1、IT 系统企业内部门户集成规范(V 1.0)QB xx20122012-X-X 发布 2012-X-X 实施IT 系统企业内部门户集成规范秦山核电公司机密文件 第 2 页 共 20 目 录秦山核电 IT 系统 .1企业内部门户集成规范 .1(V 1.0) .1前 言 .31 范围 .42 规范性引用文件 .43 缩略语和术语定义 .43.1 缩略语 43.2 术语 54 总则 .64.1 编制目的 64.2 适用范围 64.3 文档结构 65 总体概述 .75.1 系统定位 75.2 建设目标 75.3 设计原则 86 系统集成描述 .96.1 总体集成架构图 96.2 应用集成 10IT 系
2、统企业内部门户集成规范秦山核电公司机密文件 第 3 页 共 20 前 言XX 有限公司管理着我国第一座自主设计、建造的核电站,现在已经有一至三期工程,分别分为一厂、二厂、三厂。同时为了更好的管理运营,还成立了联营公司专门负责整个公司的日常运维和管理工作。XX 有限公司为了推动了企业发展的步伐。在新形势下,尤其在企业融合阶段,面临制度、组织、文化、业务等多重融合,信息化系统的支撑作用显得尤为重要。管理信息系统作为辅助企业内部管理和运营支撑的后台保障力量,对企业高效运作起到至关重要的作用。从秦山核电现实情况出发,完善的管理信息系统对组织融合、业务融合、机制融合等各个方面都是不可或缺的有益资源。企业
3、信息应用系统作为 IT 管理信息系统的重要组成部分,其核心就在于聚合秦山核电内部资源,集成日常办公应用,助力秦山核电摆脱信息孤岛,连接办公流程与业务流程,最大化工作效率。企业信息应用系统主要包括办公系统和通信服务系统等,鉴于目前企业内部门户系统主要服务对象为办公、管理相关类应用,本次规范中也包含企业内部门户系统。由于规范编制过程充分考虑规划的基本思想和目标,本次规范将作为秦山核电今后两到三年管理办公类系统建设所遵从的依据。本规范为秦山核电 IT 系统企业内部门户系统集成规范,主要指导秦山核电门户系统的总体部署和工程建设。IT 系统企业内部门户集成规范秦山核电公司机密文件 第 4 页 共 20
4、1 范围本规范描述了秦山核电 IT 系统内部门户系统应用集成、集成技术要求等内容,明确了应用系统与其他系统及应用的集成约束条件和技术比选。2 规范性引用文件3 缩略语和术语定义3.1 缩略语表 3-1 缩略语缩略语 英文描述 中文解释AD Active Directory提供了一系列集中组织管理和访问网络资源的目录服务功能HR Human Resources 人力资源管理系统LDAPLightweight Directory Access Protocol轻量级目录访问协议SSO Single Sign-on单点登录,即用户登录后不需要再次提供认证信息就可以访问相关各应用系统TAM Tivol
5、i Access Manager提供集中式的认证/授权/审计功能,并实现对门户及各种后台子系统的单点登录。包括 Policy Server 和WebSeal 两个主要的组件。TIM Tivoli Identity Manager提供集中式的账户生命周期管理,通过 TIM 可以实现对各种后台子系统的账户管理,包括 Domino/AD/ERP 等系统的帐户信息IT 系统企业内部门户集成规范秦山核电公司机密文件 第 5 页 共 20 缩略语 英文描述 中文解释TDIIBM Tivoli Directory Integrator通过各种标准的连接器与各种账户注册表进行连接,并通过流水线对数据进行处理,
6、从而实现账户数据的同步TDS IBM Tivoli Directory Server基于 LDAP 标准的 LDAP 目录服务器,用户信息存储在这个目录服务器中,并可以根据联通公司的需求来灵活的定义用户的属性信息LTPALightWeight Third Party Authentication轻量级第三方认证(LTPA)的认证机制, LTPA 定义了存储在客户端上的令牌格式,运行在不同机器上的 WEB 应用程序使用 LTPA 实现用户认证信息的传递SPNEGOSimple and Protected GSSAPI Negotiation Mechanism简单和受保护的 GSS-API 协商
7、机制3.2 术语表 3-2 术语名词 解释目录是一种专门的数据库,它服务于各种应用程序,包括 LDAP(轻量级目录访问协议)目录和基于 X.500 的目录。这些目录都是通用的标准的目录iFrame 主浏览器窗口的一个子窗口Portlet基于 Portal 的展现端组件,通过与应用系统的接口获得应用数据和操作功能IT 系统企业内部门户集成规范秦山核电公司机密文件 第 6 页 共 20 名词 解释Portal门户,在本规范中指企业内部门户,是用户和管理支撑系统、业务系统之间的桥梁。门户系统将企业分散的应用和信息进行聚合,实现应用关联和信息共享,供决策支持服务Kerberos 协议主要用于计算机网络
8、的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务4 总则本规范适用于秦山核电门户系统的规划、建设、运行和管理。秦山核电在此之前的文件与本规范不一致的,以本规范为准。4.1 编制目的随着产业变革的深化以及新联通融合进程的深入,管理效率和运营效率提升成为辅助内外部高效运作的重要保障。为了满足 XX 有限公司管理需要,建立基于网络的全面管理信息系统是现代企业管理的迫切需要。为了遵循 XX 有限公司构建高效、快速的管理信息系统,使企业的知识成果、管理成果和业务成果完整积累,使有效信息
9、快速沟通和共享,使工作过程得到记录,使工作效率得到提高,使信息分析和管理决策快捷高效,使员工的知识和经验转化为组织的知识资本。建立依赖信息流程而不受制于个人行为的组织运转机制,从而保证企业运行的透明、规范和有序。特制定本规范。4.2 适用范围本规范的制订旨在指导并规范秦山核电内部门户系统的建设。本规范从总体上描述了秦山核电内部门户系统的支撑架构,对内部门户系统集成架构和实施要求进行了详细描述。4.3 文档结构秦山核电内部门户系统集成规范的文档共分为六个部分:第一部分:范围,描述本规范使用的范围;第二部分:规范性引用文件,描述本规范所参考或引用的历史规范、规划等IT 系统企业内部门户集成规范秦山
10、核电公司机密文件 第 7 页 共 20 文本依据;第三部分:缩略语和术语定义,针对本规范正文中所出现的英文缩略语和专业术语,进行概括性解析;第四部分:总则,描述本文的编制目的、适用范围、文档结构等内容;第五部分:总体概述,从系统定位、建设目标、设计原则、总体设计等方面对规范进行了概括性描述;第六部分:系统集成描述,针对系统集成架构、应用系统集成和门户自身应用集成等功能及技术进行详细描述。5 总体概述5.1 系统定位 专 业 应 用 系 统门 户应 用管 理 信 息 发 布 服 务电 子 公 文 管 理 e-HR财 务 管 理采 购 管 理接口协 同 办 公 流 程 管 理多 渠 道接 入 无
11、线 接 入DCNVPN 统 一 门 户 系 统统 一 门 户 系 统 PMS用 户 管 理 与 认 证办 公 系 统办 公 系 统 通 信 服 务 系 统通 信 服 务 系 统辅 助 办 公融 合 应 用 服 务 接口接口 接 口其 他 服 务 电 子 邮 件即 时 通 信Voice Mail图 5-1 秦山核电内部门户系统内部门户系统聚合内部复杂的管理系统和业务系统,实现对企业内部协同办公管理流程、人财物资源管理、统计分析等流程的有机集成;实现办公应用集中展现,促进工作效率最大化;同时,提供信息服务集中展现,增强信息管理有效性。5.2 建设目标秦山核电门户系统的总体建设目标如下: 用户目录管
12、理和统一身份认证; 实现企业信息内容和应用系统的聚合;IT 系统企业内部门户集成规范秦山核电公司机密文件 第 8 页 共 20 内部员工访问企业信息资源的统一入口; 统一管理各类与门户集成的系统帐号; 统一管理用户使用被集成应用系统的相关系统处理流程,包括帐号维护、权限维护、用户信息管理等相关流程; 实现门户应用,即门户集成本地各业务应用。5.3 设计原则5.3.1 实用、先进、可持续发展参照国际上先进的办公业务处理框架,汲取国内外核电企业 IT 系统建设中正反两方面的经验教训,结合秦山核电管理、业务发展和办公系统现状,认真处理好支撑当前业务快速发展的基本需求与加强基础性工作并提高系统质量之间
13、的矛盾,兼顾实用、先进与可持续发展三方面因素。5.3.2 规范化、标准化规范化、标准化是指应用系统的功能建设和系统管理都要制定统一、标准的规范,按标准的方式进行。标准化可以有效地减少系统建设和维护的工作量。未来三年中,逐步制定统一的技术规范和标准,逐步实现系统数据模型、业务功能模块、应用功能、业务流程及对外接口的扩展和标准化。整个系统的开发,硬件、软件的配置也尽可能做到统一化和标准化。5.3.3 系统扩展性系统的建设应当充分考虑 IT 系统的整体规划,在保证系统的正常管理支持的同时,具备逐步整合展现内部管理系统资源的能力。5.3.4 保密性、安全性门户系统的用户有各种权限级别和应用层次,因此在
14、系统设计时,应该既能保证不同用户高效、快速地访问控制授权范围内的系统资源,也能有效地阻止用户之间的非法侵入、非授权访问。门户系统设计时应充分考虑网络的稳定性、带宽、安全可靠性以及与其它网络、系统的互联互通。还要提供用户访问门户系统的身份认证手段、信息传输加密及访问授权等功能。5.3.5 面向企业内部用户IT 系统企业内部门户集成规范秦山核电公司机密文件 第 9 页 共 20 门户系统的使用对象为秦山核电内部用户,根据用户职务、职位、岗位职责、角色的不同,能使用门户系统中不同的功能模块,实现整体部署、个性化应用。5.3.6 模块化设计门户系统所有功能经分析后分解为模块,分别设计,组装使用,通过简
15、单配置即可扩展流程和功能。任意模块的故障不能导致其他模块的不可使用。5.3.7 最大限度满足业务需求遵循充分利用现有资源,从用户体验,业务功能方面尽最大可能满足用户需求。6 系统集成描述6.1 总体集成架构图门 户 集 成应 用 系 统 集 成集 成 技 术 要 求B / S集 成 要 求帐 号 单 点 登 录展 现门 户 应 用 集 成基 本 应 用 核 心 应 用 其 他 应 用图 6-1 总体集成架构图IT 系统企业内部门户集成规范秦山核电公司机密文件 第 10 页 共 20 总体集成架构说明如下: 门户的集成包括应用系统的集成和门户应用的集成,其中应用系统的集成包括集成技术的要求和集成
16、要求;门户的集成应用包括门户的基本应用、核心应用和其他应用系统; 被集成的应用系统需要求为 B/S 结构;所有与门户集成的应用系统需满足帐号、单点登录、展现三个方面的集成要求。6.2 应用集成6.2.1 应用系统集成要求门户系统整合应用系统包含三个方面的集成:1) 帐号集成;2) 单点登录集成;3) 门户展现集成。所有与门户进行集成的应用系统必须遵循以上三点集成要求。6.2.1.1 帐号集成应用系统帐号集成是实现单点登录的基础,帐号集成有以下几种方式: 1) 不通过帐号管理平台的情况下,应用系统连接目录数据中间库读取用户数据,建立应用子帐号与主帐号的映射关系。具体流程请参看下图:IT 系统企业
17、内部门户集成规范秦山核电公司机密文件 第 11 页 共 20 目录目录用户数据库应用系统 1数据同步应用系统 2 应用系统 3图 6-2 子帐号与主帐号映射关系示意2) 通过帐号管理平台接口的情况下,应用系统提供接口,由帐号管理平台调用该接口创建应用系统子帐号。具体流程请参看下图:IT 系统企业内部门户集成规范秦山核电公司机密文件 第 12 页 共 20 O A 系统存 储 子 帐 号 信 息O A _ A A A / 1 2 3. . . _ A A A / 1 2 3存 储 子 帐 号O A _ A A A / 1 2 3. . . _ A A A / 1 2 3O A 系统接口1. .
18、. 系统访问控制系统. . . 系统接口帐号管理平台创 建 O A 系 统 访 问 帐号 O A _ A A A / 1 2 3创 建 H R 系 统 访 问 帐号 . . . _ A A A / 1 2 3帐号创建策略 :例如 : O A 系统产生以“ O A ” + 主帐号 为规则的子帐号 , 密码初始化为 “ 1 2 3 ”11图 6-3 接口方式帐号同步示意从长远管理目标来看,为更好地贯彻实施“统一用户身份”的管理目标,要求新建的被集成应用系统必须通过接口方式,即应用系统提供接口,由帐号管理平台调用该接口创建应用系统子帐号,实现系统集成。 6.2.1.2 单点登录集成建议通过使用访问控
19、制系统实现应用系统单点登录,这里建议通过以下四种方式实现:4) LTPA;5) Form-Based SSO;6) HTTP Header;7) SPNEGO 协议和 Kerberos 认证。6.2.1.2.1 LTPA(Lightweight Third-Party Authentication)WebSphere 和 Domino 提供基于 cookie 的轻量级第三方认证机制( LTPA),可以配置 WebSEAL,连接支持 LTPA 的应用系统,并为客户机提供单点登录功IT 系统企业内部门户集成规范秦山核电公司机密文件 第 13 页 共 20 能。当用户发出对 WebSphere 资源
20、的请求时,必须首先向 WebSEAL 认证。用户认证成功后,WebSEAL 代表用户生成 LTPA cookie。作为 WebSphere 认证标记服务的 LTPA cookie 中包含用户标识、密钥和标记数据、缓冲区长度以及到期信息等,这些信息使用 WebSEAL 和 WebSphere 之间共享的受密码保护的密钥加密。WebSEAL 在请求的 HTTP 头中插入 cookie,该请求通过连接发送到WebSphere,后台的 WebSphere 服务器接收请求、解密 cookie 并基于 cookie 中提供的标识信息来认证用户。LTPA 的认证机制可以支持 IBM 的三个主要产品( IBM
21、 Tivoli Access Manager for e-Business、WebSphere Portal、Lotus Domino)之间的用户认证,针对秦山核电的现状,要求在和现有 IBM 产品进行集成的时候,可以采用这种基于LTPA 的认证机制。6.2.1.2.2 Form-Based SSO基于表单的单点登录功能,允许 WebSEAL 将已认证的 Tivoli Access Manager for e-Business 的用户,透明地登录到需要通过 HTML 表单认证的后台系统中,具体的登录步骤可以参看下图:图 6-4 基于表单的单点登录实现示意图利用这种实现单点登录的方式,WebSE
22、AL 需要把用户名和密码提交给后台的应用系统来完成认证工作,因此需要在 TAMeb 中,维护一套 TAMeb 用户和后IT 系统企业内部门户集成规范秦山核电公司机密文件 第 14 页 共 20 台应用系统中用户名/密码的对应关系表,例如:表 6-1 用户名/密码的对应关系表TAMeb 用户:zhangsan应用系统名 用户名 密码应用系统 A Zhangsan qwe123应用系统 B Zhangs qwe125应用系统 C zhang_san asd123如果 TAMeb 的用户名/密码和后台应用系统中的用户名/密码一致的话,这部分的工作会简化很多。这也是本规范要制定统一的用户账号命名规范和
23、统一用户管理的一个主要目的。6.2.1.2.3 HTTP Header利用这种认证方式,WebSEAL 可以把经过认证的用户身份信息(可以包括所有我们在 inetOrgPerson 对象类中定义的用户属性)从用户目录中获取到,通过HTTP Header 传给后台的应用系统,后台的应用系统可以从 HTTP Header 中把这些用户信息截取出来,通过一个属性或者多个属性来确认用户身份,从而实现单点登录的功能。这种单点登录的方式需要后台应用系统进行相应的修改,使它可以识别 HTTP Header 中的用户信息。6.2.1.2.4 SPNEGO 协议和 Kerberos 认证Microsoft 提供
24、了一种认证解决方案,该方案使 Windows 客户机能够使用 IE 浏览器访问 Microsoft Internet Information Server(IIS)上的应用系统而无需重新认证。此单点登录解决方案依赖于专有的 Microsoft HTTP 认证机制。IBM Tivoli Access Manager WebSEAL 提供等价的认证解决方案,使 IE 客户机能够访问 WebSEAL 服务器而无需重新认证。这表示有 IE 浏览器的用户可以访问受 Tivoli Access Manager 保护的资源而无需再次输入他们的用户名和密码。WebSEAL 提供与 Microsoft 使用的
25、HTTP 认证方法相同的实现。此实现由两部分组成: 简单和受保护的 GSS-API 协商机制(SPNEGO) Kerberos 认证IT 系统企业内部门户集成规范秦山核电公司机密文件 第 15 页 共 20 SPNEGO 协议机制使 WebSEAL 能够与浏览器协商以建立要使用的认证机制。浏览器提供 Kerberos 认证信息。当处理要访问受 Tivoli Access Manager 保护的资源的用户请求时,WebSEAL 知道如何使用用户的 Kerberos 认证信息。具体的登录步骤参看下图:目 录安 全 网 关门 户用 户 访 问获 取 帐 号 信 息返 回 帐 号 信 息S S O基
26、于 用 户 身 份 信 息 获得 用 户 角 色A D 域 控 制 器用 户 认 证认 证 结 果 图 6-5 认证信息登录步骤图1) 用户以域用户身份登录桌面工作站,打开 IE 浏览器,输入门户地址;2) IE 连接 AD 域控制服务器,获取用户凭证,将用户凭证封装好发送给安全网关;3) 安全网关将接收到的用户凭证信息提交到 AD 域控制器验证;4) 安全网关获取到 AD 域控制器验证成功的信息后,从目录获取访问门户帐号信息,登录门户成功。6.2.1.2.5. 四种单点登录方式比较以上四种实现单点登录的方式所能够支持的应用系统、优缺点以及建议如下:表 6-2 四种单点登录方式比较表LTPA
27、Form-Based SSO HTTP HeaderSPNEGO 协议和 Kerberos 认证支持的应用系只能支持IBM 的产品 可以支持各种使用表单登录的可以支持各种 Web应用只能支持Microsoft 的产IT 系统企业内部门户集成规范秦山核电公司机密文件 第 16 页 共 20 统 Web 应用 品优点 集成度极高不需要对后台的应用系统进行修改集成度比较好集成度比较好缺点只能适用于IBM 自己的产品需要建立一个用户关系对应表;它维护了登录到TAMeb 的账户与其他后台应用系统中账户的对应关系,包括登录后台应用系统的用户名和密码。1、需要对后台应用系统的认证模块进行修改。2、用户在 T
28、AMeb 中的用户名最好和后台应用系统中的用户名相同。配置麻烦,AD 帐号信息必须和目录中的帐号信息保持一致建议对Websphere Portal Server 和Domino 使用这种方式进行单点登录对无法修改登录页面,或者用户命名规范和我们这次完全不同的应用系统可以使用这种方式对于以后新建的应用系统,以及可以修改登录页面,并且用户命名规范符合我们要求的应用系统可以使用这种方式对以域用户登录桌面工作站的场景使用这种方式进行单点登录6.2.1.3 门户展现集成应用系统在门户的展现通过 portlet 来实现;这里主要提供 3 种方式的 portlet来嵌入 Web 应用:1) 自定 portl
29、et2) RSS portlet3) IFrame portletIT 系统企业内部门户集成规范秦山核电公司机密文件 第 17 页 共 20 自定义 p o r t l e t应用系统 1应用系统 2应用系统 3. . . . . .R S S p o r t l e tI F R A M E p o r t l e tp o r t l e t 实例p o r t l e t 实例p o r t l e t 实例p o r t l e t 实例p o r t l e t 实例门户页面 P o r t l e t 容器门户系统封装为 p o r t l e t提供 x m l 信息提供 U R
30、 L图 6-6 门户展现集成图6.2.1.3.1 自定义 portlet通过将表示层移植到自主开发的 Portlet 来集成这些 Web 应用程序。通过此方法可利用 WebSphere Portal 用于提供一致外观的功能,还能利用其他功能(如安全性、个性化、协作 Portlet、内容/文档管理、搜索、可伸缩性/可用性功能等)和各种设备支持。 6.2.1.3.2 可配置 RSS PortletRSS(Really Simple Syndication)是一种描述和同步网站内容的格式,是目前使用最广泛的 XML 应用。应用系统提供 RSS 格式的内容,通过门户的 portlet 在门户上进行展现
31、。应用系统通过 RSS 格式发布资源。portlet 通过 http 协议访问应用资源。应用返回给 portlet xml 格式数据包。Portlet 把收到的 xml 格式数据展现在门户页面上。Portlet 支持表格、图表、图形等方式展现。Portlet 可以配置,允许用户自定义展现方式,配置展现的资源 URL。6.2.1.3.3 创建自定义的 iFrame Portlet假定用户希望使用 iFrame,但要提供 Web Page Portlet 之外的其他功能。用户可以将 iFrame 嵌入到 Portlet JSP 中并对 iFrame 名称进行编码(使用命名空IT 系统企业内部门户集
32、成规范秦山核电公司机密文件 第 18 页 共 20 间),从而编写自己的 iFrame Portlet。 应用系统把内容发布为具体页面,应用系统实现表现逻辑和业务逻辑。iFrame portlet 可以配置,允许用户配置展现资源的 url。6.2.2 门户基本应用集成6.2.2.1 待办/待阅集成6.2.2.1.1 待办/待阅参考模型待办/待阅参考模型下图所示:统一待办展现待办信息管理应用系统 1统一待办数据库应用系统 2R S S 接口门户系统数据同步展现集成统一待办图 6-7 待办/待阅参考模型图待办/待阅参考模型说明如下:1) 待办/待阅模块提供门户系统集成的展现页面;2) 待办/待阅信
33、息管理模块通过读取待办/待阅数据库或者调用应用系统的RSS 接口提供展现页面待办 /待阅信息;3) 应用可以提供 RSS 接口或数据库接口实现集成。6.2.2.2 信息类展现企业内部门户系统应整合各应用中的信息类应用并加以展现。信息类应用包括公司内部发布的通知和公告,以及公司发布的新闻等。集成要求: 信息类应用提供实现门户单点登录的接口;IT 系统企业内部门户集成规范秦山核电公司机密文件 第 19 页 共 20 信息类应用提供门户首页集成的内容页面,要求提供的内容页面满足企业 VI 规范,如通知公告和新闻的展现; 信息类应用提供门户其他页面集成的内容页面,要求提供的内容页面满足联通 VI 规范
34、,如规章制度等。该嵌入功能根据实际情况选择是否实现。6.2.2.3 其它内容展现对其他应用的展现要求如下: 在企业内部门户系统中,用户可以通过点击链接访问以上描述的内容; 在企业内部门户系统中,用户可以通过点击链接访问通讯录; 在企业内部门户系统中,用户可以通过点击链接访问系统使用帮助; 在企业内部门户系统中嵌入提供的信息搜索和发送短信应用; 在企业内部门户系统中通过友情链接的地址,打开相应网站的网页。6.2.2.4 对被集成应用系统的展现要求对于已经在门户系统进行子帐号创建操作,但应用系统尚没有分配应用权限、因故延迟或无法提供应用服务、因故暂时不能向相应用户提供服务等情况时,用户通过门户访问
35、应用系统时,尽量不要展现“错误”页面,而是提供较为友好的“欢迎页面”,以提升用户感知。6.2.3 C/S 接入系统技术要求对于现有的 C/S 架构需接入门户的系统,可根据实际需要完成系统架构由C/S 变更为 B/S 架构,然后遵循 B/S 架构接入系统技术要求进行系统接入。6.2.4 B/S 接入系统技术要求对于 B/S 架构接入系统,在接入时需遵循以下技术要求:1) 修改系统界面,使接入系统或接入系统模块满足企业信息门户系统 VI 规范;2) 基于 IBM Domino Server 平台基础开发的应用系统需按照统一目录要求进行用户管理。其他接入系统预留统一登录、认证接口。接入系统需支持 Form-based、HttpHeader、LTPA 此三种方式的一种;3) 使用 iFrame 进行整体接入或单个模块接入的系统需提供接入 URL;4) 对于需要实现和门户系统在数据级别的通讯的系统,原则上系统需要进行自身修改,使之支持 iFrame 接入方式。如无法完成修改,系统需提供IT 系统企业内部门户集成规范秦山核电公司机密文件 第 20 页 共 20 业务数据传输接口,或提供数据的文件传输。如使用 XML 文件传输、文本文件传输、WebServices 传输等传输方式。
