格。
(4)可以自定义主题风格,既可设置整个页面,也可设置单个Portlet(如字体、字体颜色等);可以即时切换页面布局和页面风格。
(5)用户可以对Portlet进行二次开发,满足个性化需求。 4、个性化
针对不同的对象(学生、教职工、管理人员及公众),可以定义不同的业务流程与个性化界面,进而提供不同的服务模式和服务内容。
5、内容管理
提供企业级的内容管理服务,可编辑并发布信息门户内容,还可实现全生命周期的内容管理。
(1)统一内容管理:任何内容只需创建一次,即可在各种应用中使用;各种内容可定时发布到门户网站上,可定时从门户网站上撤消,还可集成到相关应用系统中。
(2)将内容管理与统一身份认证平台集成,实现内容访问控制。 (3)支持内容和文档的签入/签出及版本管理。
(4)采用所见即所得的内容编辑器,支持内容同文档、图片、影音文件的灵活合成,可以在内容中引用文档、插入图片、链接影音文件。
(5)提供文档元数据管理,自动识别嵌入的文件类型。
(6)支持文件格式转换,包括常见的文档文件、图片文件和影音文件格式。 6、信息发布
提供信息发布与管理功能,包括内容编辑、内容版本管理、内容类型管理、内容审核、发布日期和时间的控制等。
(1)可以根据需要随时增加Portlet作为新的栏目或专题。
(2)使用所见即所得的在线编辑器,编辑将要发布的内容;使用页面预览功能,即可看到页面实际效果;还可查看内容加入网站主页、栏目或任何页面中的整体效果。
(3)可以为将要发布的信息设置发布日期、有效期限、撤消日期。
(4)支持工作流:对于特定的信息发布,可以设置审批工作流程,通过批准后才可以发布。
(5)可以设置信息发布的目标站点,支持同一信息同时发布到多个站点。 7、内容搜索
基于企业级的内容管理服务,支持内容搜索服务。
(1)提供广泛的搜索范围,包括网页、文档、邮件、数据等。
(2)基于访问权限的搜索:只有具有访问权限的用户,才能搜索到相应的内容。 (3)支持多种搜索条件:与、或、大于、小于、通配符及联合查询;还可指定搜索范围。
8、监控与分析
提供监控与分析组件,对信息门户的运行进行全方位地监控与分析。
常用指标包括:用户登录情况,用户访问流量,用户停留时间;各个Portlet使用流量,各个Portlet响应时间;搜索关键词统计;各个文档的浏览与下载流量。
9、国际化
(1)支持不同语言的显示和输入;可以切换到任何一种语言;可以添加新的语言。 (2)可以管理多种语言的页面,可以支持多种语言的网站和WEB应用。 10、灵活的系统管理和严密的安全控制
(1)提供全面的WEB管理功能,可以远程管理服务器。
(2)支持联盟化身份管理(包括添加新用户、授权、激活和撤消等功能)和单点登录。
第 16 页 共 66 页
(3)严密的授权管理功能,可以对整个网站、组织、用户组或某个Portlet的某个属性设置权限;支持基于角色的访问控制。
(4)通过限制访问者IP、限制用户、限制用户访问时间,有效保障门户安全。 三、信息门户特点
1、支持服务器集群部署,提供负载均衡和故障转移功能,并通过页面缓存机制提高服务器的整体性能。
2、基于多站点运行机制,统一管理多站点、多用户群(即在同一信息门户中运行分支网站)。
3、支持模块化组装、自动热部署Portlets,可以快速增改信息门户功能模块。 4、支持Portlets之间一对一、一对多、多对多等不同的通信模式,以满足不同应用场景需要。
5、采用插件机制,很容易同任何身份认证系统与授权管理系统集成。
6、信息门户部署在标准J2EE应用服务器之上,可以在单台服务器上垂直扩展,确保系统运行的可靠性;还可以在多台服务器上水平扩展,提高系统运行的整体性能;能够支持10万级注册用户量、5000以上页访问并发数。
第四章 统一身份认证平台
统一身份认证平台构建并维护用户基本信息库(含国别、身份证号、姓名、性别、出生日期、照片、帐号(卡号)、密码(采用单向加密算法进行加密存储)与用户身份(教职工/学生/校友/特殊访问者)),为每一个用户提供唯一的电子身份;构建并维护应用服务注册信息库,为每一项应用服务提供唯一的电子身份;构建公钥基础设施(PKI)、认证机构(CA),采用安全套接层协议(SSL),实现数字校园综合管理平台安全、可靠的统一身份认证与网上数据传输;支持Liberty ID_FF V1.2规范,支持轻量级目录访问协议(LDAP)、活动目录(Active Directory),支持跨域部署模式。
一、统一身份认证机制
统一身份认证平台包括如下两个部分:
(1)统一身份管理:统一用户管理,将分布在信息门户及各个应用系统中或设备上的用户信息集中管理;统一用户权限管理,用户可以简便快捷地访问相应的应用服务与信息资源。
(2)统一认证管理:采用单点登录技术,实现用户访问信息门户及各个应用系统的统一认证;用户只要通过认证一次,即可访问相应的应用服务和信息资源。
统一身份认证平台逻辑结构如下:
第 17 页 共 66 页
二、统一身份认证功能 Ⅰ、统一身份管理 1、用户管理
(1)支持主流系统软件及各种应用软件的用户管理。其中,系统软件包括:
操作系统:Microsoft Windows,Solaris,Red Hat Linux,IBM AIX,Novell Netware,Hewlett- Packard UX。
目录服务系统:OpenLDAP,IBM Directory Server,Microsoft Active Directory,Oracle Internet Directory,Oracle Directory Server Enterprise Edition,Novell eDirectory。
数据库管理系统:Oracle,Microsoft SQL Server,IBM DB2,Sybase Adaptive Server。 (2)支持用户帐号的创建、删除、修改。 (3)支持按计划创建、回收用户帐号。
(4)支持分校区、分部门、分职位管理用户帐号。
(5)可将统一身份认证平台的用户帐号与各个应用软件的用户帐号进行关联。
(6)支持密码策略灵活设置:对于不同的应用软件,可根据需要设置不同的密码强
第 18 页 共 66 页
度、更改周期、密码字典。
2、权限管理
采用基于角色的权限管理策略: (1)定义若干角色。
(2)对于某一角色,赋予若干功能项。
(3)对于某一角色,赋予若干用户;对于某一用户,赋予若干角色。 (4)对于某一角色/用户,赋予若干校区。 (5)对于某一角色/用户,赋予若干部门。 3、用户同步
(1)用户信息导入:将应用软件已有的用户信息通过适配器导入到统一身份认证平台中;支持全量导入和增量导入两种方式。
(2)用户信息同步:将应用软件已有的用户信息通过同步组件同步到统一身份认证平台中;支持手动同步和自动同步两种方式。
(3)孤子帐号的发现、禁用、清理。统一身份认证平台可以发现应用软件中的所有孤子帐号(即存在于应用软件但不存在于统一身份认证平台的用户帐号),并根据预先定义的办法完成相应处理(通知系统管理员,或直接禁用,或直接清理,或自动同步)。
4、工作流支持
(1)建立规范的审批流程,管理用户帐号与用户权限;审批者可以是指定的用户/角色,还可以是符合预定条件的用户/角色。
(2)建立规范的流程,自动同步用户帐号。用户帐号的提供者可以灵活指定。 5、日志和安全审计
提供完整的日志报告并定期归档。
日志报告包括用户的帐号变更、角色变更与权限变更,还包括登录信息与操作信息。
可以根据日志报告生成各种报表,方便安全审计。 Ⅱ、统一认证管理
(1)找回密码:帮助忘记或丢失密码的用户重新设置登录密码。
(2)认证网关:提供与统一身份管理的接口,接受统一身份管理发送过来的用户登录凭证(帐号、密码、约定认证码)对用户身份进行统一认证,实现单点登录(无需知道相关应用软件的用户登录密码)。
(3)认证客户端:部署在应用软件中,实现单点登录;其中,应用软件包括Windows客户端应用(与开发工具无关)、Java客户端应用(与操作系统无关)、Web应用(与浏览器无关)。
(4)认证管理器:对于不同的应用,可以根据安全需要配置相应的认证方式。
(5)自助终端管理器:实时检测终端设备的会话,处理长时间空闲状态的用户,实现安全应用退出或强制用户注销。
三、统一身份认证特点
1、完整性:提供完整的身份认证解决方案;支持基于数据、目录服务、虚拟目录服务、用户同步、联邦认证和Web Services接口的身份认证。
2、开放性:支持主流的LDAP产品、Portal产品和J2EE 应用服务器产品;支持主流的技术标准,包括LDAP V3、X509(一种通用的数字证书格式)、DSML(目录服务标记语言)、SAML(安全断言标记语言)、Liberty Alliance ID-FF1.x(自由联盟身份联合框架)等。
3、兼容性:支持Windows客户端应用(与开发工具无关)、Java客户端应用(与操作系统无关)、Web应用(与浏览器无关)。
第 19 页 共 66 页
4、可扩展性:既可通过身份认证插件集成各种身份认证方式和设备,还可通过平台提供的应用程序接口(API)开发各种身份认证方式;既支持简单认证方式(帐号、密码),又支持强认证方式(数字证书、令牌、智能卡、生物识别(如指纹识别)等)。
5、高可靠性:采用集群、死机检测和重启、失败隐藏、容错、负载均衡等机制,确保平台全天候稳定运行。
第五章 公共数据交换平台
公共数据交换平台采用主流的数据集成中间件,构建与维护数字校园综合管理平台信息标准,构建与维护数字校园综 合管理平台中心数据库,在共享公共数据基础上整合与集成各种应用软件,通过数据驱动、事件驱动和服务驱动将公共数据从应用数据库抽取到中心数据库,通过向 应用软件提供丰富接口实现公共数据向应用数据库的同步,确保数字校园综合管理平台数据的完整性、准确性与一致性。
公共数据交换平台逻辑架构如下:
第 20 页 共 66 页