集团公司信息门户系统方案设计

1、 集团公司信息门户系统方案设计目 录 TOC o 1-4 h z u HYPERLINK l _Toc33961028 第一章 概述 PAGEREF _Toc33961028 h 3 HYPERLINK l _Toc33961029 1.1 公司背景 PAGEREF _Toc33961029 h 3 HYPERLINK l _Toc33961030 1.1.1 公司基本情况 PAGEREF _Toc33961030 h 3 HYPERLINK l _Toc33961031 1.1.2 公司组织架构 PAGEREF _Toc33961031 h 3 HYPERLINK l _Toc3396103

2、2 1.2 项目的建设目标 PAGEREF _Toc33961032 h 4 HYPERLINK l _Toc33961033 1.2.1 集团管控一体化 PAGEREF _Toc33961033 h 4 HYPERLINK l _Toc33961034 1.2.2 业务运营一体化 PAGEREF _Toc33961034 h 4 HYPERLINK l _Toc33961035 1.2.3 协同业务一体化 PAGEREF _Toc33961035 h 4 HYPERLINK l _Toc33961036 第二章 平台功能介绍 PAGEREF _Toc33961036 h 5 HYPERLIN

3、K l _Toc33961037 2.1 信息门户（Portal） PAGEREF _Toc33961037 h 5 HYPERLINK l _Toc33961038 2.1.1 门户概述 PAGEREF _Toc33961038 h 5 HYPERLINK l _Toc33961039 2.1.2 门户技术指标说明 PAGEREF _Toc33961039 h 7 HYPERLINK l _Toc33961040 统一的先进的技术标准及规范 PAGEREF _Toc33961040 h 7 HYPERLINK l _Toc33961041 多级组织架构的门户应用 PAGEREF _Toc33

4、961041 h 7 HYPERLINK l _Toc33961042 登录安全、系统单点集成安全 PAGEREF _Toc33961042 h 11 HYPERLINK l _Toc33961043 实现各信息系统的统一入口要求 PAGEREF _Toc33961043 h 18 HYPERLINK l _Toc33961044 实现信息系统功能节点的重新组合和统一授权 PAGEREF _Toc33961044 h 18 HYPERLINK l _Toc33961045 实现信息系统局部信息的获取 PAGEREF _Toc33961045 h 19 HYPERLINK l _Toc33961

5、046 实现信息系统统一的待办、预警的要求 PAGEREF _Toc33961046 h 19 HYPERLINK l _Toc33961047 实现信息系统的统一的辅助决策展现 PAGEREF _Toc33961047 h 19 HYPERLINK l _Toc33961048 办公流程管理 PAGEREF _Toc33961048 h 20 HYPERLINK l _Toc33961049 0 个性化页面配置 PAGEREF _Toc33961049 h 20 HYPERLINK l _Toc33961050 1 提供内容管理（CMS） PAGEREF _Toc33961050 h 20

6、HYPERLINK l _Toc33961051 2.1.3 功能架构图 PAGEREF _Toc33961051 h 22 HYPERLINK l _Toc33961052 2.1.4 Portal管理 PAGEREF _Toc33961052 h 22 HYPERLINK l _Toc33961053 角色管理 PAGEREF _Toc33961053 h 22 HYPERLINK l _Toc33961054 用户管理 PAGEREF _Toc33961054 h 24 HYPERLINK l _Toc33961055 管理用户 PAGEREF _Toc33961055 h 24 HYP

7、ERLINK l _Toc33961056 在线用户 PAGEREF _Toc33961056 h 25 HYPERLINK l _Toc33961057 布局恢复 PAGEREF _Toc33961057 h 25 HYPERLINK l _Toc33961058 用户导入 PAGEREF _Toc33961058 h 25 HYPERLINK l _Toc33961059 资源管理 PAGEREF _Toc33961059 h 26 HYPERLINK l _Toc33961060 portlet管理 PAGEREF _Toc33961060 h 27 HYPERLINK l _Toc33

8、961061 2.1.5 布局管理 PAGEREF _Toc33961061 h 28 HYPERLINK l _Toc33961062 新建系统布局 PAGEREF _Toc33961062 h 28 HYPERLINK l _Toc33961063 现有系统布局 PAGEREF _Toc33961063 h 29概述公司背景公司基本情况集团坐落于辽东半岛大连湾畔，始建于1945年，是省属国有独资的综合性大型渔业联合企业。企业资产总值达94亿元，员工6000余人，海陆域总面积近300万平方米，目前已形成集海洋捕捞、港口航运、水产品交易、水产品加工、冷藏、国内外营销、船舶修造、地产开发、物资供

9、应等多产业多元化的经营格局，成为国内同行业最具综合规模优势、产业链条最为完整的现代化渔业基地。“十三五”期间，集团将致力建设成为以海洋为依托，以海洋食品为龙头，以捕捞、冷藏、渔港、客滚、修造船、水产品贸易、食品加工、冷链物流为支撑的全产业链的现代服务型企业集团。公司组织架构集团项目的建设目标为促进集团公司管理科学化、制度化、信息化，提高管理水平和管理效率，采用统一规划、分步实施、逐步完善、集中管理、分层授权、多级应用的原则，构建开放性好、兼容性强的协同管理应用支撑平台，并在此统一平台之上部署办公自动化信息门户、初级辅助决策及数据集成等扩展系统。注重知识管理的实际应用，融协同作业、实时通信、信息

10、发布、知识管理、行政办公、业务流程、信息集成、移动办公等于一体，为管理决策层提供数据支持，为员工提供先进的办公手段和沟通协作平台。集团管控一体化构建集团的集中管理平台，将集团及分子公司现有系统统一在同一管理平台，帮助企业建立规范的管理制度，实现集团对基础数据、财务、人力资源（HR）、各项资产、进行集中管控、统一授权、自动审批，并要通过适当的展现方式，让不同管理层级的不同决策人员得到不同的管控指标及管控信息。通过集中管理平台的构建，规范子公司及各业务部门记录规则、指标体系及信息报送体系，为集团管控提供信息高度集中的有效支撑。业务运营一体化为了能快速响应客户的需求及加快内部各单位及各业务部门之间的

11、协同，要求建立各系统之间的一体化运作机制，打通系统与系统之间存在的信息孤岛，最大限度挖掘数据的共享潜能。协同业务一体化企业财务业务一体化目标是实现对企业各项收入及成本进行 统一管控的有效手段，并为集团未来集团化后，多层次、多组织架构下管控模式打下坚实的基础。平台功能介绍信息门户（Portal）门户概述Portal是基于SOA架构的协同应用门户，产品定位为界面集成解决方案，提供个性化、单点登录、不同来源的内容整合功能，可以方便的单点集成任何第三方信息系统，从而实现了信息系统的集中访问，用户通过Portal无缝连接到各个业务系统上通过一站式方式处理所有业务。Portal基于J2EE技术体系架构，符

12、合JSR286规范，兼容JSR168规范，支持Web2.0，它完美融合Ajax技术与Spring MVC技术，提供了灵活而丰富的个性化和管理定制功能。Portal允许多种安全认证方式和自选第三方系统用户来源，采取了基于角色访问控制(RBAC)的权限模型，提供了完善和通用的第三方系统集成框架和单点登录框架。使用Portal管理功能，方便的进行用户、角色、资源的统一管理，允许管理员在运行态对Portal进行定制，而无需重启服务甚至编码。内建的CMS内容管理功能可以方便的发布基于审批流的新闻、公司发文、公告、新建事项等协同办公的内容，帮助快速搭建企业内网。Portal内置主题机制，使用CSS控制界面

13、展现风格，可以方便、快速的定义界面展现形式，Portal提供了一些通用的API，使得Portlet可轻松调用Ajax，json，以及使用NC组件。Portal产品架构在UAP平台之上，充分利用了UAP先进的底层技术框架，在稳定性、安全性、大并发（支持万人并发）、高性能方面均有杰出的表现。Portal从2005年底开始研发，2006年推出5.0版本，2011年已经发展到5.7版本，规划在2012年发布6.0版本，经过6年的研发，Portal在系统单点集成方面拥有完善的解决方案，已经和近百家的第三方厂商做过单点集成，大量第三方系统成功的集成案例充分印证了Portal单点集成方案的完备性。Porta

14、l在内容管理方面也在不断增强，基于审批流的新闻、发文、公告审批可以满足企业日常办公的需要。Portal产品采用两层架构的设计，底层是“门户平台层”，包括Portal容器、Portlet容器、SSO框架、安全认证框架、工作流引擎、消息集成引擎、搜索引擎等，上层是“门户应用层”，包括个性化服务、信息发布服务、协同服务等，应用层的功能全部以“服务”的形式对外暴露，不同角色的用户可以定制不同的服务，完全基于SOA的思想设计，Portal与第三方系统的单点集成是通过SSO机制，不同角色的使用者通过“门户平台服务”统一接入门户系统。Portal产品架构图在应用集成服务产品中，门户是应用集成产品重要的组成部

15、分，是应用集成的核心产品。产品特性：本产品能够实现单点登录、权限控制、个性化定制、内容集成、网站群搭建、系统动态管理等功能，具有如下特点：快速方便的配置单点登录，内部产品直接集成；布局灵活，界面自由布局；界面展现绚丽，可以根据企业特点定制界面展现风格；方便构建网站群；提供丰富的内置组件：内容管理组件、系统管理组件、NC集成组件、IYONYOU-O集成组件、人力资源集成组件、人力资源自助集成组件、NC-OA集成组件、公告栏组件、新闻组件、公司发文组件、Blog组件、Wiki组件、论坛组件、RSS组件；易维护性，高安全性；开放性，集成方案灵活、通用、完善，支持C/S，B/S架构的系统集成。具体特性

16、说明如下：预置支持对NC ERP和多套NC系统及IYONYOU-O、BO、HR自助、NC-OA、任何第三方B/S架构系统、C/S构架应用系统的集成解决方案；可以抽取各个信息系统的局部信息展现在Portal的首页面，用户无需登录各个信息系统，就可以处理和自己有关的各个信息系统的信息。基于Portal门户集成示意图门户技术指标说明统一的先进的技术标准及规范1、门户符合JSR168规范，符合J2EE规范；2、门户是基于SOA架构的系统。多级组织架构的门户应用为了适应集团/公司的组织结构，在Portal6.3中，引入了组织结构框架。组织结构是整个portal管理中的一部分，在组织结构中主要包括集团管理

17、，公司管理，部门管理，角色组管理，角色管理，用户组管理，用户管理等。在对组织结构进行管理时，根据权限不同将用户分为不同的类型，每种类型的用户具有不同的管理权限，用户主要分为系统管理员，集团管理员，公司管理员，普通用户四大类，下面针对三种不同管理员的管理权限分别进行介绍。系统管理员管理系统管理员主要负责集团管理，集团管理员管理，安全级别管理，系统自定义角色管理等四部分，系统管理员管理的组织结构如下图所示：系统管理员管理的组织结构Portal6.3中预置了系统管理员sysadmin，其用户ID是sysadmin，密码是sysadmin。以系统管理员sysadmin登陆即可进行集团管理及集团管理员的

18、管理等。 集团管理集团管理主要负责集团的增加、删除、修改、保存。集团管理中，只有一个顶级集团，其他集团需要在顶级集团下建立，集团间存在上下级关系。集团的删除将删除与集团关联的所有事项，如集团下的所有公司。下面具体介绍一下集团管理的功能：增加：因为集团只有一个顶级集团，所以在增加集团时，必须选择父集团，点增加按钮，需要输入集团编码、集团名称字段，父集团、创建人、创建日期系统会自动设置，点保存按钮，保存输入。删除：在集团列表中选择要删除的集团，点击删除按钮，系统给出相应的提示，点确定后，该集团被删除，删除集团时将删除与集团关联的所有事项，如集团下公司，集团管理员授权集团等。修改：在集团列表中选择要

19、修改的集团，点击修改按钮，此时可以修改集团编码、集团名称、父集团字段，修改完毕后，点确定按钮，保存相关的修改。在顶级集团group1下建立集团，如建立group2后界面如下图所示：集团管理界面2集团管理员管理集团管理员主要负责集团管理员的增加、删除、修改、保存以及授权集团等操作。其中授权集团是给集团管理员授权其可以管理的集团，给集团管理员授权集团后，此集团管理员可以管理授权集团下的所有操作，一个集团管理员可以同时管理多个集团。系统预置了grpadmin集团管理员，并且设置了其可以管理的集团group1。集团管理员管理界面如下图所示：集团管理员管理界面点击授权集团按钮，可以为集团管理员选择可管理

20、的集团，授权界面如下图所示，授权的集团中包含刚建立的集团二，如下图所示：集团管理员管理界面2安全级别管理安全级别管理主要负责安全级别的增加、删除、修改、保存操作，安全级别管理主要用于用户管理中用户安全级别的设置，是对用户密码的约束，主要包括缺省密码、最低长度、有效天数、密码过期策略、是否强制修改、有效提示天数及验证类等属性。下面简要介绍各个属性意义。缺省密码：定义安全级别的默认密码，如果用户设置了安全级别，则自动将用户密码设为此安全级别的默认密码。最低长度：用户修改密码时使用，修改密码时密码长度必须大于安全级别设置的最低长度。有效天数：密码的有效天数，超过天数，系统将提示用户修改密码。密码过期

21、策略：用户输入密码次数大于最多次数的处理策略，提供10分钟后可以重试、20分钟后重试、1小时后重试和锁定四种可选方式。用户锁定后需要联系管理员将其解锁后用户才能登陆。是否强制修改：用户第一次登陆时，是否强制修改密码。有效提示天数：用户密码还差多少天到期开始提示用户修改密码。验证类：用户修改密码时，对输入密码的验证类。例如要求密码必须为数据和字母的组合。登录安全、系统单点集成安全门户集成业务系统后，通过门户登录应用系统。满足：1、登录支持USB-Key、能够防止暴力破解用户密码；2、单点登录安全，密码传输过程被加密。帮助集团公司通过实施建立企业级的单点登录系统和安全防护系统，为集团公司用户提供统

22、一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台；通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性；在此基础上进一步实现企业用户高速协同办公和企业知识管理功能。集团公司各个业务系统大都采用异构系统（在不同平台上建立不同应用服务器的业务系统）。因此，在确保业务系统独立运行的前提下，要解决单点登录，需要满足如下需求：1、对多个系统实现单点登录功能的需求；2、业务系统可以在不同的硬件架构中的需求；3、业务系统可以为异构系统，其运行的操作系统平台和应用服务器可以各部不同，客户端可以使用不同的浏览器的需求；

23、 4、门户登录支持用户名/口令认证、CA证书认证、还能实现少数用户通过USB KEY等硬件认证的需求；5、最少化改动现有的应用模式和业务系统的需求； 6、对后续的业务系统扩充和扩展有良好的兼容性的需求； 7、安全防护企业业务系统、以及内部网络用户的需求； 8、提供多方位的安全防护功能和审计功能的需求。门户登录安全性方案由于搭建门户系统后，所有的业务系统访问将从门户一点进入，为了保证门户登录的安全性，考虑部分重要用户登录门户采用Usb-key的方式。要求Usb-key提供一个ActiveX控件，门户登录时后台生成挑战码(一串随机字符串)发送到前台，门户通过js代码调用ActiveX控件对挑战码进

24、行加密，随用户名、密码一同发送到Portal服务器，门户调用后台的服务对加密后的挑战码进行解密，同时和保存在后台的原始挑战码进行对比，如果一致，认为在整个登录过程中没有对登录信息进行过篡改，登录过程安全。是否插入Usb-key由门户系统检测，由Usb-key厂商负责提供探测的方法，如果检测到插入Usb-key才对挑战码进行加密，否则按照默认的方式提交用户名和密码。B/S架构系统单点集成方案Portal最有价值的应用之一就是系统集成，NC-Portal提供了完善的第三方系统集成方案，如下图所示，可以根据第三方系统的要求提供各种方式和安全级别的集成方案。如下图所示：基于Portal的SSO解决方案

25、示意图Portal基于B/S架构的主要集成关键内容包括：基于凭证式的高安全级别Portal的SSO方案是基于凭证的思想设计。对于portal集成的每个第三方系统都有一个制作凭证的页面，该页面用于当前登录的portal用户输入对应的第三方系统的用户信息，在正常情况下，该制作凭证的页面最多出现一次。当用户输入的第三方系统登录信息进行验证后，会自动在portal系统的数据库中建立一对凭证槽和凭证信息，这对信息记录了portal用户在特定的portal布局和特定的portlet下，与该第三方系统的身份对应关系。当该用户之后登录portal并进入被集成第三方系统时，portal系统负责获取之前成功建立的

26、对应第三方系统身份信息，并用该身份信息进行第三方系统的身份认证。这一切的操作对当前登录用户来说都是透明的，他们看到的是没有输入任何身份信息而以正确的身份进入了第三方系统。另外，在用户每次登录第三方系统时，都会根据第三方系统的要求进行身份认证，因此这个登录过程是安全的。制作凭证的高安全级别集成：“凭证”就是portal系统的用户和被集成的系统的用户之间的一个对照关系，当第一次登录被集成的系统时，portal会自动查询是否存在该凭证关系，如果不存在portal集成框架会根据配置的单点登录信息弹出如下界面，要求输入第三方系统的登录信息进行凭证的制作。下次登录该系统，如果凭证存在，会直接进入该系统。P

27、ortal集成框架在每次进入第三方系统前会负责将第三方系统的用户名和密码及登录要求的信息传给第三方系统配置的认证地址做用户认证，如果该用户认证通过，第三方系统会返回给Portal集成框架一个成功标示，那么即可直接进入第三方系统，否则无法进入。在这个过程中，如果第三方系统对安全级别的要求比较高，那么当用户认证通过后第三方系统可以维护一个令牌，并将该令牌返回给Portal，并且可以设置持有该令牌在一定的时间内访问本系统有效(比如:10秒)，Portal系统会获取在单点登录信息中配置的gateUrl并且必须持有该令牌串才能安全进入第三方系统。如果安全级别稍低，那么返回一个无时间限制的令牌，Porta

28、l系统会获取在单点登录信息中配置的gateUrl并且拼接该令牌串进入第三方系统。基于企业服务总线(ESB)高安全级别门户系统和ESB无缝集成，可以轻松搭建基于ESB的企业信息门户完成单点登录过程。一、总体认证流程统一身份认证流程1、客户机向集成子系统发出认证请求；2、应用系统获取用户的帐户和密码信息后，调用企业服务总线的认证服务接口，进行用户身份认证；3、认证接口确定用户身份信息后，生成用户令牌（一个固定长度的字符串，在本次会话的过程中可以在参与应用集成的系统范围内唯一的标识用户的身份）；4、集成子系统可以通过用户身份令牌，调用企业服务总线的用户信息获取服务接口；5、总结确认用户令牌后，返回用

29、户的帐户信息；6、集成系统通过用户的帐户信息，找到该用户的对应权限，引导用户进入系统。二、集成系统统一身份认证改造将原有的认证逻辑，改为调用企业服务总线上的用户帐户认证服务接口。用户帐户数据获取改为调用服务总线上的用户身份获取接口。原有系统认证流程改造后的用户认证流程三、单点登录流程单点登录示意图1、用户进入门户系统后，请求进入其它系统；2、门户系统引导用户进入其它系统；3、其它系统接收用户身份令牌信息；4、其它系统使用用户身份令牌向服务总线的用户信息获取服务接口请求用户帐户信息；5、总线接口返回帐户信息；6、系统获取用户权限后，引导用户登录进入系统。只要用户进入了门户系统，他就可以不需要再次

30、认证直接进入其它任何参与了单点登录改造的系统。此次设计采用了以门户系统为中心，进行单点登录的改造方案，以减小对其它系统的影响。基于IFramePortlet中安全级别采用IFramePortlet进行中安全级别系统集成：像一些企业内部论坛系统，仅需要提供员工号，或者输入员工名即可进入的系统，可以采用IFramePortlet来集成。采用如下形式：http:/www.yonyoYONYOU-?name=name&password=password&staffcode=staffcode，管理员在Portlet管理中加入IFramePortlet，url属性配置为此种形式，并且禁止该Portlet

31、编辑，添加该Portlet到相应的布局中，在进入该系统时，Portal会负责把name替换为当前Portal用户的用户名，password替换为当前Portal用户的密码，staffcode替换为当前Portal用户的员工号，这样该url请求的系统即可呈现出来。低安全级别采用IFramePortlet进行低安全级别系统集成：像一些简单的企业内部web系统，是不受权限控制的，可以采用该portlet，通过简单配置url属性的方式进行快速的集成。C/S系统单点集成方案CS架构的系统集成，通过Portal提供的ExecutePortlet做到。要求第三方CS系统可以接受命令行形式传递用户名和密码的方

32、式。Portal默认提供了一个“执行系统命令”portlet，用来提供CS系统的集成方式。门户配置界面如下图所示：基于命令方式配置在“portlet”管理中可以看到Execute Cmd Portlet，点击修改按钮，然后点击行操作中的增行按钮，增加如图中所示的keynamei，keycodei，一个keyname对应一个keycode，i取值范围(0-20)，keyname指显示名(示例中写的是记事本)，keycode是真正的系统命令。例如：qq.exe name=name pass=password date=date staffcode=staffcode，这些中括号会被替换为当前登陆P

33、ortal用户的名称，密码，日期，员工号，只要第三方CS系统能够接受此种形式的命令行参数，那么就可以被Portal单点集成。注销后，重新登陆首页即可看到如下所示，点击“记事本”即可弹出记事本程序。效果图实现各信息系统的统一入口要求Portal产品完全满足如下技术指标的要求：1、完善的单点登录方案，在不侵入改造第三方系统的基础上，通过配置能够快速、高效、安全的集成第三方系统；2、能够单点集成B/S、C/S架构的系统；3、不需要统一各个系统的用户就能够完成单点登录的功能。实现信息系统功能节点的重新组合和统一授权门户的权限是基于RBAC的权限模型，用户授权角色、角色关联资源。用户组可以授权角色，在该

34、用户组下的用户自动赋予该用户组授权的角色。每个人都有自己的角色，角色关联资源(Portlet、布局)，人员拥有哪些角色，就能看到这些角色关联的资源。不同权限的人员进入门户看到的布局不同，相同布局看到的Portlet也不一定相同。也就是说门户提供了分为粗粒度访问和细粒度访问两种访问控制，粗粒度访问是基于门户的权限控制，控制人员可以看到哪些布局，每个布局中可以看到哪些Portlet，而细粒度访问是基于被门户单点集成的系统本身的权限控制，控制有权限看到系统的人员能看到系统中的哪些具体数据。所有的访问严格记录日志，便于日后的审计需要。最重要的是门户的访问控制安全管理符合ISO27001要求。实现信息系

35、统局部信息的获取Portal产品完全满足如下技术指标的要求：1、能够通过单点登录的方式在Portlet中直接展示第三方系统的局部信息；2、第三方系统改造量要小、工作量要可控。实现信息系统统一的待办、预警的要求Portal产品完全满足如下技术指标的要求：1、可以集中展示各个信息系统的待办事务、预警信息，可以直接点击处理信息；2、待办信息等实时信息要能在门户中及时获取，不需要用户主动刷新获取。3、企业门户系统的待办事宜是对应用流程集成的规范要求。是用户处理所有工作事宜的统一入口，是基于应用流程集成从后台各应用系统中抽取的待办事项的浏览、审阅与签转。待办事宜将用户在各个应用系统中当前需要处理的任务集

36、中展示给用户的Portal功能模块，从应用系统获取待办信息，用户通过待办事宜可以很明了地知道当前需要进行处理的任务，并且可以通过待办事宜的展示页面待办列表，直接进入到应用系统中对任务进行处理。需要用户处理的事务都集中在待办事宜中集中提醒。实现信息系统的统一的辅助决策展现Portal产品完全满足如下技术指标的要求：1、门户中要能直观展现BAP的图表信息；2、能够对报表进行分类管理、能够直观展示图形，报表能够方便的设置浏览权限。办公流程管理Portal产品完全满足如下技术指标的要求：1、支持流程审批，新闻、公司发文、公告等部门均能走审批流程；2、流程定义要直观、方便。个性化页面配置Portal产品

37、完全满足如下技术指标的要求：1、页面可以个性化，用户可以根据自己的喜好灵活修改页面布局；2、可以随意添加自己有权限的Portlet。提供内容管理（CMS）Portal产品完全满足如下技术指标的要求：1、提供新闻管理、发文管理、链接管理、论坛管理等常用的内容管理模块；2、能够快速、方便的搭建企业内部信息展示平台。信息发布系统的逻辑框架如下：信息发布系统的逻辑框架信息发布系统采用J2EE架构进行设计，能支持Ntier服务模式，使系统具有很好的框架和灵活性。 分层设计的好处在于，表现层与业务处理层和数据通讯层分隔，在增加一个新的访问渠道时，仅增加渠道驱动，改变内容展示格式，而交易处理和与后台的数据通

38、讯及处理不作任何修改。业务层与数据通讯层的分隔，可以在业务处理不作大量的改动的情况下，连接到不同的后台。因此，分层设计可以使得系统更加灵活、易于维护。Web服务器只是作为所有服务的访问入口并管理静态的页面，而所有的业务逻辑和后台数据的访问逻辑都交给Web应用服务器（Application Server）-WebLogic Application Server(WAS)来处理，降低了Web服务器的负载，同时有效地将电子商务应用中的表示逻辑（Presentation Logic），业务逻辑（Business Logic）和对数据库的访问逻辑（Data Logic）有效地分离开，极大地提高了应用的可

39、扩展性，构造了一个完整的三层次(3-tier)或多层次(N-tier)应用；同时由于Web应用服务器在可靠性，可扩充性，可用性等方面的优势，保证了整个应用系统的总体可用性。功能架构图图 功能架构图Portal管理Portal管理包括角色管理、用户管理、资源管理、portlet管理、布局管理和配置管理。角色管理由于NC Portal采用的是角色访问控制(RBAC)的权限模型。在使用portal时，必须先定义一些角色，然后给这些角色授权，再将角色与用户关联，这样用户登录到portal系统可以看到该用户拥有的角色所具有的权限。点击“角色管理”，系统界面如图 4-1所示，Portal6.3增加了角色组

40、的概念，角色组的目的是为了角色的分类和层级展示，角色组本身并不能关联资源，关联用户，授权功能节点。系统中根据portal的应用，预置了一个默认的Portal系统角色组，该角色组中包括一些系统预置角色，如公文创建员、公文管理员、论坛管理员、链接组管理员、新闻创建员、新闻管理员、新闻组管理员、公告板管理员、Portal管理员、Portal普通用户等，分别拥有公文创建、公文管理、论坛管理、链接组管理、新闻创建、新闻管理、公告板管理、Portal管理等权限。这几个角色比较特殊，固定授予给CMS管理中的指定节点，也就是说，用户只要拥有了其中某个角色，就能操作CMS管理中对应的节点。角色管理角色授权用户管

41、理用户管理包括在线用户、管理用户、布局恢复和用户导入四个结点。管理用户实现portal系统登录用户的管理，提供用户增加、修改、删除、复制，关联NC用户、关联IYONYOU-O用户、关联BO用户及关联角色，重置密码等功能。管理用户关联NC用户：如果Portal配置了NC集团应用，就可以建立Portal用户与NC用户的关联，这种关联一旦建立起来，用户在Portal中登录NC集团应用时，就会直接用关联的用户登录到NC，用户不用再输入NC的用户名/密码，这也被称作“管理员做凭证”。关联IYONYOU-O用户：如果Portal配置了NC集团报表，就可以建立Portal用户与IYONYOU-O用户的关联，这种关联一旦建立起来，用户在Portal中登录NC集团报表时，就会直接用关联的用户登录到IYONYOU-O，不用再输入IYONYOU-O的用户编码/用户口令。在线用户显示当前登录Portal系统的所有用户的信息及登录时间等信息。布局恢复布局恢复是为管理员恢复由于用户错误操作造成页面无法进入而提供的工具。这种情况主要存在于：用户使用IFramePortlet引入了外部网站内容，而此站点使用了防外部引入机制，将导致Portal页自动定向到外部网址。恢复时只需选择用户做了错误操作的布局，进行恢复即可。