XX公司企业门户投标文件

**全面企业门户项目技术响应文件用友软件股份有限公司二○一二年一月此文档为保密文档，未经用友软件股份有限公司书面同意，不得向任何单位或个人提供、转让本文档中的任何内容，用友软件股份有限公司将保留对泄漏文档内容的起诉权利。全面企业门户解决方案文件状态：[]草稿[]正在修改[√]正式发布文件标识：当前版本：作者：完成日期： 版本历史 版本作者参与者起止日期备注审核记录版本姓名职位审阅日期备注全面企业门户项目技术响应文件第61页 目录TOC\o"1-4"\h\z\u第一章总体建设概述 11.1建设目标 11.2门户平台架构 21.3门户实施范围 3第二章系统建设总体思路 42.1概述 42.2系统建设总体原则 42.2.1先进性原则 42.2.2标准化原则 42.2.3开放性原则 42.2.4兼容性原则 52.2.5共享性原则 52.2.6安全可靠原则 52.2.7实时性原则 62.2.8可扩展性原则 62.2.9可维护性原则 62.2.10经济实用原则 72.3系统技术指标 72.3.1技术路线 72.3.2遵循的国际标准 92.3.3技术应用创新 92.3.4外部模块接口设计 102.3.5按时间分集的集成 102.3.6按空间分集的集成 112.3.7跨平台 112.3.8低成本 122.3.9安全性 122.3.10高性能 142.3.11可靠性 152.3.12人机交互设计 16第三章技术解决方案 173.1用友应用集成平台概述 173.2用友门户概述 183.3门户管理平台 233.3.1界面定制化 233.3.2符合JSR标准规范 263.3.3权限体系 26权限概述 26角色管理 27用户管理 29角色组管理 30用户组管理 31Portlet管理 32布局管理 34资源管理 363.3.4内容管理 37新闻管理 37发文管理 38公告管理 40论坛管理 42链接组管理 433.3.5员工待办中心 44消息集成方案 44待办事宜集成显示 453.3.6领导桌面 46主题报表平台模式 46建设策略 47门户中领导桌面效果图 483.4单点登录(SSO)平台 493.4.1统一身份认证中心 493.4.2门户登录安全性方案 513.4.3B/S架构系统集成方案 52基于凭证式的高安全级别 53基于令牌式高安全级别 55基于IFramePortlet中安全级别 57基于IFramePortlet低安全级别 583.4.4C/S架构系统集成方案 583.4.5Session超时处理机制 593.5内容管理(CMS)平台 593.5.1用友PortalCMS概述 593.5.2功能结构图 613.5.3主要功能 62站群管理 62频道管理 63工作流 64模板管理 65内容管理 66新闻管理 67发文管理 68公告管理 70论坛管理 720链接组管理 731发布管理 742统计分析 753个人服务 754内容采集 765查询检索 766用户管理 777权限管理 788日志管理 789系统相关管理 793.5.4扩展功能组件 79投票调查 79广告管理 80访谈直播 80自由表单 813.6知识管理(KM)平台 823.6.1知识管理平台架构 833.6.2产品功能介绍 843.6.3组织机构管理 853.6.4用户管理 863.6.5知识多维度展现 863.6.6知识培训管理 873.6.7知识库管理 88知识提交 88知识的移动 89知识审核 89知识浏览 90知识删除 90收藏夹管理 90个人主页管理 90知识讨论区 903.6.8博客 913.6.9论坛管理 913.6.10搜索引擎 923.6.11知识地图 933.6.12知识报表 943.6.13系统配置 973.6.14权限、安全管理 973.7应用集成信息展现平台 983.7.1基于企业服务总线的数据、服务交换中心 98企业服务总线概述 98**异构系统集成 1013.7.2界面集成方案 1033.8员工待办中心 1043.8.1消息集成方案 1053.8.2统一消息中心 1063.9统一实时通讯平台 1073.9.1概述 1073.9.2用友IM平台技术特点 107即时高效的通讯服务 107稳定的数据/文件存储 108超大容量支持 108模块化、可扩展 108多线程处理 108跨操作系统、数据库 108分布式并行处理 109独立队列处理 109抗灾难能力与恢复技术 1093.9.3用友IM平台主要功能介绍 109企业通讯录 110添加好友 110群管理功能 111群聊天窗口 112文字通讯 112发送文件 113发送留言 114历史记录查询 114个性化设置 1150设置个人状态 1151查看系统通知 1163.10数据报表中心 1173.10.1数据报表 117数据报表模型设计 117报表格式设计 119报表发布展现设计 1193.10.2报表系统集成整合 1213.11流程管理中心 1233.11.1流程引擎概述 1233.11.2流程分级管理 1243.11.3流程、表单自定义 1253.11.4流程流转路径自定义 1263.11.5流程的嵌套 1283.11.6流程的数据统计 1283.11.7流程的导入和导出 1293.11.8流程与异构系统的集成整合要求 1293.12企业安全搜索(SES) 1313.12.1企业安全搜索概述 1313.12.2搜索效果展示 1323.13移动办公平台 134第四章实施保障 1364.1项目实施管理 1364.1.1实施准备阶段 1374.1.2蓝图设计阶段 1384.1.3项目建设阶段 1384.1.4上线切换阶段 1384.1.5持续支持阶段 1384.2项目实施组织 1384.2.1项目实施组织 1384.2.2人员职责说明 1394.2.3实施团队介绍 142团队构成 142主要成员 143主要成员资历表 1444.3实施主计划 1444.4实施文档交付 1454.5测试与验收 1464.6交付保障 1474.7风险保障体系 1484.7.1项目计划机制 1494.7.2项目报告机制 1494.7.3项目沟通机制 1494.7.4项目例会制度 1494.7.5问题跟踪机制 1504.7.6文档管理机制 1504.7.7需求变动控制机制 1514.7.8风险控制机制 1514.7.9项目进度控制 1514.7.10质量控制机制 1514.8风险保障措施 1514.8.1沟通方式 1524.8.2项目会议安排 1524.8.3项目状态定期报告 1524.8.4变更管理 1534.9风险点 1544.9.1客户端环境导致系统运行异常 1544.9.2第三方软件厂商的配合 1544.9.3相关标准、规范的准确制定 1544.9.4关于需求及展现效果的调研 1544.9.5项目负责人的选择 1544.9.6项目支持人员的选择 155第五章部署环境 1565.1网络环境 1565.1.1需求 1565.1.2解决方案 1565.2软硬件环境 1585.2.1部署思路 1585.2.2配置建议 159最低配置 159标准配置 160较高配置 161第六章案例介绍 1646.1葛洲坝集团案例 1646.1.1项目背景 1646.1.2集成规划目标 1646.1.3集成规划实施建设方案 1646.1.4应用价值 1656.1.5客户感言 1656.2富力地产案例 1666.2.1项目背景 1666.2.2企业门户规划动因 1676.2.3项目建设目标 1676.2.4门户集成解决方案 1686.2.5应用价值 1686.2.6客户感言 1686.3厦门合道设计集团案例 1706.3.1项目背景 1706.3.2企业门户规划动因 1706.3.3项目建设目标 1716.3.4门户集成解决方案 1716.3.5应用价值 1716.3.6客户感言 1726.4中建五局案例 1736.4.1项目背景 1736.4.2集成动因 1746.4.3项目建设目标 1746.4.4应用集成解决方案 1756.4.5应用价值 1766.5瓮福集团案例 1776.5.1企业介绍 1776.5.2项目亮点 1776.5.3业务挑战 1776.5.4集成建设目标及规划 1786.5.5应用集成解决方案 1786.5.6瓮福集团门户效果 179第七章图表目录 181总体建设概述建设目标1、 统一信息发布平台通过Portal为信息发布交流提供一个有效的场所，实现企业内部各种信息（办公信息、文件、函件等）的统一管理和发布，以及个性化的服务。平台也支持发布互联网上的各种信息，包括行业信息、社会信息以及网上订票订购、网上银行等在线服务。集成与汇总**内各部门、各下属企业目前与未来各种业务系统独立的、静态或者动态的业务数据，包括档案接口、RSS数据等，并进行统一的统计分析，为企业领导决策服务。这些数据、信息还可以集成到工作流平台中，使用户能有效获取处理信息，提高整体办公效率。2、统一集成工作平台未来**各级领导与员工都以Portal平台作为工作的主要平台，平台除了基础办公应用，还具备充分的扩展性，能够链接与集成目前与未来各种专业业务系统，使所有用户在统一的界面上使用不同的软件系统。并且，平台的集成框架具备个性化定制能力，可以按照不同部门、不同领导的需要，为不同类型的用户实现不同的界面风格与定制不同的软件功能使用权限。通过网络与通讯平台的支持，使出差或外地人员可以随时随地实现移动办公。3、统一实时通讯平台提供了点对点或点对多个点的信息通讯的功能，包括电子邮件、即时通信、短信收发、网上传真、留言、意见征询、文件传阅等等，它为企业提供快捷、灵活、方便的信息传递机制，实现了用户文件共享、文字信息、语音信息、视频信息的传递及积累；系统中的工作流以及待办事宜等信息可以发送到相关人员的手机上，解决外出工作人员的后顾之忧。4、统一流程整合平台实现企业内各种业务工作与管理工作的电子化流转，范围基本覆盖了纸质办公时期的所有工作流程类别，各种工作流程均采用电子起草、传阅、审批、会签、签发、归档等电子化流转方式，并采用尊重工作人员传统办公习惯的人性化设计，真正顺利实现无纸化办公。5、统一知识管理平台系统利用长久积累的信息、文档、知识资源与专家技能，改进行动决策能力、快速响应能力、提高工作效率和公务员整体素质。平台将传统的垂直化领导模式转化为基于项目或任务的“扁平式管理”模式，使普通员工与管理层之间的距离在物理空间上缩小的同时，心理距离也将会逐渐缩小，提高企业协作能力，将人从繁琐的事务、森严的等级、刻板的环境中解放出来，最大限度地释放人的主观能动性。门户平台架构总体架构图基础层根据**现有IT系统情况，Portal应可以在Windows、Linux操作系统正常访问，系统应支持Oracle、SqlServer数据库。组件层根据**未来信息化的发展规划，Portal系统应具备流程引擎、表单设计工具、日志管理、业务规则逻辑等相应功能组件。企业服务总线Portal应具备标准的接口，实现与任何业务系统数据的互联互通，各个业务系统无需单独集成整合；同时未来若**更换或增加业务系统，Portal应具备集成整合能力应用层Portal不仅作为公司的信息发布工具，根据业务的需要，应提供费用管控、流程管理、行政办公管理、知识管理等应用组件。接入层Portal系统应有多种访问途径，包含PC电脑IE访问，智能手机访问，同时支持IPAD或android系统平板电脑访问。门户实施范围覆盖**公司以及下属子公司的需求调研、方案规划、开发、实施和培训；建立一套完整的配套管理体系。 系统建设总体思路概述通过对**门户集成项目背景的深入调研，决定打造**“一体化应用集成平台”，来实现各个异构系统的全方位整合需要，真正实现各系统间的互联互通，满足**不同需求的各层次办公人员的需求。系统建设总体原则先进性原则该方案在进行平台总体规划时，充分考虑了技术的发展方向，选择目前业界先进和成熟的技术作为整个平台的技术架构，能够保证支撑**管理平台的需求，并且平台有不断发展和扩充的余地。技术先进性：平台采用SOA体系架构，符合J2EE规范，采用B/S集中模式，在软件设计开发时，全部采用面向对象设计技术，组件化开发技术，采用MVC，ORM，WebService、XML等比较成熟而又有发展前途的先进技术。结构先进性：由于一个庞大的系统不能在短时间内开发完善，所有系统设计采用平台化技术，设计规范、灵活、利于扩展的系统结构，本系统数据结构设计合理，灵活，并采用基于元数据设计的模式，利于扩展能够自描述。并且保证数据、界面，处理流程的数据描述一致。标准化原则结合用友的开发实践经验，进行项目管理和建设使用，开发规范标准，文档标准，管理标准，质量标准，以提高软件的可靠性，可维护性，和可移植性，有利于降低软件的运行维护成本，缩短软件开发周期。在基础软件类如中间件，选用市场上成熟的社会化程度高的软件平台。 开放性原则系统架构与技术平台选择充分考虑其开放性，在选择产品上，遵循统一技术标准构成一个开放的、易扩充的、统一的软件平台，全面支持跨硬件平台、跨操作系统、跨数据库、跨中间件，在系统扩充和升级时能够实现平滑过渡。基于框架的组件化设计，可以随时增加新的功能模块和业务组件，基于国际标准XML的数据交换语言，支持与第三方软件的企业应用集成。兼容性原则平台建设应有足够的兼容性，考虑与现有的系统兼容，提供系统互通互联的标准接口，保护既有投资的同时，注重系统的扩展性，保证现有系统平滑升级。 共享性原则通过信息共享实现各项资源在**唯一性和跨机构可访问性，建立数据交换和共享的基础平台，为割裂业务的开展提供完整、统一和准确的数据支持。各个业务系统根据相应的权限可以查询和调用平台中的相应信息，为我所用，避免信息的重复录入，提高资源的利用率。利用软件的协同业务运作，推进信息公开和在线服务。在保证数据信息保密安全的前提下，建立企业门户系统，为**各级机构实现跨层次、跨地区，交流共享和开发利用平台，为各项监管工作提供及时可靠的信息服务，建立知识管理的共享机制，实行审批业务网上受理、审批进程在线查询和反馈，为全集团各级单位提供便捷高效的服务。 安全可靠原则在系统设计中，充分考虑了平台的安全性，采用多种安全防范技术和措施，保障系统的信息安全，保障系统长期稳定可靠运行，达到“简便、实用、快捷、安全、准确”的目的。系统安全保密原则主要体现以下几方面：系统可通过防火墙、服务器冗余、磁盘冗余、集群技术等提供系统的安全可靠性，保证硬件设备上的正常运行。系统可根据分层管理的原则进行权限控制，提供严格的身份验证、访问控制、数字签名、多层次的保密手段等措施，权限均实行单向向下管理，确保安全性和完整性。在运行环境方面，支持分布式部署，支持服务器集群；在安全管理方面，支持防火墙和VPN，支持SSL、数字签名和CA认证，支持多种数据备份；在权限管理功能，具有公司、功能、菜单等多级安全机制，系统核心数据传输时，采用加密设置。同时要充分保证系统的高稳定性，平台支持动态资源调配、监控，可以在系统不停机的状态下进行故障节点的主动监控和自维护。要经过大量企业和大规模并发应用的考验，是完善的企业级信息系统，产品稳定性好，不会让用户遭遇性能瓶颈。实时性原则由于要实现集团各直营机构的业务协同，因此本系统的各项指标响应要求实时性比较高。系统设计充分考虑系统的容量，网络带宽，CPU消耗，IO消耗，关键应用场景，即做到单点应用效率高，又做到并发下性能高，保证各种操作模式下的应用的效果，让领导、操作人员使用轻松、方便、快捷。可扩展性原则在保障平台先进性的同时，选择具有良好扩展性和升级能力的技术，以保证平台技术和业务的可扩展性。在本项目建设时，也要着眼于将来的**具体业务，实现可扩展的数据标准定义和业务应用。考虑到网上业务建设是一个循序渐进、不断扩充的过程，平台采用积木式结构，整体建构可以与原有系统进行无缝连接，接口扩展留有余量。使用平台化技术保证，系统动态可扩展。可以实时地增加、减少应用模块，能够非常快速的构建新的应用。可维护性原则平台建成后仍需要不断的修正和完成，所以设计中应当充分考虑平台的可维护性。平台可维护性原则主要体现在以下几个方面：系统具备以参数化方式配置、删减、扩充、端口设置等特点，能系统地管理软件平台，系统地管理并配置应用软件。平台应采用耦合，分层的设计思想，可以根据需要修改某个模块，增加新的功能以及重组系统的结构以达到程序可重用的目的。应用部署灵活，客户化定制，能支持**全面应用和未来扩展，满足发展过程中的组织扩张、管理变革、制度重建、流程重组等必须面临的管理变化。不追求一步到位、大而全的建设方案，而是采取整体规划、分布实施、稳健操作、适度优化的原则。先解决最关键最核心的需求问题，在取得阶段性成果的情况下再进行推进和扩展。 经济实用原则强化风险控制，在世界经济、政治局势不断变化，企业不断创新的前提下，更加关注企业的风险。内部控制、安全生产管理、资本风险、信息化风险都是目前关心的重点。经济实用性主要体现下面三个方面：业务管理实用性：系统设计和开发时充分考虑各业务层次、各环节管理中数据处理的便利和可行，把满足用户业务管理作为第一要素考虑。需要符合中国的企业管理模式、管理制度。操作方便实用：界面风格一致，美观大方优雅、操作简便实用。全部界面操作均充分考虑不同使用者的实际需要，使系统操作方便、维护简单、管理方便。操作统一采用浏览器界面，操作便捷，易学易用。提供快捷方式、功能导航，菜单、语言等界面元素符合国人习惯。经济性：基于平台建设，走平台化开发、平台化集成的成熟路线，系统是基于用友的成熟的技术基础上建设，方案充分考虑，采用成熟的基础组件，以最小的成本建设本项目，并且本系统有充分的灵活性，保证系统在需求变更和维护时，成本最低。采用B/S结构，降低对客户端工作站的要求，节约了硬件成本。不在客户端安装软件，系统的升级、维护只集中在服务器端，减少了维护工作量和维护成本投入。 系统技术指标技术路线**门户集成的技术设计，将兼顾目前的需要以及未来的发展，体现出先进、灵活、可靠、高效、经济实用等特点。根据系统要求，系统建设的总体技术路线与技术架构可以从以下几方面来说明：系统高度的整合采用基于面向服务的应用支撑架构，整个系统采用组件化设计，为系统功能扩展留下足够的空间。将分立系统的不同功能有效地组织起来，给用户提供一个统一的信息服务功能入口，并利用相关的技术，整合企业的后台业务系统，减少信息孤岛的存在并降低重复投资，为用户提供更加完善的信息服务。开放的系统**系统集成采用B/S体系结构，客户端采用WINDOWS操作环境，系统设计中避免单点故障，业务应用系统设计充分考虑良好的兼容性、可移植性和可扩展性，可随着用户规模和应用范围的扩大而不断扩大，以满足**用户数量、信息量与应用功能的不断增长的需要。采用组件化设计方法，实现系统的开放性、可扩充性和可维护性标准、开放是一个应用系统得以发展和壮大的基础，通过标准开放的模式，可以保证用户更多地采用先进的技术搭建个性化的应用；通过组件化设计，为系统功能扩展留下足够的空间。随着技术的发展，各个软件供应商在某一领域具有各自的专利或优势技术，但是用户的需求是全方位的，因此，最好的解决方案就是采用统一规范、标准的接口进行应用集成，这也是国际化软件发展的趋势。通过统一认证系统，实现多业务系统单点登录访问构建一套高安全性、高扩展性、可二次开发、易管理的统一认证系统，实现用户和管理人员对各个应用和管理系统的单点登录。根据需要和技术相结合建立各种监控手段实时维护信息：提供管理工具进行基础信息实时维护。事前监管。事中监控。事后监管。实时监管，能够直接查询监管需要的信息。决策分析，通过BI系统，分析相关的信息数据，挖掘利用信息资源，准确地掌握经营状况，经营动态，以及经营趋势。通过信息化实现海量的信息资源聚合与高效的知识发现，以确保把海量信息资源聚合的非结构化内容信息，转化为高效知识发现可利用的结构化数据信息。预警监控：通过预警的模式对异常的信息数据提供报警，提示可能风险。信息发布：将关键的信息进行发布，发动相关企业，相关人员互相监管。遵循的国际标准全部采用J2EE技术;遵循JSR286协议;支持J2EE1.4以上规范;符合SOA架构;支持主流的操作系统平台（Unix、Windows、Linux）;支持主流的数据库(Oracle、DB2、MSSQLServer);支持HTTP，HTTPS协议;支持XML;支持目录访问协议LDAP;支持Webservices; 技术应用创新系统集成平台综合应用了多项业界最新技术，提供快捷的流程定制功能，且能方便的对流程进行修改、编辑，以适应公司信息化建设的持续发展；全文检索技术使信息的搜索覆盖到各个业务系统的绝大部分信息，并且搜索高效、准确，基于用户权限；XML技术保证了数据的完整描述和模块间数据交换的松耦合；移动技术使应用延展到手持设备并且与桌面端拥有相似的使用感受；门户技术使应用的集成成为可能；企业服务总线技术使跨系统流程成为可能，使异构业务系统的互联互通成为现实；Ajax技术提高了界面响应速度和增强使用感受……这些技术坚持“高内聚、低耦合”的架构思想，经过精心选择和裁减，完美和谐地集成在一起。10大技术创新其特点是：基于W3C标准构建，支持国际化/多语言和智能数据集成；基于SOA/Webservices、Web2.0技术及Ajax等核心技术的综合运用；图形化可视设计工作流引擎，支持业务流程集成和流程绩效管理；基于门户技术标准的信息展示，产品化、可持续集成组织应用展现；企业搜索覆盖各种异构系统，可扩展至100种以上文件类型的全文检索应用； 外部模块接口设计平台提供二次开发能力支持，对外开发接口采用WebService、XML等开放性的技术标准来设计，使系统具有良好的开放性和可扩展性。平台采用分层的体系架构设计，高内聚、低耦合是系统的一个设计目标，采用开放性的技术标准，从而保障了外部系统可以很好的接入本平台。按时间分集的集成对于像**这样的大型组织来说，要成功地建立一套能够容纳成千上万人共同使用的全员信息系统本身就是一个巨大的挑战，由于组织庞大，应用系统数量众多，如果按照传统信息系统建设的思路，分别对各个系统都进行数据集成的话，对未来一定是个噩梦。因为全员系统的成功应用本身是由于其实时性决定的，当所有人员都通过系统共享日常业务的时候，系统几乎是不可调试的，因为任何集成出现的技术故障都可能是整个集团的毁灭性灾难。按时间分集的集成是指将产品化平台作为全员实时运行的系统，承担未来**的全员协同应用，充分发挥其产品化的高可靠性和其经过成千上万用户使用检验的高稳定性，保证日常业务的顺利进行。在此基础上，利用系统平台提供的门户整合、数据整合、流程整合、应用整合、系统基础管理，将需要通过系统处理的流程、需要系统呈现的数据经过预处理后，分期引入到平台系统中，作为新的信息资源，按权限实现全员共享。这种方案将所有二次开发所需要的调试风险全部放到了系统外部，企业可以根据需要逐步将相关应用系统数据呈现聚合到企业门户中，因而对未来新的系统集成也同样适用，真正实现了系统整合中提倡的“高聚合、低偶合”的理想。按空间分集的集成异构系统之间的集成本身是有风险的，即便有厂商的数据字典，每个程序员对数据的理解也会有很大的差异，较小的系统集成可以通过调试和不断修改加深认识。但对**来说，由于企业固有的管理上的层级性、业务上的差异性、信息化发展的不均衡性等特点，异构系统将长期存在，如果全员化应用的平台需要经常通过变化代码来与其它应用系统集成，除了厂商未来的平滑升级变成泡影外，高稳定性的产品化平台也将不再存在。按空间分集的集成指的是按照信息资源管控的思想，系统集成的最终目的是信息资源的共享和合理利用，因此平台提供了一个可扩展的框架，将多个异构系统集成归纳为数据呈现、流程调用、统一认证、消息提醒等等需求，通过标准的接口将多个应用系统与最终用户的交互数据合理地呈现在门户中，可以实现多个应用系统数据的实时呈现和功能操作，通过统一的表达方式和一致的用户界面，延伸了用户体验。跨平台系统支持所有大/中/小型计算机和PCSERVER，如SUN、IBM、HP等的FRAME系统系统支持WINDOWS的自动安装，支持IBMAIX、SUNSOLARICE、HPUNIX等各种UNIX系统，同时支持LINUX等各种操作系统。系统结构上支持各种关系型数据库，支持将数据库层和应用层进行分离的跨平台异构实现。低成本能够满足大集中部署方式、为**搭建“企业级云计算”应用，可以有效降低下属企业IT分散投资、使整个集团信息化投入总体拥有成本最低。安全性现代信息管理中系统和数据是否安全一直是信息化建立的最大问题，不安全的因素可能来源于各种各样：可能是有意的，也可能是无意的；可能是来源于组织外部的，也可能是内部人员造成的；可能是人为的，也可能是自然力造成的。总结起来，大致有下面几种主要威胁：非人为、自然力造成的数据丢失、设备失效、线路阻断人为但属于操作人员无意的失误造成的数据丢失来自外部和内部人员的恶意攻击和入侵前面两种的预防基本相同，可以加强组织内部的管理，可以规范操作来减少这种不必要的损失。最后一种是当前Internet网络所面临的最大威胁，是电子商务、集团、企业、电子政务、个人上网等顺利发展的最大障碍，也是组织网络安全策略最需要解决的问题。安全架构基于Internet技术并可以通过Internet访问的系统，安全性的要求很高，该系统充分考虑了这些安全的要求，支持多级多种安全管理。通过数据库安全性、系统数据安全性、应用服务器安全性、传输安全性、身份确认逐渐保证，同时提供身份认证插件保证客户安全。数据加密交换双方的数据在传输支持128位加密，支持从浏览器到服务器之间机密信息的高强度加密传输，从而有效地防止了机密文件信息在文件传递过程中的非法窃取和非法篡改，保证了文件的机密性和完整性。密码验证进行高强度的密码验证。IP控制通过配置，可以达到限制IP，控制某个IP，某个时间段登录该平台。验证码在用户名和密码支持外，系统随机产生验证码，防止暴力破解密码。加密锁提供用户端加密锁，只有带有加密锁的用户才可以访问该平台，适用于内外网分开控制。支持CA中心，实现证书发放，收回通过CA认证原理，实现HTTPS通道访问加密和防DOS攻击，记录访问请求日志，通过HTTPS保证传输信息加密安全性。同时可以防止爬虫技术的信息采样。 安全电子公章采用获得公安部、安全部、军队三方认证的电子公文加密和电子公章系统； 系统日志建立严格的日志记录机制，记录系统启动与关闭情况和系统工作情况。 外部认证系统集成支持反向认证、LDAP/AD等第三方认证服务完善的应用级别权限控制系统提供基于个人、单位、部门、群组、角色、岗位、级别的多维度权限控制，系统可以针对以上属性进行灵活的权限设定，确保信息安全的可定义性和可执行性。安全体系 高性能基于云计算架构与计算环境在普通PC服务器集群上通过53000次的并发压力测试，用友平台支撑万人系统的测试报告请见附件《产品性能万人测试报告》，足以支撑**“每秒500次并发访问，在网络稳定的环境下，用户发出请求到收到操作反馈信息的时间不超过3秒”的系统性能要求。通过用友中间件平台系统特有的服务监控工作和负载均衡机制，可以在大并发用户的情况下实现永不停息的系统，如下图所示。全方位系统监控可靠性面向集中管理模式，需要支持成千上万人的并发用户访问，必须具备高可靠性，具有完善的容灾机制。1、服务器集群技术，由于现有的所有硬件系统不能达到100%的不间断运行，而单台服务器不能做容错，所以不具备可靠性，利用服务器集群技术，可以建立一套高可靠应用环境。2、EJB中间件抗崩溃特性（事务处理机制、资源统一管理）。3、应用程序在例外（exception）处理、并发控制、容错、日志处理等的有效设计，提高了应用程序本身的可靠性。4、系统的自检与自恢复能力。5、系统的动态监控能力，提供故障快速排除的手段。Find/SVP公司策略研究部的调查结果显示：由于磁盘和其它硬件故障造成的意外停机几乎占了所有原因的一半以上。软件失效、计划内系统升级和操作员失误是仅次于硬件故障而导致系统意外停机的重要原因。为确保所需计算资源的可靠，通常会采用以下方法：1、机房采用相关的如：安全门禁系统、电源和大功率在线UPS电源系统、空调新风系统、消防灭火系统等；2、网络方面：主交换机采用Spanning-Tree线路备份、服务器上配备具有负载均衡功能的双网卡等；3、在服务器方面：硬盘采用RAID1或RAID5、热插拔更换硬件以及冗余电源等；服务器集群技术，由于现有的所有硬件系统不能达到100%的不间断运行，而单台服务器不能做容错，所以不具备可靠性。利用服务器集群的负载均衡和双机热备等技术来保证7X24小时关键任务服务，以满足管理信息系统的业务应用的需求。4、在软件方面：EJB中间件抗崩溃特性（事务处理机制、资源统一管理）。应用程序在例外（exception）处理、并发控制、容错、日志处理等的有效设计，提高了应用程序本身的可靠性。系统的自检与自恢复能力。系统的动态监控能力，提供故障快速排除的手段。人机交互设计本着“以人为本”的原则，按照人机工程学标准，适应我国的文化传统、管理风格、使用习惯、人员素质，**用门户平台要求达到不同角色功能操作一目了然，界面信息完整清晰，符合用户的使用习惯，提供可调整可配置的用户界面布局工具。技术解决方案用友应用集成平台概述应用集成平台框架图面向服务的体系结构是基于“软件变服务”思想，提出了一种新的解决软件重用和软件集成的方案。通过采用面向服务的体系结构，企业能够迅速便捷的构建开放的、模块化的、可重用、与平台无关、可扩展的应用系统。用友应用集成平台由一系列成熟的应用集成产品组成，很好的解决了“人的集成”、“界面集成”、“流程集成”、“业务集成”、“消息集成”这五大方面的集成。它以用友UAP平台为基础平台，其余集成产品构架在UAP平台之上。它们包括：企业门户统一认证平台流程集成引擎数据交换引擎消息集成引擎主数据管理平台企业服务总线集成开发平台集成控制平台用友应用集成平台具有如下的特定：基于企业服务总线，实现异构系统的信息交换，完全面向服务的架构。主数据管理平台，管理整个企业范围内各个系统间共用的基础档案数据。以Portal为核心，来实现异构系统间的内容聚集和信息集中访问。以工作流引擎为核心，实现异构系统的流程整合。以企业建模开发平台，进行企业的业务管理创新和业务创新。UAP智能集群技术，保障应用系统的高可靠性和高性能。以用友20多年的研发技术，打造中国应用集成的第一社区。用友门户概述用友Portal是基于SOA架构的协同应用门户，产品定位为界面集成解决方案，提供个性化、单点登录、不同来源的内容整合功能，可以方便的单点集成任何第三方信息系统，从而实现了信息系统的集中访问，用户通过Portal无缝连接到各个业务系统上通过一站式方式处理所有业务。用友Portal基于J2EE技术体系架构，符合JSR286规范，兼容JSR168规范，支持Web2.0，它完美融合Ajax技术与SpringMVC技术，提供了灵活而丰富的个性化和管理定制功能。用友Portal允许多种安全认证方式和自选第三方系统用户来源，采取了基于角色访问控制(RBAC)的权限模型，提供了完善和通用的第三方系统集成框架和单点登录框架。使用Portal管理功能，方便的进行用户、角色、资源的统一管理，允许管理员在运行态对Portal进行定制，而无需重启服务甚至编码。内建的CMS内容管理功能可以方便的发布基于审批流的新闻、公司发文、公告、新建事项等协同办公的内容，帮助快速搭建企业内网。Portal内置主题机制，使用CSS控制界面展现风格，可以方便、快速的定义界面展现形式，Portal提供了一些通用的API，使得Portlet可轻松调用Ajax，json，以及使用NC组件。Portal产品架构在UAP平台之上，充分利用了UAP先进的底层技术框架，在稳定性、安全性、大并发（支持万人并发）、高性能方面均有杰出的表现。用友Portal从2005年底开始研发，2006年推出5.0版本，2011年已经发展到5.7版本，规划在2012年发布6.0版本，经过6年的研发，Portal在系统单点集成方面拥有完善的解决方案，已经和近百家的第三方厂商做过单点集成，大量第三方系统成功的集成案例充分印证了Portal单点集成方案的完备性。Portal在内容管理方面也在不断增强，基于审批流的新闻、发文、公告审批可以满足企业日常办公的需要。Portal产品采用两层架构的设计，底层是“门户平台层”，包括Portal容器、Portlet容器、SSO框架、安全认证框架、工作流引擎、消息集成引擎、搜索引擎等，上层是“门户应用层”，包括个性化服务、信息发布服务、协同服务等，应用层的功能全部以“服务”的形式对外暴露，不同角色的用户可以定制不同的服务，完全基于SOA的思想设计，Portal与第三方系统的单点集成是通过SSO机制，不同角色的使用者通过“门户平台服务”统一接入门户系统。基于SOA架构的企业门户在应用集成服务产品中，门户是应用集成产品重要的组成部分，是应用集成的核心产品。Portal产品定位产品特性：本产品能够实现单点登录、权限控制、个性化定制、内容集成、网站群搭建、系统动态管理等功能，具有如下特点：快速方便的配置单点登录，用友内部产品直接集成布局灵活，界面自由布局界面展现绚丽，可以根据企业特点定制界面展现风格 方便构建网站群 提供丰富的内置组件：内容管理组件、系统管理组件、NC集成组件、IUFO集成组件、人力资源集成组件、人力资源自助集成组件、NC-OA集成组件、公告栏组件、新闻组件、公司发文组件、Blog组件、Wiki组件、论坛组件、RSS组件易维护性，高安全性开放性，集成方案灵活、通用、完善，支持C/S，B/S架构的系统集成具体特性说明如下：预置支持对NCERP和多套NC系统及IUFO、BO、HR自助、NC-OA、任何第三方B/S架构系统、C/S构架应用系统的集成解决方案。可以抽取各个信息系统的局部信息展现在Portal的首页面，用户无需登录各个信息系统，就可以处理和自己有关的各个信息系统的信息。各个业务系统的局部信息集成Portal内容管理：Portal内容管理模块具备网站的采编发一体化流程管理，CMS作为Portal的最重要组件之一，满足用户在内外网门户及站点集群方面建设的需要。一套系统、多点应用，能够给企业信息化建设带来不可估量的新价值。 Portal系统管理：集中管理门户用户、角色、资源等权限信息，动态调整布局，新增Portlet等功能。 统一应用平台，轻松管理站点群：系统提供对于网站集群的支持管理，支持大量的网站集中统一管理，例如企业的外网门户、内网、知识平台、子公司站点等等。站点之间可以做到权限和安全上完全独立，又可以通过授权实现站点群之间的信息共享。 Portal内外网信息统一管理：内外网内容统一发布。通过内网内容管理维护信息内容，同时可以将内容发布到内外网。简化了内容管理的复杂性，并可做到统一配置集中发布。外网网站页面的配置统一在内网配置，方便快捷，统一配置界面样式，风格，色调等。发布外网发布外网内外网统一管理开放性、易集成、易扩展：系统采用模块组件化软件设计，门户建设犹如搭积木一样，轻松快乐、随心所欲。同时系统提供二次开发SDK，内置多种整合扩展方式，真正做到无限扩展的能力。实施、运行、维护速度快：具有快速实施的特点。同时，由于门户系统采用了高速缓存技术（Cache），实现站点极大数据量访问能力，保证在大量数据并发访问时门户速度的正常。为了提高产品的可靠性，系统提供了超强容错技术、异常跟踪技术和WebService技术，能够实现即时异常问题解决服务。Portal预定义了首页、我的工作台、NC集团应用、NC集团报表、企业安全搜索、企业论坛、信息中心等布局，可根据需要自由调整。首页：将办公信息和用户自定义的Portlet放置于此，用户可个性化自己的桌面布局。我的工作台：将Portal集成的各个信息系统的局部信息抽取出来，在该处展示，如“NC待办事务”、“IUFO我的收件箱”、“NC查询引擎报表”、“我的报销单列表”等。 NC集团应用：对于NC的集成。 NC集团报表：对于IUFO报表的集成。 企业安全搜索：对于OracleSES的集成。 企业论坛：Portal内置论坛。Portal管理：Portal的系统管理模块，可管理角色，角色组，用户，用户组，定制布局等，以及提供了其它便利工具。 CMS管理：Portal内置内容管理功能，包括新闻，发文，公告，论坛、链接组等模块管理，可快速构建丰富的页面功能，采用统一的技术平台构架，可视化零代码编辑环境，灵活的模板控制，为企业内网升级改版建设都提供了极大的方便。门户管理平台界面定制化用友门户(Portal)具备优秀的人机界面，是传统用户界面的一种扩展，它在人机交互过程中可以根据不同用户的特点及需求来做定制化配置。通过配置地改变界面的交互内容及表现形式、以满足个人用户（用户组）的不同需要以及用户随时不断变化的需求。同时用友门户(Portal)是梳理不同信息资源和应用资源，为组织内部用户提供个性化界面定制服务，使用者可以拥有一或多个定制化网页，并可使前端用户根据自身需求去满足布局样式内容和板式，进行不同类别排版布局。用友门户个性化定制包括：用户可以定制自己的桌面，添加自己有权限的Portlet。个性化设置Portlet可以任意拖放位置，可以关闭，可以最小化、最大化。Porlet动态拖放Portlet的最大化显示Portlet最小化显示布局支持全局锁定，锁定后布局中的Portlet不允许拖动。门户界面外观可以美工，具体参考“Portal界面美工方案”。富力地产美工后Portal界面陕煤股份美工后Portal界面符合JSR标准规范用友Portal基于J2EE技术体系架构，符合JSR286规范，兼容JSR168规范。权限体系权限概述用友门户的权限是基于RBAC的权限模型，用户授权角色、角色关联资源。用户组可以授权角色，在该用户组下的用户自动赋予该用户组授权的角色。每个人都有自己的角色，角色关联资源(Portlet、布局)，人员拥有哪些角色，就能看到这些角色关联的资源。不同权限的人员进入门户看到的布局不同，相同布局看到的Portlet也不一定相同。门户权限搭建策略：梳理集团公司下所有用户的权限，按照权限角色将用户分开。可以指定一个默认角色，如果用户没有赋予任何角色，那么登录时会自动给用户赋予默认角色，默认角色可以在门户中设置，对于大部分用户均无需实施时授予角色，采用默认角色机制即可。对于有更多角色的用户，使用角色管理节点采用“角色关联用户”的方式，为某一指定角色一次性选择拥有该角色的用户。以后如果有新的用户需要赋予该角色，用户管理节点采用“用户关联角色”的方式实施。 角色管理Portal采用的是角色访问控制(RBAC)的权限模型。在使用portal时，必须先定义一些角色，然后给这些角色授权，再将角色与用户关联，这样用户登录到portal系统可以看到该用户拥有的角色所具有的权限。角色管理主要负责角色的增加、删除、修改、保存、关联用户及授权资源操作。关联用户主要负责将用户和角色关联，关联后此用户具有角色拥有的所有权限。授权资源负责给角色分配可拥有的资源。系统预置了crole1实习生，crole2部门经理两个角色，crole1和用户1关联，crole2和用户2关联。角色管理的界面如下图所示，默认情况下未给角色授权任何资源：点击crole1，给角色授权资源，如下图所示：给crole1授权资源后，crole1拥有了关联的所有资源，与crole1关联的用户1就拥有了此角色关联的所有资源。角色关联资源后界面如下图所示：关联用户操作界面如下图所示： 用户管理用户管理主要负责用户的增加、删除、修改、保存、关联角色、重置密码、复制用户等操作。重置密码主要负责当用户忘记密码时，可将密码重置，此时会根据用户的密码安全策略将密码设置为密码安全策略中定义默认值。复制用户，用户将根据被选中用户信息进行复制。系统预置了cuser1、cuser2用户，用户管理界面如下图所示：角色组管理角色组的目的是为了角色的分类和层级展示，角色组本身并不能关联资源、关联用户、授权功能节点。角色组管理主要负责普通角色组的增加、删除、修改和保存操作。如果角色组下已经存在角色，则不能删除。在角色组管理中，系统预置了两个角色组，cgroup1公司普通角色组，cgroup2公司管理角色组。角色组管理的界面如下图所示： 用户组管理用户组管理主要负责用户组的增加、删除、修改、保存、关联角色及关联用户操作。关联用户主要负责将用户组和用户关联，关联后，这些用户都属于此用户组，则所有用户自动跟用户组关联的角色关联。关联角色主要用于用户组和角色关联，关联后，此用户组拥有此角色拥有的所有资源、功能节点和权限信息等。用户组管理界面如下图所示： Portlet管理Portlet管理是集中管理Portlet的地方，可以对Portlet进行新增，删除，修改，同步portlet等操作。Portlet管理界面如下图所示：增加Portlet：点击〖增加portlet〗按钮，“Portlet名称”是Portlet的标示，必须唯一。可以增加的Portlet类型是固定的，下拉框中有IFramePortlet，RssPortlet，ChartPortlet(图表)，IntegratePortlet四种可以增加的Portlet，选择需要增加的Portlet类型，在该下拉框控件失去焦点的时候该种Portlet需要配置的个性化信息会显示在子表中，“是否激活”表示新增的Portlet是否立即启用，不激活的Portlet是无法使用的，“可否编辑”表示该Portlet是否支持编辑状态，“是否可删除”列是无法编辑的，只有管理员动态增加的Portlet才能删除，来自XML配置的Portlet无法删除，该列的值是自动生成的。“是否共享”用于指定该Portlet是否共享给下级公司，共享的Portlet可以被下级公司看到，分配给相应的角色后即可被拥有该角色的用户看到。修改Portlet：选中要修改的Portlet，点击〖修改〗按钮，只有Portlet描述，是否激活，是否可编辑，个性化信息可以修改。删除Portlet：是否可删除列标示为勾选的是可以删除的Portlet，选中该行然后点击〖删除〗按钮。同步Portlet：来自XML配置的Portlet如果修改了portlet.xml中的属性，那么选中修改了属性的Portlet点击〖同步Portlet〗按钮，会将修改的属性同步到数据库中，并且更新Portlet缓存。 布局管理Portal中布局是以公司为单位进行管理的，布局管理包括新建系统布局和管理现有系统布局两部分内容。在Portal中，每一个Tab控件页签对应着一个布局定义。一个布局又由多个列构成，每个列又由多个Portlet组成。布局可由管理员动态定制，并可在运行时修改。点击【布局管理】，选中某个公司，可以显示此公司下的所有布局，如下图所示的界面。点击【增加】按钮，可以进行布局的增加，增加界面如下图所示：主要数据项：输入布局名称：定义新布局的名称。可否修改：定义用户是否可以改变该布局已有的布局方式，如果设置为不能修改，则用户无法向该布局添加新的Portlet，无法拖动该布局中的任何Portlet。刷新方式：“第一次点击刷新”表示只有第一次点击该布局的时候才会去请求该布局中的所有Portlet，下次在点击该布局，不会重新请求所有Portlets。“每次点击刷新”表示每次点击进入该布局时，该布局中所有Portlet都会重新请求自己的内容。顺序码：整数，标示该布局在页签中的先后位置。顺序码小的排列在前，顺序码大的排在后面，顺序码相同时，前后位置随机排列。例：“NC集团应用”的顺序码为3，“NC集团报表”的顺序码为5，所以“NC集团应用”布局排在前面。选择布局方式：选择新布局中，包含几个portlet列。系统提供了六种方式，分别是一列、二列、三列、四列、二列（左固定）和三列（左固定）。多语资源号：用于设置多语信息。设置布局信息：在portlet列上的空白处点鼠标右键，弹出的右键菜单中包含两个功能，添加新元素和删除此列所有元素。点击“添加新元素”，界面如下图所示。这里列出了一些系统预置的portlets。选中末级portlet，点〖确定〗按钮，选中的portlet就被放置到portlet列中。资源管理Portal中的资源有两类：布局和Portlet。资源管理是对系统中所有资源是否启用权限的集中控制，同时提供异常情况下的“资源同步”恢复机制。在正常情况下，Portal已经完成了自动同步。只有在出现了异常的情况下，比如某些资源在现有资源列表中查找不到时，才需要使用此节点进行同步管理。点击【资源管理】，系统界面如图所示。初始状态下，系统只有几个默认的Portlet受权限控制，可以根据需要选择是否受权限控制。一旦选择了受权限控制，那么只有拥有相应资源的角色对应的用户才可以使用该portlet。 内容管理CMS内容管理包括新闻管理、公司发文管理、公告管理、论坛管理、发文管理、链接管理、重建索引和流程设置等内容。新闻管理和链接管理提供了比较灵活的功能，配合其它Portlet可快速构建网页内容。新闻管理新闻管理包括新闻分组和管理新闻两部分内容。不走流程：建立新闻分组，授予新闻组相应的撰写权限，有撰写权限的角色可以在链接组中“我的流程应用中”的“可发布新闻流程”中看到该新闻组，对于无流程的新闻组后面会自动显示“(无流程)”。点击该新闻组会弹出新闻撰写页面，撰写完成后直接提交即可完成新闻发布。走流程：建立新闻分组，授予新闻组相应的撰写权限，在“流程设置”下的“设计流程”节点为相应的新闻组设置流程。有撰写权限的角色可以在链接组中“我的流程应用中”的“可发布新闻流程”中看到该新闻组，点击该新闻组会弹出发起人撰写界面，提交后将发起流程审批，按照定义的流程审批该新闻。发文管理包括管理发文类别、管理发文字和管理发文三个部分。在Portal中发布发文的一般流程是：不走流程：建立发文类别，然后在发文类别下建立发文字，授予发文字相应的撰写权限，有撰写权限的角色可以在链接组中“我的流程应用中”的“可发布发文流程”中看到该发文字，对于无流程的发文字后面会自动显示“(无流程)”。点击该发文字会弹出发文撰写页面，撰写完成后直接提交即可完成公司发文的发布。走流程：建立发文类别，授予发文字相应的撰写权限，在“流程设置”下的“设计流程”节点为相应的发文字设置流程。有撰写权限的角色可以在链接组中“我的流程应用中”的“可发布发文流程”中看到该发文字，点击该发文字会弹出发起人撰写界面，提交后将发起流程审批，按照定义的流程审批该发文。管理发文类别管理发文字管理发文公告管理公告栏管理是对首页中发布的公告进行管理。系统提供了按标题或按作者搜索公告的功能，同时还可以搜索全部公告。“管理发布权限”节点，用来设置拥有哪些角色的用户可以在首页发布公告。点击【管理已发公告】，界面如所示。选中要删除的公告，点击〖删除〗按钮，可以删除公告。点击【管理发布权限】，界面如图所示。设置发布公告权限，没有该角色的用户无法看到公告Portlet中的发布按钮和链接组中的“发布公告”节点。论坛管理论坛管理用来管理论坛的版面，包括增加、修改版面和版面的管理员等内容。点击【版面管理】，界面如图所示。链接组管理链接组管理，顾名思义就是一些链接的聚合。实际上就是按照级次定义一批链接，并将这些链接定义绑定在称为“链接组列表”的Portlet中，它主要用来构造如图所示的这种界面。一个链接组包括四个顶部链接，一个图片，以及一个树状链接。链接组有一个默认的“我的快捷方式”，用于登录用户定义自己个性化的链接。管理链接界面如图所示。在这里可以定义一个新的链接组，对已经定义的链接组进行维护，修改顶部链接、图片、更新树状链接等。员工待办中心通过用友门户的消息集成引擎，可以将南方报业传媒集团各个业务系统的待办事务显示在工作平台上，引导人员统一处理。消息集成方案消息集成即在门户中可以集成南方报业传媒集团各个业务系统的消息、待办等信息，并可以直接处理，不需要再直接进入具体的业务系统。门户集成第三方系统的消息主要采用两种方式。采用第三方系统提供的服务(WebService)直接获取第三方系统的待办消息，在Portal中通过Portlet展示，返回的待办消息应至少包括消息标题、消息链接地址，点击每一个待办消息链接，应能够直接打开第三方系统的待办消息处理界面。直接单点集成第三方系统的消息界面，通过单点登录进入第三方系统并告知第三方系统要跳转到该系统的消息界面，那么该消息界面将直接展示在Portlet中，点击打开消息完全依赖第三方系统的内部处理机制。以前要进入多个系统才能处理的待办事务，现在通过门户系统全部统一处理。每条待办事项信息应该包括如下字段 字段名备注消息来源具体哪个业务系统的消息待办事项ID待办事项唯一编号消息内容消息内容处理链接用户点击弹出页面的链接信息状态0：正常1：即将超时信息发送时间待办事项信息发送时间，形如：yyyy-mm-ddhh-MM-ss信息发送人信息发送人待办事宜集成显示门户平台可以集中将业务系统中的待处理事项以待办事务的形式集成到门户系统中。达到在一个工作界面中通览多个业务系统待处理任务的效果。实现业务处理事项多层次、多维度、多视角、全方位的信息展现；信息整合子系统应整合来自各业务系统的数据，达到待办事项集中提示、重要数据集中展示的功能。门户待办分类展现门户通过Portlet、布局进行分类划分，将不同待办事宜进行分划，达到可以快速进行处理，提高协同办公效率目标。领导桌面领导日常最关心的关键业务数据可以通过门户产品与BI系统集成实现综合报表展现管理平台信息集约展现，支持采集财务、人事、发行、广告等系统的关键业务数据，提供定制化、简明的图表显示，为领导的决策提供支持。在企业信息化建设的初期，企业还未建立起有效业务数据，后续根据数据表报平台，根据数据报表平台主题分类可以创建不同类别报表内容。 主题报表平台模式直接通过数据表报系统基于企业需求建立主题报表平台信息，而不是建立数据挖掘分析平台，同时在通过门户平台强大集成能力，将各个报表内容进行链接组分类展现，形成多维度报表信息在门户信息发布平台。在数据表报前期建设，优先选择使用数据上报的手段，通过不同数据输入和汇总，将数据进行统一管理；有条件后选择数据自动集成，达到自动化调配数据，最终由门户系统和数据报表系统进行界面、数据集成，达到门户平台集约展现目标；建设策略报表平台需要单独建立，通过门户统一的集成手段将报表内容做集中管理展现；通过报表系统建立统一的数据、报表应用门户；通过报表系统建立统一的数据填报平台、统一的数据指标分析平台；通过报表系统建立统一的数据存储；通过报表系统和门户平台建立可扩展的数据报表集成管理平台；通过报表系统针对已有的业务数据库实现自动集成；通过报表系统和门户平台实现个性化需求进行扩展和延伸；通过报表系统和门户平台可以支持内外部门户的集成，达到集约化应用效果；用友Portal和BI报表集成有完善的集成方案，对于BO报表的集成推荐两种方案：1、将BO报表链接显示在一个Portlet中，每个报表以一个链接形式展现，可以提供多个Portlet，如“销售报表Portlet”、“人事报表Portlet”、“人力报表Portlet”，然后根据权限控制用户能看到哪种类型的Portlet。2、利用Portal的链接组，设置BO链接。每条链接均可设置浏览权限，可以控制谁能看到哪些BO的报表链接。门户中领导桌面效果图统一用户认证中心统一用户认证中心的价值主要体现在两方面：提高系统访问的安全性和增加系统访问的便捷性。通过建设统一用户认证中心可以同时提升这两方面的能力，但当两方面都提高到一定地步时，某一方面的再提高往往意味着另一方面的削弱。所以当企业建设统一用户认证中心时，不能硬套标准产品，而要需要根据企业的实际情况，达到两方面的提升保持合理的平衡。用友统一用户认证中心解决方案基于成熟先进的自主知识产权产品，加之专业专家顾问为企业量身制定统一用户认证中心方案，真正达到全面提升企业信息化系统访问安全性和便捷性目标。业务场景正如上文提到，在企业中信息化系统访问安全性和便捷性的要求都是很典型的业务场景，只不过在某些企业中对安全性的要求更高，有些企业可以稍微牺牲一些安全性来换取大大提高便捷性。为了可以清晰明了的说明业务场景，本节之后将分别对这两方面进行阐述，在企业实际场景中这两者往往互相影响，相互依托。从安全性角度，企业建设统一用户认证中心主要为了达到或部分达到：1、统一用户；2、统一认证；3、统一审计。当企业希望对用户账号进行全生命周期管理时，可以通过统一用户来完成。主要包括用户账号的新建、生效、实效、暂停、注销、映射、分发、同步、授权、支持认证方式、访问互斥策略等。当企业希望对用户的认证进行管理时，可以通过统一认证来完成。由于只有认证中心掌握认证方式，可达到如下提升：1、可以根据企业的实际情况加强用户认证中心的安全性、设计多种认证方式、复杂的认证权限逻辑，但只要认证中心单独实现，就可以达到提高全部信息系统安全性、灵活性的目标；2、由于具体业务系统无法接触到用户认证机密信息，可以大大提高安全性和减少泄密机会；3、认证中心作为访问信息系统的认证统一入口，可以达到所有信息系统令行禁止的管理目标。统一用户和统一认证都是基于访问时进行控制，统一审计都要针对访问后进行合规检查。统一审计主要包括两方面内容：1、在用户访问时，记录相应的日志信息；2、在事后进行主动的合规预警和被动的分析报表。从便捷性角度，企业建设统一用户认证中心主要体现在如下两方面：1、管理的便捷性，企业可以方便安全的针对用户账号全生命周期进行管理，更加精准的访问控制。可以针对多种认证方式、用户访问互斥策略、安全性管理合规进行统一管理；2、用户访问的便捷性，用户只需要第一次访问时进行统一认证，就可以自由访问全部信息系统，不需要重复认证。所以说，通过建设统一用户认证中心，企业可以全面而合理的提高信息化系统访问安全性和便捷性。 技术方案用友统一用户认证中心的建设方案是集统一认证、身份管理、单点登录、访问管理、安全管理于一身的基础技术平台。用友统一用户认证中心产品功能图用友统一用户认证中心的建设方案主要包括如下三方面。1、 统一用户中心，UUC(UnifiedUserCenter)，负责管理与用户账号相关的工作，例如新建、生效、实效、暂停、注销、映射、分发、同步、授权、支持认证方式、访问互斥策略等。2、统一认证中心，UIA(UnifiedIdentityAuthentication)，负责统一管理与认证相关工作，例如认证协议、逻辑、方式等。3、统一审计管理，UAA(UnifiedAuditAdministration)，负责对用户的访问日志进行实时监控、访问操作行为进行合规监管统计。统一认证中心包括如下功能：1、为所有业务系统提供集中的认证中心 支持静态用户名密码、动态密码、CA证书、U-Key、指纹、个性化认证等认证方式每一主账号用户可以设置不同的认证方式支持多种开放标准协议，HTTP、HTTPS、Webservice、TCP、LDAP安全策略，无操作时间限制、IP限制、密码错误次数限制、强制口令修改2、为B/S、C/S架构系统提供单点登录功能Form-BasedSSO基于tokenSSO3、接入系统管理接入系统注册，系统码、系统名称、系统类型、用户验证类型、系统描述、是否有效、最后修改时间统一用户中心包括如下功能：1、人员信息系统管理员、组织管理员可增加主账号信息，组织管理员主账号信息走审批流从第三方系统导入，AD、HR系统、OA系统各系统调用用户中心发布的服务实时、定时同步用户信息2、人员组织机构自建、或从它系统同步只作为主账号的分类，方便查询、定位3、 人员访问系统权限人员关联角色，角色关联可访问系统密码策略管理，密码管理4、用户自助维护系统更改密码，重置密码，找回密码个人信息维护系统映射关联统一审计管理包括如下功能：1、系统登录、注销、禁用，状态可查2、用户登录哪些系统、登录频率、登录时间，均可查3、认证信息、访问记录可查，识别系统潜在威胁4、某一系统在线人数、某一时段在线人数5、用户使用行为分析用友统一用户认证中心产品架构图统一用户认证中心的技术关键点在于统一认证的方案。关键是用户首先访问统一认证中心时产生uuccookie，之后访问的所有系统都可以通过读取此uuccookie来确认当前登录用户账号，而不用再次登录。系统单点登录全景流程图如下图，：统一认证中心全景图1、用户用浏览器访问业务系统时，会重定向到认证中心地址，用户提交凭证(账号密码、指纹、CA等)给认证中心；2、3认证中心与凭证槽三者之间进行认证协议流转，最终确认当前用户是否为合法用户；4、认证中心返回页面给浏览器，并在浏览器中写入UUCcookie，UUCcookie中保存着当前用户账号信息。5、浏览器接收到的返回页面是个redirect动作，浏览器redirect到返回之前访问的地址(默认是门户地址)；6、门户通过UUCcookie获取当前登录的用户UserID，加载用户信息，返回门户首页。7、用户在门户页面中点击接入系统的链接，浏览器访问接入系统。8、接入系统过UUCcookie获取当前登录的用户UserID，如果是用户映射的系统获取到的是映射了的UserID，加载用户信息，返回接入系统页面。为了保证认证过程的安全严密性，UUCcookie中保存的用户信息采用签名算法进行签名。单点登录B/S架构系统单点登录方案门户最有价值的应用之一就是系统集成，Portal提供了完善的第三方系统集成方案，可以根据第三方系统的要求提供各种方式和安全级别的集成方案。 基于凭证方式Portal的SSO方案是基于凭证的思想设计。对于Portal集成的每个第三方系统都有一个制作凭证的页面，该页面用于当前登录的Portal用户输入对应的第三方系统的用户信息，在正常情况下，该制作凭证的页面最多出现一次。当用户输入的第三方系统登录信息进行验证后，会自动在Portal系统的数据库中建立一对凭证槽和凭证信息，这对信息记录了Portal用户在特定的Portal布局和特定的portlet下，与该第三方系统的身份对应关系。当该用户之后登录Portal并进入被集成第三方系统时，Portal系统负责获取之前成功建立的对应第三方系统身份信息，并用该身份信息进行第三方系统的身份认证。这一切的操作对当前登录用户来说都是透明的，他们看到的是没有输入任何身份信息而以正确的身份进入了第三方系统。另外，在用户每次登录第三方系统时，都会根据第三方系统的要求进行身份认证，因此这个登录过程是安全的。 “凭证”就是Portal系统的用户和被集成的系统的用户之间的一个对照关系，当第一次登录被集成的系统时，Portal会自动查询是否存在该凭证关系，如果不存在Portal集成框架会根据配置的单点登录信息弹出如下界面，要求输入第三方系统的登录信息进行凭证的制作。下次登录该系统，如果凭证存在，会直接进入该系统。Portal集成框架在每次进入第三方系统前会负责将第三方系统的用户名和密码及登录要求的信息实时传给第三方系统配置的认证地址做用户认证，如果该用户认证通过，第三方系统会返回给Portal集成框架一个成功标示，那么即可直接进入第三方系统，否则无法进入。在这个过程中，如果第三方系统对安全级别的要求比较高，那么当用户认证通过后第三方系统可以维护一个令牌，并将该令牌返回给Portal，并且可以设置持有该令牌在一定的时间内访问本系统有效(比如:10秒)，Portal系统会获取在单点登录信息中配置的gateUrl并且必须持有该令牌串才能安全进入第三方系统。如果安全级别稍低，那么返回一个无时间限制的令牌，Portal系统会获取在单点登录信息中配置的gateUrl并且拼接该令牌串进入第三方系统。单点登录某一系统流程Portal凭证制作界面基于令牌方式统一身份认证流程1、客户机向集成子系统发出认证请求；2、 应用系统获取用户的帐户和密码信息后，调用企业服务总线的认证服务接口，进行用户身份认证；3、 认证接口确定用户身份信息后，生成用户令牌（一个固定长度的字符串，在本次会话的过程中可以在参与应用集成的系统范围内唯一的标识用户的身份）。4、 集成子系统可以通过用户身份令牌，调用企业服务总线的用户信息获取服务接口。5、总结确认用户令牌后，返回用户的帐户信息。集成系统通过用户的帐户信息，找到该用户的对应权限，引导用户进入系统。统一身份认证改造：将原有的认证逻辑，改为调用企业服务总线上的用户帐户认证服务接口。用户帐户数据获取改为调用服务总线上的用户身份获取接口。原有系统认证流程改造后的用户认证流程单点登录示意图1、 用户进入门户系统后，请求进入其它系统；2、 门户系统引导用户进入其它系统；3、 其它系统接收用户身份令牌信息；4、其它系统使用用户身份令牌向服务总线的用户信息获取服务接口请求用户帐户信息；5、 总线接口返回帐户信息；6、系统获取用户权限后，引导用户登录进入系统。只要用户进入了门户系统，他就可以不需要再次认证直接进入其它任何参与了单点登录改造的系统。以门户系统为中心，进行单点登录的改造方案，最大化减小对其它系统的影响。各个集成系统提供一个可以接收用户令牌参数的URL连接。例如11:8080/Portal/UserLoginServlet?token=123456789。这样当用户从门户系统进入该系统的时候，就调用该连接并传入用户令牌参数（token），系统使用token参数获取用户帐户信息，然后根据用户帐户信息找到用户权限，最终允许用户进入该系统。实现流程范例C/S架构系统单点登录方案CS架构的系统集成，通过Portal提供的ExecutePortlet做到。要求第三方CS系统可