽象 定义等各个方面都存在很大的差异 导致面对现实中同一个东西 在模型中表 现出来的却千差万别 这样导致新的系统不能重用以前建设好的组织模型 它 只能重新建设一个供它自己专用的新的组织模型 就这样 随着应用系统的增 加 组织机构模型也随着增加 这样就带来了很多问题 首先 是组织机构模型的重复建设 浪费财力物力 其次 是越来越多的各式各样的组织模型 给管理维护带来了巨大的工作 量的复杂性 增大了维护工作的出错率 影响系统的稳定性 再次 是组织模型的分离导致了各个应用系统处于孤立状态 对各个应用 系统进行协作带来了很多的困难 目前 还没有对电子政务组织模型进行规范的相关标准 行业内各个厂家 都是依据自己的需求进行组织机构的建模 都拥有自己的组织模型 对组织模 型的抽象不全面 不规范 建立一套建设组织模型的规范 行业内在建设组织模型时参考规范进行建 设 这样的组织模型就更具有普遍性 我们就能尽可能的进行组织模型的复用 减少重复建设 降低组织模型的维护成本和编撰复杂度 提高系统的可用性和 稳定性 同时 还能减少多个组织模型带来的其它方面的问题 如重复多次的 认证 组织模型信息的共享等等 为上层其它应用系统的建设提供了方便和基 础 组织模型的数据存储组织模型的数据存储 组织模型的实例数据支持数据库存储和目录存储两种方式 支持通用标准 协议 LDAP 第 19 页 在本项目中根据组织模型规范 梳理并建设全市国土资源系统党政机关电 子政务组织身份目录 组织身份目录是通过对政府机构现状调查来形成的 该 模型对于政府组织机构及其相关身份职责进行了完整描述 组织身份目录重点 在于职能岗位及其相应职责 组织身份目录可以认为是现状模型体现 通过树 状层层细分 给出岗位和职责映射 1 4 1 1 组织模型实体定义组织模型实体定义 组织模型实体定义 包括机构 部门 人员 角色 用户组 岗位六大类 实体的描述方法 对各实体的属性进行描述 实体的属性包括数据类型 值域 约束 示例 描述五方面的定义 1 数据类型 说明实体属性的数据类型 对实体属性的有效值域及允许 的有效操作进行规定 如整型 实型 布尔型 字符型 日期型等 2 值域 说明实体属性可以取值的范围 3 约束 说明实体属性必须遵守的一些强制性规则 如不可取空值等 4 示例 对于每一个属性元素 都列举一个填写内容示例 如部门名字 的取值示例 局信息中心 5 描述 对实体属性的意义进行简短的描述 实体描述如下 实体描述如下 机构机构 机构是指在社会生活中 人们为实现某种职能所建立的 由人财物和信息 等若干因素有序地联结起来的 相对稳定的社会实体单位的抽象 通常指机关 团体或其他工作单位及其内部组织 例如 潍坊市国土资源局 部门部门 部门是根据行政划分而实际存在的实体部门的抽象 例如 潍坊市国土资 源局办公室 人员人员 人员是部门内的实体人员及类似实体的抽象 例如 张三 人员的属性如 下表 角色角色 第 20 页 角色是指在处理特定业务时设定的具有特定工作范围或工作职责 用于解 决特定业务问题的实体抽象 例如 办公室文件管理员 用户组用户组 用户组是为满足特定业务需求而组建的 不受机构或部门限制的人员集合 的抽象 可以是临时的或长期的 如 信息化领导小组 岗位岗位 岗位是根据部门编制实际存在的工作岗位的实体抽象 如工商局局长 1 4 1 2 组织身份模型实体关系组织身份模型实体关系 如下图所示 组织身份模型实体关系是组织身份模型中各个实体之间的关 联关系的统称 机构和部门的关系 一对多关系 一个机构可以包含多个部门 一个部门 只能被一个机构包含 机构和人员的关系 一对多关系 一个机构可以包含多个人员 一个人员 只能被一个机构包含 机构和角色的关系 一对多关系 一个机构可以包含多个角色 一个角色 只能被一个机构包含 机构和岗位的关系 一对多关系 一个机构可以包含多个岗位 一个岗位 只能被一个机构包含 机构和组的关系 一对多关系 一个机构可以包含多个组 一个组只能被 一个机构包含 部门和部门的关系 一对多关系 一个部门可以包含多个子部门 一个子 部门只能被一个部门包含 部门和人员的关系 一对多关系 一个部门可以包含多个人员 一个人员 只能被一个部门包含 部门和角色的关系 一对多关系 一个部门可以包含多个角色 一个角色 只能被一个部门包含 部门和岗位的关系 一对多关系 一个部门可以包含多个岗位 一个岗位 只能被一个部门包含 部门和组的关系 一对多关系 一个部门可以包含多个组 一个组只能被 第 21 页 一个部门包含 组和组的关系 多对多关系 一个组可以包含多个组 一个组也可以被多 个组包含 组和人员的关系 多对多关系 一个组可以包含多个人 一个人也可以被 多个组包含 岗位和人员的关系 多对多关系 一个岗位可以由多个人员担任 一个人 员也可以担任多个岗位 角色和人员的关系 多对多关系 一个人员可以担当多种角色 一个角色也 以由多个人员担当 角色和角色的关系 一个角色可以包含多个子角色 一个子角色也可以被 多个父角色包含 1 4 2 身份服务组件身份服务组件 身份服务组件实现用户身份进行认证 组件能够提供用户信息进行增加 删除 修改 验证等服务 同时能实现通过同步信息接口把变动数据同步给外 部第三方系统 身份服务接口包括四大类 身份认证接口 模型管理接口 模型信息接口 同步信息接口 身份认证接口指对用户身份进行认证的接口 其中模型管理接口指实体及 实体属性的管理接口 实体增 删 改操作 当然根据需要 还包括一些特殊 的操作如 移除 模型信息接口指对模型信息进行读取的操作接口 同步信息 接口指把模型的变动数据同步给外部系统的接口 1 4 3 访问控制服务组件访问控制服务组件 访问控制服务组件实现阻止未经允许的用户有意或无意地越权获取数据 实现管理员管理各自应用的用户和访问权限 具有不同的管理界面和管理实现 方法 第 22 页 1 4 3 1 概述概述 访问控制是针对越权使用资源的防御措施 基本目标是为了限制访问主体 用户 进程 服务等 对访问客体 文件 系统等 的访问权限 使计算机 系统在合法的范围内使用 决定用户能做什么 也决定代表用户的程序能做什 么 访问控制决定了谁能够访问系统 能访问系统的何种资源以及如何使用这 些资源 访问控制能够阻止未经允许的用户有意或无意地越权获取数据 访问控制基本概念访问控制基本概念 主体 Subject 或称为发起者 Initiator 是可以访问资源的实体 通常指用户或代表用户执行的程序 客体 Object 是需要保护的资源 又称作目标 target 授权 Authorization 是可以对资源执行的动作 例如读 写 执行或 拒绝访问 访问控制服务原理访问控制服务原理 访问控制模型示意图 通过建立统一的访问控制模型 提供统一的权限访问接口和管理接口 提 供统计 日志 事件 审计 查询等功能 实现应用系统权限管理的一致性 易管理和易维护 通过权限访问接口 为各应用系统提供统一的访问策略和权限控制 通过 第 23 页 权限管理接口 使各应用系统能够创建自己的访问控制资源并进行权限分配 1 4 3 2 权限管理模型权限管理模型 根据电子政务体系对访问控制的要求 访问控制模型参考 ConstrainedRBAC 模型 并在此基础上进行扩展 增加 Actor 对象 即用户 User 和角色 Role 的集合 增加域 Domain 对象 即授权的作用范围 增加用户 User 和权限 Permission 的关系 即除对角色授权外 单个用 户 User 可以直接授权 基本概念定义 操作者 Actor 执行者 参与者 包含用户 User 和角色 Role 的集合总称 可以是应用系统的代理 agent 或其它任何能够发起请求的对象 可以反向包含自身 即树状结构 接口中引用的 actorUID 泛指用户 User 对象 角色 Role 对象和代理对象 agent 的 UID 值 JY User 发起请求的主体 对应组织机构中得 Person 对象 或者一个应用代理程序 agent 可以通过授权管理对用户直接进行授权 角色 Role 一组具有相同属性或者业务需求的人员集合 是授权的主体 可以是组织模型中的机构 部门 用户组 角色 岗位等 资源 Resource 对象 Object 资源或对象 被授权对象 可以反向包含自身 即树状结构 操作 Operation 权限类型 是访问控制可以执行的最小功能项 被 Actor 调用或执行 EIEIT Permission 同义词 Privilege 是一个许可 对在一个或多个 Resource 上执行的 Operation 的许可 会话 Session 第 24 页 每个 Session 是一个用户到多个 Role 的映像 当一个 Actor 启动它所有角 色的一个子集的时候 建立了一个 Session 每个 Session 和单个的 Actor 关 联 并且 Actor 可以关联到一个或多个 Session 域 DoiTflifl 描述作用范围 也叫作用域 通过分配不同的对象 Actor Resource Operation 生成授权范围 授权是在域的范围内进行 1 4 3 3 访问控制规则访问控制规则 1 授权方式 正向授权 开始时假定主体没有任何权限 然后根据需要授 予权限 2 权限继承 权限的继承通过对象的父子关联实现 如果设置为可继承 则执行者子对象自动继承父对象的权限 子资源自动继承父资源的权限 3 权限过滤 通过设置相应的权限过滤规则 控制资源的权限继承 过滤当前资源节点 从父节点继承获得的访问权限 4 再授权 再授权是指权限拥有者将自己拥有的权限再分配给其他用户 这个授权过 程称之为再授权过程 再授权中的权限具有包含关系 即只能授予自己拥有的 权限 5 权限回收 权限回收是指系统回收已经分配给用户的权限 根据不同的 情况 通过权限继承得到的权限 如果父权限被回收 子权限必定被回收 通 过再授权得到的权限 根据设置不同规则 可规定父权限被回收 保留或回收 子权限 6 权限排斥 权限的排斥主要是指当用户拥有权限 A 时 则不能同时再拥有权限 B 通 过定义权限排斥规则 通过静态方式或者动态方式计算权限排斥 7 负权限 负权限是指操作者不应该拥有的权限 负权限通过权限计算叠 第 25 页 加完成 计算时负权限优先 8 权限等效 权限等效是指如果设置用户 B 等效于用户 A 则用户 B 拥有 用户 A 的所有权限 A 称为被权限等效对象 B 称为权限等效对象 权限等效具 有时效性 1 4 3 4 访问控制接口访问控制接口 访问控制接口分为权限访问接口 管理接口 数据权限接口三类 1 4 3 5 数据权限数据权限 数据权限根据不同的业务需求 可以划分为行数据权限 数据范围权限 表权限 字段权限 其中行数据权限 数据范围权限可归为行权限 表权限 字段权限可归为列权限 为了对数据资源进行授权和控制 将数据映射为 Resource 对数据的操作映射为 Operation 整个授权过程与普通的 Resource 对象相同 由此根据数据类型的不同 会产生相应的 Resource 对象 1 DataRowResource 行数据资源 资源类型名称是 dataRowResource 记录行数据的基本信息 由于数据动态产生 只有在数据产生时生成 DateRowResource 对象 2 DataScopeResource 数据范围资源 资源类型名称是 dataScopeResource 记录符合特定条件的行数据集合 由于包含多条动态数据 DateScopeResource 对象只记录产生数据集合的条件 并不包含实体数据 3 TableResource 表资源 资源类型名称是 tableResource 映射数据 库表对象 4 TableColumnResource 字段资源 资源类型名称是 tableColumnResource 映射数据库表列字段 第 26 页 1 4 4 业务流程服务组件业务流程服务组件 业务流程服务组件实现对不同部门 不同的应用系统协同完成一个事件的 调度管理 1 4 4 1 概述概述 业务流程服务示意图 如上图所示 业务流程服务的核心组件是流程服务器 流程服务器可以提 供五类服务 流程模型服务 流程实例服务 应用调用服务 流程互操作服务 和流程管理服务 流程模型服务 是对流程模型的管理服务 流程模型提供对 业务流程的形式化描述 通过流程定义工具输入或输出定义好的流程模型 以 及图形化展示 流程实例服务 是操作并控制流程实例 活动实例运行和状态的服务 本 类服务访问和操作流程中的实例数据 各应用系统主要使用的是本类服务 包 括执行流程的客户端 应用调用服务 是调用其他应用程序实现任务自动化的服务 本类服务来 实现流程服务和各应用系统间的调用 可在流程服务的各环节调用其他应用程 序 实现业务流程贯通 流程互操作服务 是流程服务之间相互通讯和调用的服务 本类服务实现 第 27 页 流程服务器之间的协同工作 流程管理服务 是对流程服务器进行监控 管理的服务 本类服务可以启 动 停止流程服务器 获取流程运行的日志信息 导出或迁移流程定义等 1 4 4 2 流程模型服务流程模型服务 是对流程模型的管理服务 流程模型提供对业务流程的形式化描述 通过 流程定义工具输入或输出定义好的流程模型 以及图形化展示 包括部署 删除 更新 查找 获取流程定义 控制流程定义版本 获取 和改变流程定义状态等服务 1 4 4 3 流程实例服务流程实例服务 是操作并控制流程实例 活动实例运行和状态的服务 本类服务访问和操 作流程中的实例数据 各应用系统主要使用的是本类服务 包括执行流程的客 户端 包括创建并启动流程实例 删除流程实例 获取及改变流程实例的状态 获取活动列表和改变活动状态 获取工作项列表 改变工作项状态 重新分配 工作项等 1 4 4 4 应用调用服务应用调用服务 是调用其他应用程序实现任务自动化的服务 本类服务来实现流程服务和 各应用系统间的调用 可在流程服务的各环节调用其他应用程序 实现业务流 程贯通 应用调用服务通常用来调用其他应用程序执行特定的任务 如调用 PDF 生 成程序生成 PDF 文档 调用打印服务器打印文档 第 28 页 应用调用示意图 应用调用服务通过 应用代理 组件来完成调用 应用调用服务必须提供 双向 服务 既可以从流程服务调用应用程序 也可以从应用程序调用流程 服务 应用调用服务同时提供更新数据的功能 包括应用程序更新流程服务数 据以及流程服务更新应用程序数据 1 4 4 5 流程互操作服务流程互操作服务 是流程服务之间相互通讯和调用的服务 本类服务实现流程服务器之间的 协同工作 1 4 4 6 流程管理服务流程管理服务 是对流程服务器进行监控 管理的服务 本类服务可以启动 停止流程服 务器 获取流程运行的日志信息 导出或迁移流程定义等 1 4 5 业务电子表单组件业务电子表单组件 业务电子表单组件实现对业务表单的定义 填写功能 通过表单引擎使电 子表单在不同系统 不同功能模块之间的传递和复用 1 4 5 1 概述概述 电子表单系统能够提供业务表单自由定义 表单自主痕迹保留 和离线填 写功能等先进功能 对于流程中用到业务表单 用户可以根据实际业务需要进 第 29 页 行自由定义 电子表单系统支持多部门 多级表单发布管理 支持电子表单的定制 信 息内容的权限管理 信息栏目的权限管理 支持正文的格式编辑 能够兼容一 般字处理软件定义好的排版格式 信息内容能够进行多级的审批 可与工作流 等系统结合 1 4 5 2 服务组成部分服务组成部分 电子表单服务的各组成部分示意图 参照上图 电子表单服务由三部分组成 表单设计器 表单填写器 表单 服务器 表单设计者通过表单设计器在线或者离线设计表单模板 FormTemplate 通过表单服务器上传到 服务器端 放入到文档库中的表单模板库 文档库可以使用数据库 文件 系统或其他的存储方式 如果 需要采用数据库分离存储表单中的数据 表单设计器则需提供数据映射功 能 表单使用者通过表单填写器调用表单模板进行填写操作 通过表单服务器 提交表单数据并保存到表 单实例库 使用者可以通过表单填写器浏览 查找 修改已经填