学文网摘要:针对当前电信企业应用软件众多,缺乏统一门户管理的现状,开发了一套集单点登录、信息共享、个性化展示、系统集成等功能于一体的企业信息门户系统。采用Java语言进行系统平台搭建,将Portal技术、Portlet技术、单点登录技术相结合,完成了上海电信统一信息平台门户的建设工作。
关键词:企业信息门户;单点登录;Portal 技术;Portlet技术
中***分类号:TP311 文献标识码:A 文章编号:1009-3044(2013)12-2926-03
经过多年的IT建设积累,中国电信上海公司已建成了多个重要的应用支撑系统,但是,这些系统由于历史原因,分别由不同的软件开发商按照不同的标准定制开发,各系统都有***的登录界面、安全性设计以及***的认证方式,使用人员在登录不同系统时需要输入不同用户名和口令,这样不仅给使用者造成操作上的不便,同时也给管理者带来了权限控制管理等方面的困扰,更让决策者无法从这些“信息孤岛”中获得有效的信息。为了适应企业发展战略,建立一个统一的企业信息门户(Enterprise Information Portal,简称EIP)变得十分紧迫。
本文根据目前的上海电信企业的IT应用现状,结合先进的Portal技术,设计并实现了上海电信EIP系统。该EIP系统实现了门户系统的单点登录、企业内部信息的共享、个性化门户展示、内部应用系统信息集成、企业公共信息的管理等功能。
1 相关技术简介
1.1 Portal技术
Portal是基于Web的应用,它以用户为中心,提供了统一的用户登录,实现了信息的集中访问,集成了办公商务一体的工作流环境。利用Portal的技术,可以方便地将电信员工所需要的,来源于各个信息系统的信息资料集成在一个统一的桌面窗口之内。
Portal是Web的页面,它一般是由一个或若干个Portal的页面组织而成。每个Portal的页面一般又由一个或若干个Portlet的窗口来构成——Portlet以窗口的形式出现在Portal的页面里。
Portal的系统由Portal的服务器和支持Servlet的Java信息应用的服务器或Web服务器、数据库服务器、LDAP(Lightweight Directory Access Protocol,轻量目录访问协议,简称LDAP)服务器等组成,此外还可以加上身份认证和访问的控制服务器(Identity Server或Access Manager)等等。
Portal能实现单点登录、资源整合、个性化、协作功能、工作流、信息检索、多样客户端等功能。
1.2 Portlet技术
Portlet是一种Web组件,类似servlets,是专为合成页面里的内容聚集在一起而设计的。通常请求一个Portal页面会引发多个Portlet被调用。每个Portlet都会生成标记段,并与别的Portlet生成的标记段组合在一起嵌入到Portal页面的标记内。打个比喻,如果Portal是一个高楼大厦的话,Portlet就如同每一个房间,用户可以把所有信息分门别类,然后放在不同的Portlet中。
2 EIP系统的分析与设计
2.1 需求分析
针对企业对信息共享程度、完整性、一致性的要求,本项目需要建设的EIP系统,将通过用户统一管理、各业务系统的信息集成及单点登录的实现,建立统一的企业视***,来支持企业经营分析和决策,并满足不同用户、不同角色对个性化信息的要求。具体如下:
1)建立企业统一用户管理,提供企业用户的全视***;
2)提供企业统一的访问入口,实现用户通过EIP门户访问各业务系统的单点登录;
3)提供统一的信息展示界面,通过与现有业务系统(如:办公系统、人力资源系统、财务系统等)的信息集成,实现用户普遍关注的新闻、公告、通知的门户统一展示;
4)提供统一“公务箱”,从办公系统、财务等系统中,将公文审批、请假报销等事务的申请审批流程中的待办任务、在办任务抽取出来,统一在EIP门户系统展示和处理。
2.2系统设计
2.2.1 总体设计思路
系统采用面向服务(SOA)的设计思路,在应用系统集成及业务功能层面,提供标准的服务接口,供其他系统调用,具体如下:
1)多元化数据接口:系统采用多元化的接口设计,提供几种标准的数据接口,包括XML文件、ODBC、JDBC、Web Services、LEI、Java等,以支持和其它应用的接口,达到和其它系统的数据交互。
2)基于多样化业务的数据流程总线:系统实现面向业务的企业数据流程总线,把企业各业务系统的业务接口、数据接口、流程接口逐步的整合到企业数据流程总线上,降低业务系统服务接口的耦合化,并实现业务接口的开放,在IT系统中形成一个大的业务体资源库,在此基础上,为企业的业务系统调用IT系统的资源提供标准化的数据及流程接口,实现跨应用、部门的业务流程集成和数据交换,从而达到改善IT投资回报的可见性,体现IT投资的价值,实现业务灵活性最大化的目的。
3)个性化设计思想:系统设计处处体现“以人为本”的思想,在系统中实现各功能模块的信息整合、上海电信内部各个应用的界面整合、消息提醒等功能,同时为用户提供界面定制,从而在上海电信企业门户中实现“信息找人”,而不是单纯的“人找信息”。
2.2.2系统架构
本项目门户平台采用当前业界最领先的企业整合及门户平台解决方案:IBM WebSphere Portal V6.0 及 Tivoli Access Manager 6.0,其中统一用户管理系统和门户平台信息系统的开发采用Java语言及Domino平台进行开发。基本的功能架构如***1所示。
从***中可以看出,本项目主要包括三个部分,一是单点登录模块,主要实现办公系统、财务系统、人事系统等的单点登录;二是用户权限管理模块,建立企业目录,统一管理;三是应用整合,整合现有的应用系统,实现门户与各个专业系统的信息、数据的同步管理。
3 系统功能实现
3.1单点登录模块实现方案
单点登录(Single Sign-On,简称SSO)技术是目前流行的企业业务整合方案之一,用户只要登录信息系统一次,就能够访问所有相互信任的应用系统。该文主要集成办公系统、财务系统、人事系统等的单点登录。根据系统的类别,单点登录实现的机制分为两类:
1)办公系统:原来办公系统是基于IBM公司的Domino服务平台开发的,因此可以利用IBM公司产品自带的安全机制,使用LTPA Cookie的方式实现单点登录。这种认证方式通过配置就可以实现。
2)其他业务系统:通过HTTP Header的方式传递用户身份的认证方式实现单点登录。这种认证方式需要各应用系统修改登录模块,判断传递过来的HTTP Header中是否有用户身份信息,如果有身份信息获取用户身份,并进行验证。具体分为如下三个子过程:
子过程一:是用户登录统一安全认证平台的认证。
子过程二:是登录统一安全认证平台成功后,由统一安全认证系统向后台应用系统传递用户认证数据;传递过程中使用系统相互间已定义好的认证传递模式。
子过程三:是应用系统的认证。
一般而言,这些认证过程对用户而言都是不可见的,透明的。
3.2 用户权限管理实现方案
用户与权限管理包括三个部分:用户管理、角色管理与权限控制。
3.2.1用户管理的实现
用户类(Class User)包括如下接口:
Search接口:查找用户数据并返回结果
Modify接口:更新一个用户项
Create接口:添加新用户项
Delete接口:删除用户项
Assign_Role接口:为用户分配角色
Remove_Role接口:删除用户拥有的角色
Role_List接口:返回用户所具有的所有角色
Has_Right接口:返回用户是否具备访问特定资源的权限
Right_List接口:返回用户所具备的所有权限
3.2.2 角色管理的实现
角色管理可以根据系统的需求动态设置各种角色,本系统初始设置三种角色:员工、管理者以及系统管理员。一个用户可以有相应的一个或多个角色。
角色类(Class Role)包括如下接口:
Search接口:查找角色数据并返回结果
Modify接口:更新一个角色项
Create接口:添加新角色项
Delete接口:删除角色项
Assign_Right接口:为角色分配权限
Remove_Right接口:删除角色拥有的权限
Has_Right接口:返回角色是否具备访问特定资源的权限
Right_List接口:返回角色所具有的所有权限
3.2.3 权限控制的实现
权限控制实现了特定用户角色对于系统定资源的访问权限,可以根据企业的用户与系统情况动态设置。
权限类(Class Right)包括如下接口:
Search类接口:查找权限数据并返回结果
Modify类接口:更新一个权限项
Create类接口:添加新权限项
Delete类接口:删除权限项
3.3 应用整合模块实现方案
本项目共采用了四种方式来实现原有应用系统中信息和数据的和整合。
1)使用Web裁剪的方式:门户系统在后台单点登录到业务系统,就如同模拟用户登录到业务系统,之后,获取用户关心的页面内容,并且依据预定的规则,把内容进行裁剪,然后返回到门户展示给当前用户,这些都是门户后台做的复杂的工作,而对于当前用户来说,看到的就是这个业务系统自己关心的内容。实现了不需要登录到业务系统,就能够看到所需要的信息的效果。使用这种方式,门户可以把Internet或其他系统的天气预报、火车时刻表等信息展现在门户上,而不需要人工维护。
2)使用XML交换的多数据源方式:把XML作为中间交换文件的格式整合来自各个不同业务系统的信息。主要过程为向业务系统发送获取内容整合XML文件请求,解析XML文件,解析后的数据发送给门户系统。例如:OA、EIP、财务报销系统中待办任务。
3)使用Web Service方式获取数据:在门户后台调用Web Service接口,可以根据用户的设计效果展示接口返回的内容。例如两个不同业务间传递指定格式的相关数据。
4)直接访问数据库:通过JDBC数据源,直接从数据库获取资料,按照预先定义的显示规则,显示用户有权限访问的信息。像新闻、公告、培训信息等的门户信息内容的整合基本上都采用这种方式。
4 结束语
本文开发了电信企业的门户系统,解决了原有系统中系统繁多、业务松散、用户界面不统一等“信息孤岛”问题,提出了基于Portal技术的电信企业信息门户解决方案。该方案提供了一个通用的可扩展的共享程度高的信息平台,可以将现有的上海电信的各个业务子系统无缝地集成到该平台。该系统把用户从名目繁多的各种应用系统中解脱出来,让他们可以更好地将精力集中到业务数据中去,把软件系统管理维护者也释放了出来,让他们可以更好地关注于业务流程本身的优化上,大大提高了工作效率。
参考文献:
[1] 郑辉.基于LDAP的统一身份认证目录服务系统研究与设计[D].西安:电子科技大学,2008.
[2] Bindings and Profiles for the OASIS Security Assertion Markup Language.(SAML)V1.1[EB/OL].http://.
[3] 裘巍.编译器设计之路[M].北京:机械工业出版社,2010.
[4] 陈丹丹.Java开发宝典[M].北京:机械工业出版社,2012.
[5] 裘慧奇.统一身份认证和单点登录系统分析[J].电脑知识与技术,2008(13).
[6] 陈涯.基于Portal技术的证券信息门户设计与实现[D].广州:华南理工大学,2011.
转载请注明出处学文网 » 电信企业EIP系统的设计与开发