企业EIP信息技术设计方案

第2章 EIP描述

根据上节EIP的整体架构描述,EIP共有五个部分组成。 ? 协同工作门户为企业提供集成的个性化工作空间。 ? 工作流平台为使用者提供协同应用。 ? 消息平台为使用者的沟通需求提供满足。 ? 文档管理为使用者提供知识管理与共享的途径。 ? 信息管理与发布为企业提供信息管理的机制。 下文将分别对各内容进行描述。

2.1 协同工作门户

协同工作门户可以采用现有成熟的Portal系统来实现,Portal系统是一个实现展现各种应用系统或者系统扩展(称为 portlet)的框架。与 servlet 是 Web 服务器中的应用程序一样,portlet 是 Portal 中的应用程序。在提供一个起到用户通往信息和任务的窗口作用的门户网站方面,通过Portlet来调用后台业务系统提供的接口实现集成。Portlet可以采用 Portal Server 内置的 Portlet ,也可以购买第三方提供的 Portlet,更多的是在这个项目建设过程中根据需要自行开发的Portlet。Portlet 和后台系统直接接口的方式可以包括:EJB组件接口、RMI编程接口、Web Service 接口等。portlet被Portal用作为可插拔的用户接口组件,为协同工作平台中的各个应用系统提供展现。

Portal主要按照以下所述来整体运用: 1)实现统一用户管理和单次登录

通过认证中心的建设,实现单次登录功能。当用户访问门户系统之后,不用再输入账号信息就可以直接访问后台各种已经授权的系统,直接通过门户系统访问各种他感兴趣的信息,进行各种业务处理。另外,用户直接访问各种业务系统时,如果他已经访问过其他系统,认证中心会自动记住当前用户的身份,自动判

断当前用户是否拥有足够的权限访问目标应用系统,从而避免了重复输入帐户信息,在提供方便性的同时保证系统的安全性。

2)以门户为基础,实现信息个性化展现和推送

通过门户系统的建设,各种资源信息根据不同的业务范围和需求在公司内部并进一步在移动集团内部进行有效的共享。根据需要,可以建立公司门户、地市县分公司门户、部门门户以及根据各种业务专题或者项目建立各种主题门户。从而形成丰富多彩的信息逻辑视图。

3) 提供系统间集成的框架和基础

统一信息平台建设的一个重要目的是建立管道公司对员工的门户(Business-to-Employee Portal),门户的意义体现在对后台系统的有效集成。通过和后台系统集成,将信息和业务处理过程在门户系统中进行展示,各种业务过程能够流畅地通过门户系统中进行处理,实现自动化和流水化。

在此基础上portal的事件处理流程如下所示: ?

一个客户端(例如:一个web浏览器)在被验证之后向Portal发出HTTP请求; ? ? ?

Portal接收到请求;

Portal判断请求是否包含与组成门户网站网页的portlet有关的动作; 如果存在与某个portlet相关的动作,Portal请求portlet容器调用portlet处理动作; ?

Portal通过portlet容器调用portlet,获得被包含在产生的门户网站网页中的内容片段; ?

Portal将portlet产生的结果聚集于门户网站的网页,然后将网页返回至客户端。

2.1.1 单点登录

门户服务器提供综合单点登录(SSO)支持。用户希望能够一次登录成功,并使用同样的统一用户证书了解门户服务器的不同部分。访问不同的门户应用不需要用户多次登录。

门户服务器使用身份验证代理来支持单点登录域。着用户只需登录一次就可以访问单点登录域中安装的所有企业应用。

服务器使用轻型第三方身份验证(LTPA)标记提供单点登录。用户通过身份验证后,门户服务器创建一个包含已验证用户证书的LTPA 单点登录 cookie。这个加密的cookie只要共享域中的所有应用服务器都有相同的密钥,他们就能够解密。这个cookie使集群中的所有服务器都能够在无需更多提示的情况下访问用户的证书,因此可为用户提供无缝的单点登录体验。要利用LTPA的单点登录方法,用户的浏览器必须支持cookie,并启用会话cookie支持特性。

Portlets通过获得Credential VaultPortletService对象并调用它的getCredential方法来获得用户证书。对于返回的用户证书,有两个方案:

使用静态证书提供的密码或密钥,并通过应用特定的调用发送。使用静态证书的Portlet需要从用户证书中提取保密信息,用于所有与后台应用之间的通信。

调用活动证书的身份验证方法。Portlet无法提取活动证书对象中的保密信息,因而无法从用户证书中提取保密信息。活动证书提供了额外方法来执行身份验证。

后一种方案允许Portlet使用基本验证、SSL客户机验证、摘要验证或LTPA向远程服务器触发验证,而且无需了解用户证书值。使用有源用户证书意味着办公门户将代表Portlet进行身份验证,并且Portlet能够使用简单的开放连接。尽管并非所有情况都适用,但是它是首选技术。

对于安全的数据传输,Portlet能够请求一个安全会话(HTTPS)来访问web应用。

依靠远程连接的Portlet要求某种方法,以便在用户浏览办公门户的过程中维护连接。办公门户提供一种永久后台连接服务,这种服务可以在页面变化的同时维护TCP/IP连接。

有些远程应用使用基于表单的登录并在处理登录表单时保存cookie。HttpFormBasedCredential文件能够用来处理这些基于表单的登录,并将保存所有由此返回的cookie。对于随后的调用,Portlet能够询问身份验证连接的用户证书。这样,可为HTTP连接提供这些已经在报头中设置的cookie,Portlet便能够维护安全的永久后台连接。

门户服务器实施Java身份验证和授权服务(JAAS)体系结构。JAAS提供了一种用来验证主题和提供高精度访问控制的方法。JAAS是标准Java安全性模型的一部分,它使应用可以独立于基础身份验证和授权机制。

JAAS使用模块化服务供应商界面提供登录和退出操作。通过门户服务器的JAAS登录模块建立的用户证书包括CORBA 证书、用户和用户组唯一名称、用户ID和密码以及LTPA标记。在分布式J2EE环境中,Portlet可以使用JAAS API访问支持JAAS的后台应用.

确定用户的身份之后,门户服务器可参考本地缓存的访问控制列表来确定用户拥有哪些页面和Portlet的访问权限。

2.1.2 个性化定制

优化每位用户在办公门户中的体验是办公门户的目标之一。为此,门户服务器提供了最终用户的管理界面,以定义门户页面的内容以及页面的外观和布局。利用这些工具,用户能够通过选择Portlet并定制他们的设置来定制自己的页面。用户还能够更改页面布局和颜色方案(如果管理员允许这么做)。

用户能够拥有一个或多个个性化页面,并可从主页上导航到每个页面。页面分级排列,深度可任意设定。每个页面都可以有自己的颜色主题、皮肤和页面布局选项。主题可用来定义字体、颜色、间距及其他直观元素;这些主题包括叠层样式表单、JSP文件和图像。皮肤指Portlet周围的装饰和控制元件,如:标题栏、边界、阴影等。在页面结构的每个级别上,下一级的页面都可以集成上级页面的主题和皮肤,或者也可以覆盖其中一个或全部。因为每个区段的外观都可能完全不同,所以区段可以用于在同一个门户站点中创建不同的站点外观显示。

每个个性化页面都可以有不同的Portlet。根据页面访问权限,页面上的Portlet可由最终用户或管理员进行选择。管理员能够制定某些必需的Portlet,这样最终用户便不能删除或重新排列这些Portlet。在管理员许可的情况下,页面还能够进行重新排列,以便为每个用户或用户组提供不同的导航顺序。

2.1.3 统一目录管理

统一目录服务管理是指在整个企业信息化中对各个业务系统中共同使用到的信息资源进行统一管理、统一授权、统一分配,实现“资源重复建设的最小化、资源合理利用的最大化”。统一目录服务管理是适用于企业信息化系统中所有的业务系统的,它所提供的服务协议、标准接口、信息资源格式必须是其他系统所能使用的,它的管理方式和所提供的服务协议必须相对稳定、相对安全的。

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4