联通内部门户技术规范模板

目 录TOC\o"1-4"\h\z\u目 录 1前 言 41总则 51.1背景 51.2编制目标 51.3适用范围 51.4文档结构 51.5规范起草单位 61.6规范解释权 61.7参考文件 61.8名词解释和缩略语 62概述 73系统总体架构 73.1省分（总部）门户系统逻辑架构 73.2两级门户体系架构 83.3省分（总部）门户系统参考物理架构 94门户系统总体功效概述 104.1门户系统应用 104.1.1用户管理 104.1.2认证管理 104.1.3访问策略管理 104.1.4安全管理 104.1.5个性化服务 104.2企业应用集成 104.3统一用户目录管理 104.4用户认证及访问权限控制 114.4.1用户认证步骤 114.4.2访问权限控制 115两级门户互联 125.1门户互联访问类型 125.2门户互连实现技术 125.2.1门户互联技术列举 125.2.2推荐方法及性能对比 135.3统一待办集成 135.3.1概述 135.3.2集成方法 145.3.3表结构设计 146单点登录实现 156.1省分门户内单点登录 156.2集中应用系统接入各门户系统单点登录 166.3跨门户访问单点登录 186.4CDSSO功效实现技术细节 197网络组织 207.1网络拓扑结构 207.2门户系统和应用系统网络层互连 217.3IP地址及DNS计划 227.3.1IP地址计划标准 227.3.2DNS调整标准 227.3.3NTP配置要求 237.3.4邮件域名要求 238门户系统技术要求 248.1总体设计技术要求 248.1.1系统设计要求 248.1.2系统性能要求 248.1.3系统监控设计要求 298.1.4备份和恢复设计要求 308.1.5安全性设计要求 318.1.6接口要求 328.1.7编码标准 338.2门户对被集成系统技术要求 358.2.1C/S接入系统技术要求 358.2.2B/S接入系统技术要求 358.2.3域内应用系统集成实现方法 358.3主机设备 378.4操作系统 378.5存放备份硬件设备 378.5.1存放设备 378.5.2备份设备 388.6数据库 388.7门户平台软件 398.8目录服务平台软件 408.9机房环境要求 408.9.1机房温、湿度要求 418.9.2防尘要求 418.9.3防电磁干扰要求 418.9.4接地 418.9.5其它环境条件 419系统安全 429.1系统可靠性 429.1.1系统可靠性、稳定性保障机制 429.1.2硬件可靠性 429.1.3软件可靠性 439.1.4平台稳定性要求 439.2网络接入安全 439.2.1身份验证 439.2.2拨号访问保护 439.3信息传输安全 439.3.1完整性策略 439.3.2数据机密性 449.3.3网络可用性 449.3.4设备审计 449.3.5配置确定 449.3.6监视统计网络活动 449.3.7入侵检测 449.4应用系统安全 449.4.1主机系统安全 449.4.2操作系统安全 459.4.3病毒防范 459.5数据安全 459.5.1数据备份 459.5.2数据恢复 46前 言本规范关键要求了中国联通企业内部门户系统门户子系统技术规范，关键包含系统总体架构、总体功效、两级门户互联、单点登录、网络组织、技术要求和系统安全等内容。中国联通企业内部门户系统建设是企业信息化关键组成部分，门户子系统是管理支持系统关键组成部分。本规范是针对开发、建设中国联通总部、省分企业内部门户系统门户子系统技术规范，作为总部及各省（直辖市、自治区）分企业门户系统建设工作指导依据。相关企业内部门户系统规范关键包含：《中国联通IT系统MSS系统域企业内部门户系统业务规范》，包含门户子系统部分和用户目录子系统部分。《中国联通IT系统MSS系统域企业内部门户系统技术规范》，包含门户子系统部分和用户目录子系统部分。《中国联通IT系统MSS系统域企业内部门户系统测试规范》本标准由中国联通企业信息化部提出。本标准由中国联通企业技术部归口。本标准关键起草单位：中讯邮电咨询设计院、中国联通信息化部本标准关键起草人：xxxxxx本标准修改和解释权属中国联通企业。1总则背景伴随经济全球化趋势和中国加入WTO，中国电信市场政府管制力度将越来越弱，市场愈加开放，竞争愈加猛烈。中国外市场环境要求中国公众电信运行企业在经营理念、管理模式上能上升到较高层次，以求在电信运行商国际化竞争中立于不败之地。中国联通作为中国唯一一家对全部电信业务拥有经营权电信运行商，拥有全国范围内相当规模公用电信网，经营多个基础电信业务和增值电信业务，形成移动（GSM/CDMA）、长途（193）、数据（165）、IP电话、市话、增值业务等多个业务并存共同发展格局。中国联通在全国31个省、市、自治区建有分企业，为了有效发挥企业内部资源，提升内部管理效率，提升经营管理水平，中国联通逐步统一计划、建设全国范围内MSS系统。联通总部编制并经过了《中国联通管理支持系统（MSS）总体方案》，制订了MSS总体建设思绪。，为指导同年进行全国范围MSS一期工程建设，又组织编制并经过了《中国联通管理支持系统（MSS）技术规范》，其中明确了建设关键是实现公文流转、经营信息展现、电子邮件和基础网络设施等四个方面。经过十二个月实施，已基础实现了一期建设目标，同时也为联通MSS后期建设打下了坚实基础，发明了良好信息化环境。联通总部制订了新建设任务，其中一个关键就是建设门户系统，为MSS、ERP提供统一接入、认证和安全管理平台，为用户提供个性化展现平台。企业信息门户实施是MSS系统建设过程中一个关键目标任务。为规范门户系统建设，中国联通总部组织制订了中国联通企业内部门户系统技术规范，本文件为中国联通IT系统MSS系统域企业内部门户系统技术规范门户子系统部分（以下简称“本规范”）。编制目标为了在前期基础上更有效指导企业内部门户系统建设实施工作，中国联通特制订本规范。和本规范配套使用还有《中国联通IT系统MSS系统域企业内部门户系统业务规范门户子系统部分》（关键提出了企业内部门户系统应含有功效需求和相关要求），将共同指导、约束企业内部门户系统建设实施相关工作。本规范可作为中国联通总部及各省分内部门户系统建设实施项目标设计、开发、验收相关依据。适用范围本规范指导并规范中国联通各省分企业进行门户子系统建设。各省可依据本规范和其它相关规范、标准，结合当地实际情况建设总部及省分门户系统。文档结构第一部分：总则，描述本文背景、编制目标、适用范围、文档结构、规范起草单位、解释权和修订权、名词解释和缩略语等内容；第二部分：概述，对规范定位进行了概括性描述；第三部分：系统总体构架，从软件逻辑架构、两级门户架构及物理模型三方面进行了概括性描述；第四部分：门户系统总体功效，对门户功效、门户集成相关应用系统和用户目录管理、认证步骤进行了介绍；第五部分：两级门户互联，概要说明了门户互联方法，并具体介绍了多个互联技术方法，并针对全国门户、省分（总部）门户待办集成细节做出了规范要求；第六部分：单点登录实现，分别从门户内部、跨门户及全国门户三个方面步骤及CDSSO技术细节进行深入叙述和要求；第七部分：网络组织，对于网络拓扑结构、门户系统和应用系统网络互联、IP地址及DNS计划等多个方面做出了说明和规范要求；第八部分：门户系统技术要求，对主机、存放、安全、门户软件等多个方面作出了要求，对于集成应用系统用户管理、展现及单点登录提出具体技术要求和可选方案；第九部分：对总体系统可靠性，网络安全性，信息安全性，应用系统安全性，数据安全性进行了相关说明并提出了相关要求。规范起草单位本规范起草单位为中国联合通信信息化部、中讯邮电咨询设计院。本规范增补、修订权属中国联合通信信息化部。规范解释权本规范解释权为中国联合通信信息化部。参考文件《中国联通IT系统总体技术体制v1.0》名词解释和缩略语BSS：BusinessSupportingSystem，业务支持系统。EAI：EnterpriseApplicationIntegration，企业应用集成。ERP：EnterpriseResourcePlanning，企业资源计划。LDAP：LightweightDirectoryAccessProtocol，轻量级目录访问协议。MSS：ManagementSupportingSystem，管理支持系统。Portal：门户，在本规范中指企业内部门户，是用户和管理支撑系统、业务系统之间桥梁。门户系统将企业分散应用和信息进行聚合，实现应用关联和信息共享，供决议支持服务。Portlet：是基于应用系统展现端组件，经过和应用系统接口取得应用数据和操作功效。Portlet能够是Portal系统一部分，由Portal系统提供工具和运行环境实现Portlet生成、运行、授权、维护等管理工作。SSO：SingleSign-on，单点登录，即用户登录后不需要再次提供认证信息就能够访问相关各应用系统。CDSSO：CrossDomainSSO，跨域单点登录，即在两个独立安全域之间实现单点登录。TAM：TivoliAccessManager提供集中式认证/授权/审计功效，并实现对门户及多种后台子系统单点登陆。包含PolicyServer和WebSeal两个关键组件。

TIM：TivoliIdentityManager提供集中式账户生命周期管理，经过TIM能够实现对多种后台子系统账户管理，包含Domino/AD/ERP等系统帐户信息。IDI：IBMDirectoryIntegrator经过多种标准连接器和多种账户注册表进行连接，并经过流水线对数据进行处理，从而实现账户数据同时。IDS:IBMTivoliDirectoryServer基于LDAP标准LDAP目录服务器,用户信息存放在这个目录服务器中,并能够依据联通企业需求来灵活定义用户属性信息.LTPA:LightWeightThirdPartyAuthentication，轻量级第三方认证（LTPA）认证机制,LTPA定义了存放在用户端上令牌格式，运行在不一样机器上WEB应用程序使用LTPA实现用户认证信息传输。iFrame:主浏览器窗口一个子窗口。从运行在它上面软件来看，iFrame是属于它自己窗口，能够独立于包含自己窗口之外而独立运行。NTP：网络时间协议（NetworkTimeProcotol）。它目标是在互联网上传输统一、标准时间。具体实现方案是在网络上指定若干时钟源网站，为用户提供授时服务，而且这些网站间应该能够相互比对，提升正确度。概述企业信息门户系统包含门户子系统和用户目录子系统。对于“中国联通企业信息门户系统”了解，能够从以下多个方面给予直观定义：是直接面向全部联通职员（含各级领导，以下同）内部信息服务界面，以支持日常管理工作为目标；是联通职员接触企业信息资源（获取必需企业信息和数据、和操作相关应用系统）统一入口、统一渠道，并依据登陆门户系统职员角色来展现对应信息服务功效界面；从用户（即联通职员）体验角度，对单点登录（SSO）支持是门户系统经典特征；对企业机构组织及职员信息，和应用系统和信息数据资源访问权限进行统一管理，以确保企业信息和IT系统安全性；从技术实现上讲，门户系统要处理企业信息内容和应用系统聚集，即把企业信息经过有机集中手段来展现、提供给用户。门户子系统和用户目录子系统共同实现中国联通企业信息门户系统。系统总体架构本部分将从系统软件逻辑架构、两级门户架构及物理模型三个方面对内部门户系统进行概括性描述。省分（总部）门户系统逻辑架构图3-1联通企业信息门户系统层次划分示意图图中系统描述了联通企业信息门户系统层次划分：用户端：中国联通信息门户系统用户端现在考虑关键对一般PC浏览器提供访问支持。在条件成熟时，能够对部分用户常常需要访问应用：如办公系统、邮件系统等提供PDA和手机等移动终端访问支持。接入层：接入层是直接接收用户访问请求应用层，它功效关键包含：用户认证、用户动态信息访问请求转发、对于静态内容缓存等。接入层关键作用首先是提升系统效率，其次是保障门户系统访问安全，预防非授权非法访问。应用层：用以提供用户管理服务和门户服务应用。关键是门户服务引擎和用于整合一系列后端应用Portlet，另外在这一层还包含储存用户信息目录服务器和存放门户所需数据数据库。应用系统层：关键是中国联通现在已经有和准备未来建设后端应用系统。两级门户体系架构不管总部门户、省分门户还是全国门户，域内体系架构全部根据省分或总部协同办公系统逻辑架构统一建设。为了实现互连互通业务目标，各级门户要综合考虑实现门户互访技术要求，下图是两级门户体系架构示意图。图3-2MSS系统两级门户体系架构示意图由图3-2能够看出，为了实现两级门户体系，需要考虑以下技术关键点：总部门户、省分门户和全国门户使用一致门户平台和统一认证平台产品；总部门户、省分门户和全国门户域内结构根据总部门户、省分门户和全国门户体系结构设计实现；用户身份确实定也是经过两个单点登陆平台CDSSO模块来实现，单点登陆系统CDSSO模块会根据一对一标准对应到存放在当地用户目录中远程用户；用户经过门户中提供特殊连接，实现跨门户互访；省分、总部、全国门户系统中用户信息需要同时；针对Portal中iFramePortlet,采取WebSEALCDSSO方法来实现；针对WSRP，全国Portal和总部Portal，省Portal之间采取LTPA方法，全部Portal服务器采取相同LTPAKey，相同域名，和时钟同时。采取LTPA来实现Portal和Portal之间身份传输，WebSEAL和Portal集成也为LTPA方法。省分（总部）门户系统参考物理架构门户系统物理构架需要考虑以下要求：物理架构设计标准是高性能，高可扩展性和高可用性相结合。物理架构只作为实施阶段参考，不强制严格根据本架构实现。具体物理架构图参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。门户系统总体功效概述本部分将就门户功效、门户集成相关应用系统和用户目录管理、认证步骤进行叙述。门户系统应用门户系统负责提供用户访问安全控制手段、个性化内容展现、内容管理和门户相关服务功效等应用，具体包含：用户管理提供企业门户用户信息管理手段，并和统一访问控制管理人员目录管理机制相结合，为实现经过门户系统访问内部资源单一登录机制提供人员信息基础。认证管理提供支持多个认证方法，包含静态密码、动态密码、数字证书等，对用户访问进行身份认证。同时，能够直接利用已经有系统中用户账户信息，进行身份认证。访问策略管理为用户访问门户系统提供信息访问权限控制、访问渠道管理等多个功效，并为个性化服务提供访问策略控制订义。安全管理提供防侵入、防病毒等手段，确保企业内部资源安全。同时，提供负载均衡、容灾等机制，确保系统高效性和安全可靠性。个性化服务在系统统一控制管理基础上，为职员提供个性化管理平台。访问者能够依据本身工作性质和对企业资源访问需求，设置个性化访问界面，并经过这种个性化服务查阅、管理相关信息。企业应用集成企业应用集成包含分布在中国联通总部和各省分企业现有信息系统，关键包含OA、邮件、经营分析等系统。统一用户目录管理统一企业信息资源管理关键实现对企业内部全部人员、组织、工作组、角色、应用系统等信息统一保留和管理，为门户系统提供认证、访问授权和资源管理服务。统一信息资源管理通常经过LDAP技术以目录服务形式实现。相关目录对象具体定义、目录服务管理和集成，参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。用户认证及访问权限控制用户认证步骤用户认证即用户登录到系统中，系统确定登录信息有效后，为其提供一个正当身份。TivoliAccessManagerWebSeal组件是全部应用系统统一认证入口。依据不一样安全需求，能够采取不一样认证方法进行用户身份认证。经过目录服务存放用户ID和口令来认证用户身份；采取X509v3电子证书，电子证书存放在用户端，经过调用用户端证书进行身份认证。对于系统认证方法能够依据现有系统安全需求，采取某一个认证方法，或使用多个认证方法以确保系统访问安全性。鉴于现有应用系统用户接入关键采取内网接入方法，所以用户认证关键采取用户ID和口令方法，部分安全等级较高应用系统能够采取二次认证方法。用户认证经过WebSeal组件进行统一认证，用户进入系统认证步骤以下：图4-1用户认证步骤说明：用户经过用户ID+密码进行系统登录。WebSeal组件经过LDAP提供接口从LDAP服务进行用户身份认证；LDAP认证服务将用户认证信息返回到TAM策略管理组件，该组件依据用户角色决定用户能够使用应用功效及个性化定制；TAM策略管理模块把用户能够使用对应功效及个性化定制内容返回给门户系统；门户系统将用户可见应用功效可内容展现到用户浏览器中。用户经过门户系统访问在门户上集成应用系统时经过WebSeal组件完成单点登陆认证，具体单点登陆认证实现参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。访问权限控制用户权限包含对应用访问权限和操作权限。访问权限用于控制不一样用户对系统数据和功效访问范围，能够依据用户所在用户组或角色来控制用户在系统中访问权限。操作权限是控制用户组或角色对系统中资源访问操作权限，操作权限由系统管理员来定义系统中用户组或角色，并分配其对应系统操作功效和访问页面。为愈加好集中管理各系统中用户访问权限，需要将系统访问权限由TivoliAccessManager系统统一进行管理，而系统访问权限关键是经过管理用户属性，也就是管理用户所在用户组或角色，来控制用户在系统中访问权限。而对于操作权限，即用户组或角色权限分配由原系统各自分配和管理。为规范新建系统实现统一授权管理，需要在统一用户管理基础上，将各系统用户所在用户组或角色信息，以用户属性方法加载到统一用户目录中，然后由门户系统提供统一用户授权页面，依据各系统中用户所属用户组或角色，以实现用户访问门户系统统一用户访问授权管理。两级门户互联本部分将概要说明门户互联方法，具体介绍多个门户互联技术实现方法及对比，并针对全国门户、省分（总部）门户待办集成细节作出规范要求。门户互联访问类型门户系统间互连，关键是指某个用户经过当地门户访问异地门户，关键支持下面多个情况门户互访：总部用户能够经过总部门户访问各省分门户，并经过省分门户访问省分办公自动化、经营分析等系统数据和信息。总部用户能够经过总部门户访问全国门户中集中应用。省分用户能够经过省分门户访问全国门户中集中应用。在进行门户互访时需要处理关键问题就是跨域单点登录，即需要在两个门户之间建立相互信任机制，经过这种信任机制许可对方系统用户访问归属地应用。门户互连实现技术门户互联技术列举链接直接跳转链接直接跳转是指在需要访问到其它门户网站上信息时直接跳转到另一个门户网站。用户在进行跨门户跳转时，不一样门户之间用户信息传输经过跨域单点登录(CDSSO)来实现。链接跳转是门户互联互通时最基础一个互连方法，各省门户均应实现和全国门户链接跳转方法互联，即各省用户能够经过连接跳转方法跳转到全国门户中，全国门户能够识别用户身份，并授予对应访问权限。总部门户需要实现和全国门户和各省门户链接跳转式互联互通。iFrame各级门户之间经过Portal提供iFramePortlet实现远程门户内容在当地门户展现。WSRPWSRP是业界标准门户之间互联标准，WSRP能够实现在一个门户上调用另一个远程门户上运行portlet。它有两个步骤：1）服务提供者将当地portlet以WSRP方法公布出来。2)服务使用者在远程portlet目录中浏览对应服务，并将选中服务添加到当地门户中。总部或省分用户在需要在当地显示全国门户上特定Portlet内容时，能够使用WSRP方法。和链接跳转不一样是WSRP在显示源于其它门户上信息时，仍然是在当地门户系统上进行，而链接方法将用户导引到远程门户系统上。通用Web服务通用Web服务和WSRP类似，也是在当地门户上调用远程门户上内容，她们区分是WSRP是对远程门户上界面信息远程调用，而通用Web服务是经过web服务方法，调用远程服务数据和步骤。RSSRSS(RichSiteSummary)是目前流行一个信息公布格式，众多公共网站全部对该协议提供了支持。RSS是经过xml格式，公布内容摘要和内容，供其它RSS用户端进行远程调用。各省分需要公布到总部或全国门户上内容，和总部期望公布到各省门户上内容能够使用RSS进行公布。具体实现方法是内容提供方以RSS格式提供内容，在使用方门户上布署RSSportlet，将远程数据源上RSS内容提供给门户用户。统一开发Portlet分别布署由总部或总部指定部门统一开发连接特定应用portlet，然后由各省管理员布署到全国及各省门户系统中，并依据本省系统实际情况进行参数配置。统一开发portlet分别布署能够有效重用开发资源，而且运行时有较高运行效率。WSRP、通用Web服务、RSS方法等方法全部是在各个省分企业经过远程调用方法取得已经在总部门户上布署好内容，当总部门户内容发生改变是，WSRP等机制会把改变内容直接反应到各个省分企业，不需要省分企业人员干预。而这种方法需要一个把在总部开发好Portlet发送到各个省分企业，由省分企业管理员单独布署过程。所以这个方法和WSRP等方法最大区分是，WSRP方法是经过省分门户Portlet调用总部门户Porlet实现，而这个方法是经过把统一开发好Portlet布署到各个省分门户，然后经过这个Portlet调用总部具体某个应用实现，不需要借助访问总部门户系统。推荐方法及性能对比为实现两级门户系统互联业务目标，推荐链接直接跳转、iFrame和WSRP三种技术为可选门户互联实现方法。经过试点阶段进行性能对比测试可知：采取链接直接跳转和iFrame时，系统响应速度较快；采取WSRP时，系统响应速度较慢。所以提议优先采取链接直接跳转和iFrame两种技术。统一待办集成概述统一待办集成工作包含三个独立布署门户系统：全国门户、总部门户及省分门户，其中每个门户系统全部包含自己待办列表。总部或省分用户访问当地水平应用时产生待办工作信息将统一展现在当地门户待办列表中；而当总部或省分用户访问集中应用时，所产生待办工作信息需统一集成到当地门户（总部或省分门户）待办列表中。集成方法统一待办集成实现方法以下图：图5-1统一待办实现示意图为避免在两个门户系统之间直接进行数据交换可能造成性能和安全性问题，采取中间数据库方法对数据交换操作进行缓冲，即在全国门户、总部门户和省分门户均布署中间数据库表，待办数据交换将在这些库表间进行操作。全国集中应用生成待办信息将实时存放到全国门户中间数据库中，全国门户读取其中信息生成待办工作列表，展现给未建设门户省分用户使用。总部门户及省分门户定时从全国门户中间数据库中同时总部或本省待办数据至当地中间数据库，并生成统一待办列表展现在总部或省分门户上。定时同时频率为每小时一次。总部或省分用户在当地门户上点击待办工作链接，经过跨域认证（CDSSO）后可直接访问全国集中应用中对应数据和功效。当用户完成业务处理后，全国集中应用将原来待办工作自动转变为已办工作，并实时地写入全国门户中间数据库中。此时全国门户中间数据库将触发实时更新过程，将已办工作数据实时更新至总部或省分门户中间数据库中。在完成上述每一步操作过程时，均须同时写入对应日志数据。表结构设计待办数据库字段：表5-1待办数据库字段属性名属性描述属性类型长度是否为空是否自增PendingID待办IDLong否是PendingCode待办信息编号Varcher50否PendingTitle待办标题Varcher200否PendingDate待办时间Timesample否PendingPersonID待办人UserIDVarcher50否PendingURL待办信息URLVarcher200否PandingStatus待办状态Varcher1否PandingCityCode省分代码Varcher10否PandingType待办信息起源Varcher50示例：PandingCityCode：山东（SD）日志数据库字段以下表：表5-2日志数据库字段属性名属性描述属性类型长度是否为空是否自增ID日志IDLong否时UserID操作人IDVarcher50否OperDesc操作描述Varcher200否OperDate操作时间Timestamp否其中，操作统计格式为：对**表进行了（增加/修改/删除）操作，（增加/修改/删除了）编号**，标题**，指定待办人**数据。单点登录实现中国联通门户系统中认证和访问授权控制使用独立认证和授权系统实现。认证和授权系统基于TivoliAccessManager建设。本部分将从门户内部、跨门户及全国门户三个方面步骤及技术细节进行深入叙述和要求。省分门户内单点登录图6-1省分门户内单点登录示意图省分门户内门户系统关键用来向用户展现来自各个系统信息。省分门户内单点登陆功效实现是经过“省分单点登陆系统”模块来实现。它功效包含有以下多个方面：提供用户认证功效，包含用户名/密码和动态密码认证方法。实现用户访问后台应用单点登陆功效。依据用户角色和预先定义权限，来判定用户能够访问那个应用系统。统计下用户登陆操作和访问后台应用请求。用户访问门户步骤能够用以下步骤来描述：用户经过“省分单点登陆系统”访问省分门户系统；“省分单点登陆系统”要求用户提供用户名/密码；用户向“省分单点登陆系统”提供有效用户名/密码；“省分单点登陆系统”经过和存放在LDAP中用户信息作比对成功后，要求用户提供动态口令；用户提供动态口令；单点登陆系统确定用户身份成功后，完成用户认证工作，而且统计到日志信息中。在用户成功认证后，用户经过“省分单点登陆系统”连接到省分门户系统。依据用户访问省分门户系统中不一样页面，“省分单点登陆系统”会建立和后台应用系统连接，而且完成单点登陆和向后台应用传输用户信息功效，后台应用系统依据用户信息来判定用户权限。集中应用系统接入各门户系统单点登录图6-2集中应用系统接入各门户系统单点登录示意图用户在省分门户系统中访问集中应用系统步骤以下：用户经过访问本省“省分单点登陆系统”访问省分门户系统，实现省分门户系统内单点登陆。经过省分门户系统中特殊连接访问集中应用系统，当用户请求在省分门户和集中应用之间转发时，用户身份确实定也是经过两个单点登陆平台CDSSO模块来实现。当用户信息从“省分单点登陆系统”CDSSO模块传输到“集中应用系统单点登陆系统”CDSSO模块后，“集中应用系统单点登陆系统”CDSSO模块会依据用户相关信息来映射到当地用户账号。在映射到当地用户账号后，也完成了到集中应用系统单点登陆功效。这种单点登陆功效实现和门户系统内单点登陆功效实现是一样。跨门户访问单点登录图6-3跨门户访问单点登录示意图跨门户访问步骤图6-3所表示：用户登陆到总部单点登陆系统，能够访问总部门户系统中全部资源。经过门户系统中特殊连接访问省分单点登陆系统，当用户请求在总部门户和省分门户系统之间转发时，用户身份确实定也是经过两个单点登陆平台CDSSO模块来实现。当用户信息从总部单点登陆系统CDSSO模块传输到省分单点登陆系统CDSSO模块后，省分单点登陆系统CDSSO模块会依据用户相关信息来映射到当地用户账号。在映射到当地用户账号后，也完成了到省分门户系统单点登陆功效。这种单点登陆功效实现和门户系统内单点登陆功效实现是一样。CDSSO功效实现技术细节图6-4标准环境中用户认证工作模式示意图标准环境中用户认证工作模式下，当接收到第一个用户请求时，WebSEAL意识到它并没有相关这个用户信息，所以发出认证挑战。用户响应挑战后而且验证了用户信息，WebSEAL为该用户建立了身份凭证。这个凭证和用户对话期间一些保持不变特征相联络，在这个例子里是SSL对话ID。当接收到该用户下一个请求时，WebSEAL从其长久特征中识别出该用户，而且采取代表该用户身份凭证，这么该用户就无需再次进行身份认证了。图6-5跨域环境中用户认证过程第一个阶段工作模式示意图跨域环境中必需找到WebSEAL服务器能够将一个用户身份信息传输给另一个安全领域方法。而且必需经过安全方法这么确保这些信息无法被截取，无法被别有用心人用来在新安全领域中冒充该用户。在不一样安全域中这种身份信息转移时两个阶段过程。首先，用户在当地领域网站上点击一个特殊链接来触发对当地WebSEAL服务器跨域单点登录请求。这一触发请求格式以下：:///作为对这一请求回应，当地WebSEAL服务器创建而且加密一个包含当地用户信息token。这个token和一个HTTP重定向请求一起发给用户浏览器。<token>用户浏览器接收到重定向请求后，它转向新安全领域WebSEAL服务器，将它请求（包含加密token）一起提交，这么就触发了CDSSO第二阶段过程。图6-6跨域环境中用户认证过程第二个阶段工作模式示意图跨域认证过程第二个阶段，新安全领域WebSEAL服务器接收到一个触发其CDSSO功效HTTP请求。它对该token进行解密（事先在两个安全域之间需要建立好共用密钥），从而取得该用户信息。接收方WebSEAL能够从HTTP请求中referrerheader里发觉创建tokenWebSEAL服务器DNS域名，经过该域名它能够知道采取哪一个预先建立好共用密钥来对token进行解密。同时这也意味着出发链接必需在一个静态页面中，它不能够在浏览器地址栏里手工键入。该用户信息可能会先经过一个用户映射程序映射到当地用户，然后再新安全领域里面为该用户创建身份凭证。接着假如一般登录过程，WebSEAL再将这个新用户凭证和用户和目前SSLID进行连接。这么用户就在新安全领域里面创建了身份凭证，而且和她们之间SSL对话过程建立了链接关系，接下来用户就如同经过正常登录后一样继续访问新安全领域中多种资源。网络组织本部分将就IP、DNS、时钟同时、邮件域名等多个方面进行具体说明及明确具体规范要求。网络拓扑结构门户系统是基于TCP/IP协议计算机网络应用系统，经过多种数据通信手段将多种设备和各级子系统连接起来，形成完整网络系统。整个门户系统网络拓扑结构示意图以下：图7-1中国联通门户系统网络拓扑结构图门户系统网络组织由三级组成：总部和全国门户系统：总部门户部分负责总部门户系统网络服务，包含多种网络接入服务，如LAN/WLAN、WAP、PDA、SMS等；全国门户部分提供全国垂直应用给各省分和地市用户使用。省分企业门户系统：负责省分企业门户系统网络服务，包含多种网络接入服务，如LAN/WLAN、WAP、PDA、SMS等；地市分企业节点：负责提供地市分企业职员到省企业门户系统网络访问，由省分企业集中建设。因为在MSS一期工程，联通总部和各省分企业已经建成了覆盖全国MSS传输网和各级MSS内部局域网，所以门户系统能够利用现有MSS网络构建门户系统网络。另外，门户系统能够依据系统需求，增加门户服务器、认证管理服务器、用户目录服务器等服务器设备，也能够综合利用现有服务器设备。门户系统和应用系统网络层互连门户系统和应用系统互连能够有两种方法：在网络条件满足时，在门户系统和应用系统之间建立网络通道，由门户系统相关组件直接访问应用系统，提供用户访问服务，如门户系统嵌入MSS系统。对于和BSS、OSS连接，必需配置防火墙设备，以保障系统安全，此时防火墙需要开放80端口，以实现和门户系统接口。在网络条件不成熟，或因为安全缘故，网络条件无法和门户系统直接连接时，经过专门网关服务器，进行数据中转。如门户系统和经营分析系统连接，以获取报表数据；和短信中心连接，以实现短信收发。IP地址及DNS计划IP地址计划标准现在各省分均分配有独立B类IP网段，范围以下：/16、/16-/16、/16。各省分有独立IP地址计划标准，省分之间不统一。考虑到现在各省分之间IP地址计划不统一，所以此次系统建设省分IP地址统一计划只细化到C类网段，方便布署全国统一应用策略。具体标准以下：省分在备用地址中划分一独立C类IP地址，做为协同办公系统服务器网段；尽可能选择10.*.255.0/24网段，假如该网段被占用，则依次前移；网段内IP计划由省分集成商确定。DNS调整标准各省分在各自DNS服务器上增加指向总部DNS统计：hq.unicom.local；hq.unicom.local。各省分针对协同办公系统新增服务器划分新域，并修改各自DNS服务器配置，对照表以下：表7-1省分新增域对照表省分名称新增域北京bj.unicom.local天津tj.unicom.local上海sh.unicom.local重庆cq.unicom.local黑龙江hl.unicom.local吉林jl.unicom.local辽宁ln.unicom.local内蒙nm.unicom.local陕西sn.unicom.local甘肃gs.unicom.local宁夏nx.unicom.local青海qh.unicom.local新疆xj.unicom.local西藏xz.unicom.local河北he.unicom.local河南ha.unicom.local山西sx.unicom.local山东sd.unicom.local安徽ah.unicom.local浙江zj.unicom.local江苏js.unicom.local湖北hb.unicom.local湖南hu.unicom.local福建fj.unicom.local广东gd.unicom.local广西gx.unicom.local云南yn.unicom.local贵州gz.unicom.local四川sc.unicom.local海南hi.unicom.local华盛hs.unicom.local各省门户对外地址为www.**.unicom.local；总部DNSIP地址为：（unicom.local/hq.unicom.local）。NTP配置要求省分服务器和总部服务器之间需实现时钟同时，所以需将省分服务器NTP配置为：（1）NTPSERVER1：；（2）NTPSERVER2：；（3）NTPSERVER3：01。邮件域名要求表7-2为全国各分企业邮件域名具体规范，要求各分企业严格实施。表7-2全国各分企业邮件域名对照表企业用户邮件地址总部北京天津河北山西内蒙古辽宁吉林黑龙江上海江苏山东安徽浙江福建江西湖北河南湖南广东广西海南四川重庆贵州云南陕西甘肃青海宁夏新疆西藏华盛门户系统技术要求本部分将针对此次项目建设主机、存放、安全、门户软件等多个方面作出技术要求，对于集成应用系统用户管理、展现及单点登录提出具体技术要求和可选方案总体设计技术要求系统设计要求基于开放技术标准和体系架构，全部软硬件必需符合行业内标准技术规范方便系统未来扩展和集成要求；高度集成性，因为信息门户要集成到联通企业不一样类型应用系统，所以全部软硬件系统必需满足无缝集成要求以适应复杂体系结构；高可用性及其扩展性，系统能够支持不一样等级扩展（横向扩展、纵向扩展，混合扩展））和负载均衡机制，集成管理多个服务器和组件调度和运行，对多种异常事件提供给急方案和恢复手段，确保业务稳定、不间断（24x7x365）运行；高度安全性，系统结构基于通用安全标准，全方面考虑系统安全多个方面，提供了一个综合安全架构。系统应该含有多个基础安全特征：有完善认证和授权机制；采取防火墙技术，防范非法用户侵入，预防正当用户对关键不宜公开数据侵入；关键数据通讯采取SSL（SecureSocketLayer）等技术进行加密；系统平台提供很好易管理性、易用性，提供集成化、图形化用户端管理工具，能够方便进行管理，支持单机系统和复杂群集环境下集中统一管理。系统性能要求1． 系统设计支撑用户数：职员数*1.32． 高峰时支持最大关键单功效点并发用户数：职员数*15%3． 支持同时在线用户数（根据50％估算）：职员数*50%4． 出现登陆页面时间：不超出2秒钟5． 输入用户和口令登陆系统时间：平均时间不超出5秒钟6． 忙时CPU利用率：不超出70％7． 平均CPU利用率：不超出50％8． 忙时内存使用率：不超出90％9． 平均内存使用率：不超出60％10．Cdma1x登陆页面出现时间：不超出10秒钟（PING系统服务器包响应时间低于1000ms）11． 系统整机平均无故障时间（MTBF）不低于8000小时高可用性设计要求目录服务在用户目录系统建立以后，将向多个应用系统和业务系统提供用户目录服务，同时成为整个企业关键，所以用户目录系统必需考虑高可靠性和高可用性。一、全国目录高可用性：全国目录高可用性经过负载均衡和复制架构来确保目录高可用性。负载均衡图8-1负载均衡方法实现示意图在这种利用负载均衡实现用户目录高可靠性和高可用性实现方法中，负载均衡环境中这两台（或多台）用户目录服务器不需要共享同一个存放空间，用户数据一致性确保是经过两台（或多台）用户目录服务器之间复制来实现。这两台（或多台）用户目录服务器会同时处于运行状态，而且会同时向外提供用户目录服务。当其中一台向外提供用户目录服务用户目录服务器出现任何故障而无法运行时，负载均衡器会检测到这种问题，而且会把用户对用户目录服务请求分配到其它正在运行用户目录服务器上，对外提供用户目录服务不会因为其中一台故障而中止。当出现故障用户目录服务器恢复起来以后，用户目录服务器之间复制机制会确保她们之间用户数据一致性。目录复制两台Master服务，采取peertopeer复制，Master和slave之间采取Master－Slave复制。图8-2目录复制方法全国应用使用Slave服务器进行认证。二、总部/各省目录高可用性：考虑到硬件投资和成本，在总部和各省可采取HACMP方法来确保目录服务高可用性。基于共享存放空间HA方法图8-3共享存放空间HA方法示意图如上图所表示，利用HA软件实现用户目录高可靠性和高可用性实现方法中，HA环境中这两台用户目录服务器需要共享同一个存放空间，这种共享存放方法和存放介质能够依据具体硬件环境而有所不一样，既能够经过光纤共享SAN环境中硬盘阵列，也能够经过SCSI共享一个硬盘阵列中存放空间。在这个HA环境中，只有一台用户目录服务器处于运行状态，另外一台用户目录服务器处于停止状态。当处于运行状态用户目录服务器出现任何故障而无法运行时，HA软件会负责做IP地址和用户目录服务切换工作，从而确保用户目录服务能够在另外一台处于停止状态用户目录服务器上开启起来，而且对外提供用户目录服务。在这个HA环境中，因为两台用户目录服务器之间采取共享存放空间方法，所以两台用户目录服务器之间不需要进行用户信息同时。访问控制一、全国访问控制系统高可用性：采取硬件负载均衡设备为WebSEAL服务器提供高可用性WebSEAL采取SessionFailover功效，经过WebSEAL配置可用实现。在单台WebSEAL失效后，Loadbalance将请求发送到另一台WebSEAL，WebSEAL将使用FailoverCookie,使得用户无需再次登录。采取AIXHACMP功效，TAMpolicyserver采取Hot-Standby图8-4全国门户负载均衡及HACMP二、总部/各省访问控制高可用性：总部有硬件loadbalance，访问控制高可用性采取和全国相同架构。各省采取软件Loadbalance设备为WebSEAL服务器提供高可用性，使用WPS中Edgeserver组件。WebSEAL采取sessionfailover功效，经过WebSEAL配置可用实现。采取AIXHACMP功效，TAMpolicyserver采取Hot-Standby图8-5省分/总部门户负载均衡及HACMP身份管理一、全国身份管理高可用性：全国系统没有身份管理需求。全部身份管理全部由总部和各省来完成。总部/各省身份管理高可用性身份管理包含以下组件：DB2数据库，采取HA方法。该DB2数据库和应用公用。LDAP服务高可用性参考目录服务高可用性。因为硬件条件限制，TIM使用WAS服务器，采取单机WebSphere。在发生TIM服务器故障时，将不能实施用户身份管理。图8-6全国用户管理门户生产系统中WebSpherePortal采取了集群（Cluster）架构方法，为以后应用扩容提供了扩展能力。以后门户系统扩容能够采取2种方法：水平（Horizontal）集群：经过新增服务器，在新增加服务器上安装新WeSpherePortal并加入现有集群；纵向（Vertical）集群：经过在现有服务器上为集群再次加入已经有WebSpherePortal节点。此种扩展方法会充足利用已经有机器闲置硬件资源（CPU,内存等）。注：在全国门户系统中，提议使用水平群集加上垂直群集方法（1水平＋1垂直），充足确保系统性能和高可用性；在总部和省企业门户系统中，提议首先使用水平群集方法，在确保系统高可用性基础上，再依据系统压力情况考虑是否需要配置垂直群集。系统监控设计要求目录服务监控以下内容：目录服务进程ibmslapdDB2数据库情况DB2数据库空间Log文件访问控制监控以下内容：TAMpolicyserver进程pdmgrdWebSEAL进程(websealwindowsservice或pdweb进程)Log文件Ffdc中是否有文件生成身份管理监控以下内容：WAS进程DB2数据库情况DB2数据库空间LDAP（同目录服务）门户监控以下内容：HTTP服务WPS进程DB2数据库情况DB2数据库空间LDAP可用性注：对Portal进程和连接池使用情况能够使用TivoliPerformanceViewer监控，该工具能够在产品安装时选择。生产系统中WebSpherePortal采取了集群（Cluster）架构方法，为以后应用扩容提供了扩展能力。以后门户系统扩容能够采取2种方法：水平（Horizontal）集群：经过新增服务器，在新增加服务器上安装新WeSpherePortal并加入现有集群；纵向（Vertical）集群：经过在现有服务器上为集群再次加入已经有WebSpherePortal节点。此种扩展方法会充足利用已经有机器闲置硬件资源（CPU,内存等）。注：在全国门户系统中，提议使用水平群集加上垂直群集方法（1水平＋1垂直），充足确保系统性能和高可用性；在总部和省企业门户系统中，提议首先使用水平群集方法，在确保系统高可用性基础上，再依据系统压力情况考虑是否需要配置垂直群集。备份和恢复设计要求目录服务备份以下内容：IDS配置文件etc目录ibmslap.conf，在配置改变时备份。IDS数据采取数据导出备份方法，编写备份脚本。天天全备份。访问控制备份以下内容：Webseal配置文件安装目录下文件备份。TAMpolicyDB数据：采取TAM备份命令，编写脚本。在策略变更，TAMuser增加，改变时备份。身份管理备份以下内容：IDS配置文件etc目录ibmslap.conf，在配置改变时备份。IDS数据采取数据库方法备份，编写备份脚本。天天全备份。ITIM配置文件ITIM安装目录下conf目录，在配置改变时备份。门户WebSpherePortal备份通常可采取：在系统安装调试完成后对WebSpherePortal安装目录做全备份，当WebSpherePortal相关资源发生改变时：专题和外表增加和删除，新装Portlet和删除已经有Portlet，再次对WebSpherePortal安装目录做全备份；日常维护期间能够使用增量备份，能够采取周备份模式；WebSpherePortalDB2数据库采取周备份。安全性设计要求目录服务特权帐户安全cn=root为目录服务超级帐户。需要妥善保护和授权该帐户使用。db2instanceowner为目录服务使用数据库超级帐户。需要妥善保护和授权该帐户使用。通信安全开放端口，缺省为389（非加密），636（SSL加密）中国联通没有KPI系统，LDAP通信采取非加密方法。其它应用使用目录服务时，应使用一个帐户连接目录服务，不用cn=root超级用户使用ACL来授权用户使用目录服务访问控制特权帐户安全sec_master为访问控制超级帐户。需要妥善保护和授权该帐户使用。通信安全Policy开放端口，缺省为7135WebSEAL开发端口，缺省为7234中国联通没有KPI系统，TAM和LDAP通信采取非加密方法。WebSEAL和LDAP通信也采取非加密方法其它保护TAMpolicyDB文件不被非法访问身份管理特权帐户安全itimmanager为身份管理超级帐户。需要妥善保护和授权该帐户使用。cn=root为ITIM使用目录超级帐户。需要妥善保护和授权该帐户使用。db2instanceownerdb2中保留历史，审计信息，需要妥善保护和授权该帐户使用。通信安全基于WebSphere，安全性由WebSphere控制中国联通没有KPI系统，TIM和浏览器通信采取非加密方法。TIM和IDI通信不采取SSLTIM和Agent通信不采取SSL其它启用WAS安全性，但不启用Java2安全性。门户门户资源授权门户系统安全性经过TIM进行访问控制，门户资源授权由Portal自带个性化定制功效来实现通信安全基于WebSphere，安全性由WebSphere控制门户管理用户端使用加密方法，端口需要安装时指定PortalServer和LDAP通信采取非加密方法，端口389接口要求该部分关键针对基于LDAP系统开发接口说明，在使用LDAPAPI时，有哪些方法能够使用，那些方法怎样使用等，以下只是简单说明，具体接口说明和怎样使用，参见相关API说明。全部目录服务全部必需提供一定接口，方便于使用目录服务和管理目录服务，同时为了能够在全国范围内方便进行目录集成，要求全部目录服务必需提供基于LDAP应用程序接口（在RFC1823中定义），多种目录服务能够在此基础上进行对应扩展。使用语言提议采取Java或C完成。本节定义接口是LDAP协议中基础数据接口，许可对其进行扩展。访问接口访问接口是指目录服务用户和目录服务主机进行会话关键接口函数。通常要求全部目录服务最少提供以下接口：Open：目录服务用户经过TCP协议和服务主机建立TCP通道；Bind类接口：初始化用户和服务器之间通信会话；Unbind类接口：中止会话；Abandon类接口：取消全部处理中请求；Search类接口：查找目录数据并返回结果；Compare类接口：检验一个目录项是否含有一个特定属性。管理接口管理接口是指目录服务管理程序或用户对目录数据进行维护关键接口函数。通常要求全部目录服务最少提供以下接口：Modify类接口：更新一个目录项Add类接口：添加新目录项Delete类接口：删除目录项ModifyDN类接口：重新命名一个目录项或将一个目录移动到新位置。接口规范对于成熟软件要有成熟接口模式、文件和配置措施对于其它应用，要求有具体接口函数、对象，编码方法。编码标准概述门户关键业务功效由门户小应用程序(portlet)提供，门户应用开发实际上能够归结为一系列portlet开发。Portlet是JavaServlet一个扩展，所以，portlet开发很多方面和经典Web应用开发是一样。然而，Portal部分独特特征，如在一个页面中展现多个portlet，portleturl,porltet页面流控制，portlet之间通讯等，使Portlet应用模型变得更复杂。在进行portlet设计时，需要仔细考虑，以充足利用portal优异特征，并尽可能简化应用。编码规范部分指出了部分基础portlet设计和编码标准，符合这些标准能在很大程度上实现代码重用，并降低代码维护工作量，提升系统运行效率。在门户系统设计和编码中应符合这些标准，以避免无须要损失。Portlet设计标准在进行portlet设计时，将portlet分成三个部分：模式、视图和控制(MVC)。这种设计遵照标准面向对象设计模式，每一个部分全部是自包含并模块化。它能使维护、扩展愈加简单。模式(model)是portlet所处理和展现数据。通常数据格式包含:xml文档、数据库表或其它Web应用。模式中访问数据Java程序应该无需知道数据具体形式就能实现数据访问。理想情况下，model应该能够进行修改，而不会影响portlet应用其它部分。视图（view）是数据模式展现部分。View经过模式来实现对于数据访问，所以它应该无需知道数据具体细节。视图无需关注数据模式之间关系。视图中不应包含处理数据业务逻辑。和模式类似，视图应该相对独立并可修改。能够变更视图，而无需影响业务逻辑或模式。推荐使用（JavaServerPage）jsp来实现视图，对于需要在多个设备上展现信息，能够考虑使用XML+XSL来实现。控制(Controller)将Model和View连接在一起，并定义portlet中交互方法。控制处理从view中取得用户请求，并将它传输给合适模式对象来完成请求所对应操作。操作结果由控制器使用合适视图对象完成展现后发回给用户。控制在PortletJava类中。它经过模式访问数据，经过View展现数据。在设计portlet时,MVC是一个最为关键设计标准。Portlet通常全部会改变得很快，新portlet全部会在很大程度上以原有portlet作为基础，如常常需要让一个portlet连接到一个新数据源，展现该数据源中数据；增加新标识语言，支持移动设备访问；扩展portlet，以支持个性化等。Portlet开发标准在本部分列出了在进行portlet开发应该遵照部分标准，这些内容可能影响到系统可实现、稳定性、可维护性和效率。Portlet开发标准包含：portlet编码标准、jsp编码标准、数据管理标准和会话对象适用标准四个部分。Portlet编码：避免使用类实例变量：Portlet要求对于全部请求处理程序全部是线程安全，将变量存放在实例变量中并由多个用户进行访问可能引发冲突。向视图(jsp)传输数据时，采取javabean方法传输。充足利用portlet日志机制，方便在出现问题时能够追踪并定位问题。在代码中包含文档注释。使用数据访问服务(ContentAccessService)访问外部内容。缓存portletsetting对象和portletdata对象，避免在session中保留在以上两个对象中存在全局数据。采取Struts，Struts是一个优异架构，能够实现在portlet和servlet之间简单实现移植。JSP编码标准:JSP中只能包含HTML片段：portlet所提供内容是最终展现页面一部分，所以它不能包含<HTML>，<HEAD>和<BODY>等标识。在JSP中也应该包含<TD>等用于内容组织和格式化标签，以确保内容格式化组织，避免混乱。设计视图时考虑在同一个页面上有其它portlet。用java风格注释替换html风格注释。使用portlet风格类申明，以保持界面风格和门户管理员设计相统一。URI,HTML元素名称，JavaScript资源必需采取命名空间命名。多个portlet在同一个页面中，为了避免命名空间冲突，必需使用portletapi进行名称编码。降低对于JavaScript依靠，在不一样浏览器中，javascript实现差异较大，为了兼容多个浏览器，应该尽可能降低对于javascirpt使用，尤其要避免应用实施完全依靠于javascript。避免使用弹出式窗口：Portal是基于状态，只能够经过portal和portlet知道你操作，一旦弹出新窗口，portal就对该窗口中行为失去了控制。尽可能使用taglib。数据管理标准：使用portletsettings对象保留和用户无关配置数据。使用portletdata保留和用户相关联配置数据。使用ServletConfiguration保留静态初始配置信息，如保留安装目录或路径信息。会话管理：限制使用portlet会话来保留portlet状态信息。PortletSession是一个很方便用来保留全局数据地方。然而这么做可能会带来比较大系统开销，不管是内存还是cpu资源。对于部分比较方便重建数据，或比较大数据对象，提议在需要时重建或将其保留在数据库中以供访问。假如一个portlet需要支持匿名访问，不要使用portletsession。请求一个已存在portletsession，而不是创建一个portletsession。经过<%@pagesession=”false”%>避免在jsp中创建临时会话。门户对被集成系统技术要求对于需要在门户中进行接入，实现集成各水平应用系统，需满足下列技术要求：C/S接入系统技术要求对于中国联通企业现有C/S架构需接入门户系统，需完成系统架构由C/S变更为B/S架构，然后遵照B/S架构接入系统技术要求进行系统接入。B/S接入系统技术要求对于B/S架构接入系统，在接入时需遵照以下技术要求：修改系统界面，使接入系统或接入系统模块满足中国联通企业信息门户系统VI规范。基于IBMDominoServer平台基础开发应用系统需根据中国联通企业统一目录要求进行用户管理。其它接入系统预留统一登录、统一认证接口。接入系统需支持Form-based、HttpHeader、LTPA此三种方法一个。使用iFrame进行整体接入或单个模块接入系统需提供接入URL。对于需要实现和门户系统在数据等级通讯系统，标准上系统需要进行本身修改，使之支持iFrame接入方法。如无法完成修改，系统需提供业务数据传输接口，或提供数据文件传输。如使用XML文件传输、文本文件传输、WebServices传输等传输方法。域内应用系统集成实现方法和邮件系统集成和Exchange邮件集成用户管理接口实现方法邮件系统用户注册库使用是微软活动目录（AD），在集成时采取和目录系统用户数据完全一致数据结构，AD用户数据和目录用户数据经过用户帐号实现关联；用户数据由目录系统统一管理，不提议管理员在AD上进行用户组织增、删、改功效；当目录数据发生改变时经过IDI装配线把数据改变写入AD。展现集成方法邮件系统展现采取调整邮件系统页面展现风格，经过iFrame在门户内展现。SSO实现方法邮件系统SSO采取Form-based方法实现，因为在Exchange登录时必需要用户密码，在TAM为邮件系统创建GSO帐号，GSO帐号名为目录系统用户名，密码为目录系统用户密码。和domino邮件集成用户管理接口实现方法假如邮件系统采取IBMDominoServer作为应用服务器，邮件用户使用DominoLDAP进行管理,在集成时经过IDI将协同办公系统主用户目录（IDS）中用户信息同时到DominoLDAP中，确保DominoLDAP存放邮件用户信息和协同办公系统主用户目录信息相同。展现集成方法经过webPagePortlet(iFrame)封装各模块URL实现页面展现。SSO实现方法LTPA令牌信任机制或Form-based方法。和公文系统集成基于.net架构公文系统集成用户管理接口实现方法办公系统用户注册库使用RDBMS，在集成时采取和目录系统用户数据完全一致数据结构，办公用户数据和目录用户数据经过用户帐号实现关联；用户数据由目录系统统一管理，办公系统屏蔽掉用户组织增、删、改功效；当目录数据发生改变时经过IDI装配线把数据改变写入办公系统。展现集成方法在办公系统经过门户统一展现，展现集成方法有两种：1、开发新portlet重新实现一些应用展现逻辑；2、调整办公系统页面展现风格，经过iFrame在门户内展现。SSO实现方法访问控制系统（TAM）经过httpheader方法和办公系统实现SSO。和Domino集成用户管理接口实现方法假如公文系统采取IBMDominoServer作为应用服务器，公文系统用户使用DominoLDAP进行管理,在集成时经过TDI将协同办公系统主用户目录（IDS）中用户信息同时到DominoLDAP中，确保DominoLDAP存放公文系统用户信息和协同办公系统主用户目录信息相同。展现集成方法1）经过webPagePortlet(iFrame)封装各模块URL实现页面展现。2）开发新portlet重新实现一些应用展现逻辑。SSO实现方法LTPA令牌信任机制或Form-based方法。和经营分析系统用户管理接口实现方法采取中间表方法实现对经营分析系统用户管理（参考目录技术方案目录接口部分），经营分析系统经过读取中间表数据确保和目录系统用户一致；总部人员访问经营分析系统，经营分析系统为有权访问该系统总部用户建立相关帐号，为了实现经营分析系统帐号和目录系统人员映射，经营分析系统增加职员工号属性来实现和目录系统用户关联。展现集成方法在经营分析系统经过门户统一展现，展现集成方法有两种：1、开发新portlet重新实现一些应用展现逻辑；2、调整经营分析系统页面展现风格，经过iFrame在门户内展现。SSO实现方法经营分析SSO采取httpheader或Form-based方法实现。主机设备主机设备关键用于数据采集，集中认证，关键平台，数据分析，步骤控制等数据管理和应用处理。联通总部和各省企业应依据业务量、应用软件特点等原因考虑主机设备能力和数量，比如可依据实际情况进行一些服务器设备合设或分设。主机设备基础技术要求以下：主机系统应采取UNIX或windows等操作系统。主机系统需7×二十四小时连续运行，所以要求其含有很高安全可靠性。企业门户系统应采取双机负荷分担或热备份技术等安全可靠性技术。主机系统设备应含有合适扩充能力，包含CPU扩充、内存容量扩充及I/O能力扩充等；并可支持CPU板级升级和群集内节点数平滑扩充。可靠性：系统整机平均无故障时间（MTBF）不低于80000小时。服务器应支持目前较为流行数据库系统。处理业务量较大主机可采取并行处理技术，包含并行数据库和多节点间工作量均衡软件等。接入局域网方法：依据实际需要采取对应方法接入企业门户局域网。操作系统操作系统要求以下：操作系统支持虚拟内存管理，支持多用户、多任务、多进程和多线程；支持完全对称多处理器（SMP）；支持群集（cluster）；操作系统应最少达成C2级安全标准；提供完整软件开发环境；操作系统应提供图形化系统管理工具；支持在线诊疗和软硬件自动错误统计，在电源故障或其它紧急情况可提供自保护和自恢复；支持汉字大字符集等相关国家标准。存放备份硬件设备存放设备存放设备关键指磁盘阵列，关键实现企业门户系统数据联机存放。磁盘阵列设备是企业门户系统中数据联机存放关键资源，要求有很高安全可靠性。依据实际需要，磁盘阵列设备应可和多个厂家主机系统相连。磁盘阵列设备应能够提供多个和主机系统连接方法，如SCSI-2、FC-AL等。磁盘阵列设备应支持多个RAID存放方法，包含RAID0+1、RAID5等。磁盘阵列设备应含有较强平滑扩充能力，包含系统存放容量扩充及I/O能力扩充等。磁盘阵列应支持优异存放备份方法，比如支持存放区域网（SAN）技术等。备份设备企业门户系统中备份设备通常指大容量磁带库或光盘库等，关键用于系统数据脱机备份。依据实际需要，可采取数据库实时备份或增量备份、差异备份等备份策略。备份设备要求有良好安全可靠性。依据实际需要，备份设备可和多个厂家主机系统相连。备份设备应能够提供多个和服务器主机连接方法，如SCSI-2、FC-AL等。备份设备应含有较强平滑扩充能力，包含系统设备容量扩充及I/O能力扩充等。应支持优异存放备份方法，比如SAN技术等。数据库数据库系统基础技术要求以下：支持ANSI/ISOSQL-89、ANSI/ISOSQL-92标准；支持汉字汉字内码，符合双字节编码；支持主流厂商硬件平台及操作系统平台；数据库系统应含有良好伸缩性；支持主流网络协议（如：TCP/IP、IPX/SPX等）；含有良好开放性，支持异种数据库互访：实现对文件数据和桌面数据库数据访问；实现对大型异种数据库访问；能够将原有异种数据库向本数据库无损失移植；实现和高级语言互连能力；支持ODBC、X/OpenCLI、JDBC等标准；支持分布式事务及两阶段提交功效；含有支持并行操作所需技术（如：多服务器协同技术、事务处理完整性控制技术等）；支持网络上同构或异构数据库之间数据有效传输和冗余性复制；含有多个复制功效模块；（如：实时复制、定时复制、双向复制、多点方法下N向复制、复制转发，复制范围可整表复制或表中部分行复制或修改单元复制）；支持联机分析处理（OLAP）；支持联机事务处理（OLTP）；支持决议支持建立，要求能够实现数据快速装载、高效并发处理和交互式查询，以达成信息深层挖掘目标；支持C2或以上级安全标准、多级安全控制；支持数据库存放加密、数据传输通道加密（包含：B/S、C/S）及对应冗余控制；提供Web服务接口模块，对用户端输出协议支持HTTP、SSL等；支持联机存放和备份功效（如：磁带方法、光盘方法）；可靠性：数据库软件系统应含有强容错能力、错误恢复能力、错误统计及预警能力。含有自动备份，日志管理等功效，对任何被保护数据资源，如系统文件、应用程序文件、数据库文件等访问、拷贝或修改等操作全部应具体统计下来。任何非法存取操作应立即有告警反应到主控台上。数据库、表大小等技术参数可灵活设置，支持对多媒体数据及大数据量处理技术需求；应避免数据库死锁出现，一旦死锁能够自动解锁；含有快速并发用户查询速度，并发控制稳定可靠，多线索多进程；开发工具易使用、开发效率高、维护方便、含有将用户/服务器结构应用向Web应用转化工具；支持数据库分区技术；支持多个CASE工具。门户平台软件门户系统软件应支持常见操作系统平台：如主流Unix、Linux，Windows平台；常见数据库系统（Oracle、DB2）；常见LDAP服务器(TIDS、AD、iPlanet、Novell、Domino)。门户系统软件应提供全方面标准门户服务支持，如展现服务、Portlet框架、个性化、统计分析、单点登录、集成服务等；门户中各服务组件应能无缝地集成工作，并能够统一管理。门户系统软件应支持常见Portlet标准：如JSR168、WSRP；应支持Portlet通信技术；应支持将Portlet布署在远程服务器上以提供系统布署可伸缩性；门户系统软件应提供一个统一系统管理平台来管理门户中多种服务组件和功效。应支持根据应用或对象类型组织系统对象并设置对象安全性；应支持对象安全继承和应用安全代理机制。门户系统应支持丰富知识管理功效，提供门户内多种文档及信息资源组织和分类，定义知识目录。门户中搜索服务应支持经过一个统一搜索界面搜索门户内管理全部资源。如门户中上载文档、Web资源、其它内容源(LoutsNotes、Documentum)、门户对象（Portlet、用户、页面）；提供对于Office文档、pdf等常见文档格式支持。搜索结果应能和门户安全控制相结合。门户系统应提供针对安全、索引同时、管理任务进行自动调度；比如设置任务调度时间、周期，任务实施情况跟踪和日志等。门户系统应提供完整内容管理和信息公