概括性描述;
第四部分:门户系统总体功能,对门户的功能、门户集成的相关应用系统以及用户目录管理、认证流程进行了介绍;
第五部分:两级门户互联,概要说明了门户互联的方式,并详细介绍了几种互联技术方法,并针对全国门户、省分(总部)门户待办集成的细节做出了规范要求;
第六部分:单点登录实现,分别从门户内部、跨门户及全国门户三个方面的流程及CDSSO技术细节进行深入阐述和要求;
第七部分:网络组织,对于网络拓扑结构、门户系统与应用系统的网络互联、IP地址及DNS规划等几个方面做出了说明和规范要求;
第八部分:门户系统技术要求,对主机、存储、安全、门户软件等几个方面作出了要求,对于集成应用系统的用户管理、展现及单点登录提出具体的技术要求和可选方案;
第九部分:对总体系统的可靠性,网络安全性,信息安全性,应用系统的安全性,数据安全性进行了相关说明并提出了相关要求。 1.5 规范起草单位
本规范起草单位为中国联合通信有限公司信息化部、中讯邮电咨询设计院。 本规范增补、修订权属中国联合通信有限公司信息化部。 1.6 规范解释权
本规范的解释权为中国联合通信有限公司信息化部。 1.7 参考文献
《中国联通IT系统总体技术体制v1.0》 1.8 名词解释和缩略语
BSS:Business Supporting System,业务支持系统。
EAI:Enterprise Application Integration,企业应用集成。 ERP:Enterprise Resource Planning,企业资源计划。
LDAP:Lightweight Directory Access Protocol,轻量级目录访问协议。 MSS:Management Supporting System,管理支持系统。
Portal:门户,在本规范中指企业内部门户,是用户和管理支撑系统、业务系统之间的桥梁。门户系统将企业分散的应用和信息进行聚合,实现应用关联和信息共享,供决策支持服务。
Portlet:是基于应用系统的展现端组件,通过与应用系统的接口获得应用数据和操作功能。Portlet可以是Portal系统的一部分,由Portal系统提供工具和运行环境实现Portlet的生成、运行、授权、维护等管理工作。
SSO:Single Sign-on,单点登录,即用户登录后不需要再次提供认证信息就可以访问相关各应用系统。
CDSSO:Cross Domain SSO,跨域的单点登录,即在两个独立的安全域之间实现的单点登录。
TAM:Tivoli Access Manager 提供集中式的认证/授权/审计功能,并实现对门户及各种后台子系统的单点登陆。包括Policy Server和WebSeal两个主要的组件。
6
TIM:Tivoli Identity Manager 提供集中式的账户生命周期管理,通过TIM可以实现对各种后台子系统的账户管理,包括Domino/AD/ERP等系统的帐户信息。
IDI:IBM Directory Integrator 通过各种标准的连接器与各种账户注册表进行连接,并通过流水线对数据进行处理,从而实现账户数据的同步。
IDS: IBM Tivoli Directory Server 基于LDAP标准的LDAP目录服务器,用户信息存储在这个目录服务器中,并可以根据联通公司的需求来灵活的定义用户的属性信息.
LTPA: LightWeight Third Party Authentication,轻量级第三方认证(LTPA)的认证机制, LTPA 定义了存储在客户端上的令牌格式,运行在不同机器上的WEB 应用程序使用 LTPA实现用户认证信息的传递。
iFrame: 主浏览器窗口的一个子窗口。从运行在它上面的软件的来看,iFrame是属于它自己的窗口,能够独立于包含自己的窗口之外而独立运行。
NTP:网络时间协议(Network Time Procotol)。它的目的是在互联网上传递统一、标准的时间。具体的实现方案是在网络上指定若干时钟源网站,为用户提供授时服务,并且这些网站间应该能够相互比对,提高准确度。 2 概述
企业信息门户系统包括门户子系统和用户目录子系统。对于“中国联通企业信息门户系统”的理解,可以从以下几个方面予以直观定义:
(1) 是直接面向全部的联通员工(含各级领导,以下同)的内部信息服务界面,
以支持日常管理工作为目的;
(2) 是联通员工接触企业信息资源(获取必要的企业信息和数据、以及操作相关
的应用系统)的统一入口、统一渠道,并根据登陆门户系统的员工角色来呈现相应的信息服务功能界面;
(3) 从用户(即联通员工)体验的角度,对单点登录(SSO)的支持是门户系统的
典型特征;
(4) 对企业机构组织及员工信息,以及应用系统和信息数据资源的访问权限进行
统一管理,以确保企业信息和IT系统的安全性;
(5) 从技术实现上讲,门户系统要解决企业信息内容和应用系统的聚集,即把企
业信息通过有机的集中手段来展现、提供给用户。
门户子系统和用户目录子系统共同实现中国联通企业信息门户系统。 3 系统总体架构
本部分将从系统软件逻辑架构、两级门户架构及物理模型三个方面对内部门户系统进行概括性描述。
3.1 省分(总部)门户系统逻辑架构
7
用用用用用用用用用用用WebSphere Application Server用用用用用WebSphere Portal Server用用用用用用用用用用用用用用用用WebSeal用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用L4/Edge ServerWeb用用用用用用用用用用PDA用用HTTP用用IBM Http Server用用PortletPortletPortletPortletPortletPortletPortlet用用用用用用用用用用用用用用用用OA用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用IBM Directory Server用用用用Tivoli Access Manager用用用用用用Tivoli Identify Manager图 3-1 联通企业信息门户系统层次划分示意图
图中系统的描述了联通企业信息门户系统的层次划分: ? 用户端:中国联通信息门户系统的客户端目前考虑主要对普通的PC浏览器提供访
问支持。在条件成熟时,可以对部分用户经常需要访问的应用:如办公系统、邮件系统等提供PDA和手机等移动终端访问的支持。
? 接入层:接入层是直接接受用户访问请求的应用层,它的功能主要包括:用户的
认证、用户动态信息访问请求的转发、对于静态内容的缓存等。接入层的主要作用一方面是提高系统效率,另一方面是保障门户系统的访问安全,防止非授权的非法访问。 ? 应用层:用以提供用户管理服务和门户服务的应用。主要是门户服务引擎和用于
整合一系列后端应用的Portlet,另外在这一层还包括储存用户信息的目录服务器以及存放门户所需数据的数据库。
? 应用系统层:主要是中国联通目前已有和准备将来建设的后端应用系统。 3.2 两级门户体系架构
无论总部门户、省分门户还是全国门户,域内体系架构都按照省分或总部协同办公系统逻辑架构统一建设。为了实现互连互通的业务目标,各级门户要综合考虑实现门户互访的技术要求,下图是两级门户体系架构的示意图。
8
BrowserWebSEALTAMLTPA全国门户LDAPCDSSOHQ目录同步HQ目录同步CDSSOTIM/TAMTIM/TAM省份门户LDAP总部门户LDAPLTPALTPABrowserWebSEALCDSSOWebSEALBrowser
图 3-2 MSS系统两级门户体系架构示意图 由图3-2可以看出,为了实现两级门户体系,需要考虑以下的技术要点:
? 总部门户、省分门户和全国门户使用一致的门户平台和统一认证平台产品; ? 总部门户、省分门户和全国门户域内的结构按照总部门户、省分门户和全国门户体
系结构设计实现;
? 用户身份的确认也是通过两个单点登陆平台的CDSSO模块来实现,单点登陆系统的
CDSSO模块会按照一对一的原则对应到存储在本地用户目录中的远程用户; ? 用户通过门户中提供的特殊连接,实现跨门户的互访; ? 省分、总部、全国门户系统中用户信息需要同步;
? 针对Portal中iFrame Portlet, 采用WebSEAL的CDSSO方式来实现;
? 针对WSRP,全国Portal和总部Portal,省Portal之间采用LTPA方式,所有的Portal
服务器采取相同的LTPA Key,相同的域名,和时钟同步。采用LTPA来实现Portal和Portal之间的身份传递,WebSEAL和Portal集成也为LTPA的方式。 3.3 省分(总部)门户系统参考物理架构
门户系统物理构架需要考虑以下要求:
? 物理架构设计的原则是高性能,高可扩展性和高可用性相结合。 ? 物理架构只作为实施阶段的参考,不强制严格按照本架构实现。 具体物理架构图参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。
9
4 门户系统总体功能概述
本部分将就门户的功能、门户集成的相关应用系统以及用户目录管理、认证流程进行阐述。
4.1 门户系统应用
门户系统负责提供用户访问的安全控制手段、个性化内容展现、内容管理和门户相关服务功能等应用,具体包括: 4.1.1 用户管理
提供企业门户用户信息的管理手段,并与统一访问控制管理的人员目录管理机制相结合,为实现通过门户系统访问内部资源的单一登录机制提供人员信息基础。 4.1.2 认证管理
提供支持多种认证方式,包括静态密码、动态密码、数字证书等,对用户访问进行身份认证。同时,可以直接利用已有系统中的用户账户信息,进行身份认证。 4.1.3 访问策略管理
为用户访问门户系统提供信息访问权限控制、访问渠道管理等多种功能,并为个性化服务提供访问策略控制定义。 4.1.4 安全管理
提供防侵入、防病毒等手段,保证企业内部资源的安全。同时,提供负载均衡、容灾等机制,保证系统的高效性和安全可靠性。 4.1.5 个性化服务
在系统统一控制管理的基础上,为员工提供个性化的管理平台。访问者可以根据自身工作性质和对企业资源的访问需求,设置个性化的访问界面,并通过这种个性化的服务查阅、管理相关的信息。 4.2 企业应用集成
企业应用集成包括分布在中国联通总部和各省分公司现有的信息系统,主要包括OA、邮件、经营分析等系统。 4.3 统一的用户目录管理
统一企业信息资源管理主要实现对企业内部所有的人员、组织、工作组、角色、应用系统等信息的统一保存和管理,为门户系统提供认证、访问授权和资源管理服务。
统一信息资源管理一般通过LDAP技术以目录服务的形式实现。
关于目录对象的具体定义、目录服务的管理和集成,参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。
10