摘要：針對(duì)當(dāng)前電信企業(yè)應(yīng)用軟件眾多，缺乏統(tǒng)一門戶管理的現(xiàn)狀，開發(fā)了一套集單點(diǎn)登錄、信息共享、個(gè)性化展示、系統(tǒng)集成等功能于一體的企業(yè)信息門戶系統(tǒng)。采用Java語(yǔ)言進(jìn)行系統(tǒng)平臺(tái)搭建，將Portal技術(shù)、Portlet技術(shù)、單點(diǎn)登錄技術(shù)相結(jié)合，完成了上海電信統(tǒng)一信息平臺(tái)門戶的建設(shè)工作。

關(guān)鍵詞：企業(yè)信息門戶；單點(diǎn)登錄；Portal 技術(shù)；Portlet技術(shù)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）12-2926-03

經(jīng)過多年的IT建設(shè)積累，中國(guó)電信上海公司已建成了多個(gè)重要的應(yīng)用支撐系統(tǒng)，但是，這些系統(tǒng)由于歷史原因，分別由不同的軟件開發(fā)商按照不同的標(biāo)準(zhǔn)定制開發(fā)，各系統(tǒng)都有獨(dú)立的登錄界面、安全性設(shè)計(jì)以及獨(dú)立的認(rèn)證方式，使用人員在登錄不同系統(tǒng)時(shí)需要輸入不同用戶名和口令，這樣不僅給使用者造成操作上的不便，同時(shí)也給管理者帶來了權(quán)限控制管理等方面的困擾，更讓決策者無法從這些“信息孤島”中獲得有效的信息。為了適應(yīng)企業(yè)發(fā)展戰(zhàn)略，建立一個(gè)統(tǒng)一的企業(yè)信息門戶（Enterprise Information Portal，簡(jiǎn)稱EIP）變得十分緊迫。

本文根據(jù)目前的上海電信企業(yè)的IT應(yīng)用現(xiàn)狀，結(jié)合先進(jìn)的Portal技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了上海電信EIP系統(tǒng)。該EIP系統(tǒng)實(shí)現(xiàn)了門戶系統(tǒng)的單點(diǎn)登錄、企業(yè)內(nèi)部信息的共享、個(gè)性化門戶展示、內(nèi)部應(yīng)用系統(tǒng)信息集成、企業(yè)公共信息的發(fā)布管理等功能。

1 相關(guān)技術(shù)簡(jiǎn)介

1.1 Portal技術(shù)

Portal是基于Web的應(yīng)用，它以用戶為中心，提供了統(tǒng)一的用戶登錄，實(shí)現(xiàn)了信息的集中訪問，集成了辦公商務(wù)一體的工作流環(huán)境。利用Portal的技術(shù)，可以方便地將電信員工所需要的，來源于各個(gè)信息系統(tǒng)的信息資料集成在一個(gè)統(tǒng)一的桌面窗口之內(nèi)。

Portal是Web的頁(yè)面，它一般是由一個(gè)或若干個(gè)Portal的頁(yè)面組織而成。每個(gè)Portal的頁(yè)面一般又由一個(gè)或若干個(gè)Portlet的窗口來構(gòu)成——Portlet以窗口的形式出現(xiàn)在Portal的頁(yè)面里。

Portal的系統(tǒng)由Portal的服務(wù)器和支持Servlet的Java信息應(yīng)用的服務(wù)器或Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、LDAP（Lightweight Directory Access Protocol，輕量目錄訪問協(xié)議，簡(jiǎn)稱LDAP）服務(wù)器等組成，此外還可以加上身份認(rèn)證和訪問的控制服務(wù)器（Identity Server或Access Manager）等等。

Portal能實(shí)現(xiàn)單點(diǎn)登錄、資源整合、個(gè)性化、協(xié)作功能、工作流、信息檢索、多樣客戶端等功能。

1.2 Portlet技術(shù)

Portlet是一種Web組件，類似servlets，是專為合成頁(yè)面里的內(nèi)容聚集在一起而設(shè)計(jì)的。通常請(qǐng)求一個(gè)Portal頁(yè)面會(huì)引發(fā)多個(gè)Portlet被調(diào)用。每個(gè)Portlet都會(huì)生成標(biāo)記段，并與別的Portlet生成的標(biāo)記段組合在一起嵌入到Portal頁(yè)面的標(biāo)記內(nèi)。打個(gè)比喻，如果Portal是一個(gè)高樓大廈的話，Portlet就如同每一個(gè)房間，用戶可以把所有信息分門別類，然后放在不同的Portlet中。

2 EIP系統(tǒng)的分析與設(shè)計(jì)

2.1 需求分析

針對(duì)企業(yè)對(duì)信息共享程度、完整性、一致性的要求，本項(xiàng)目需要建設(shè)的EIP系統(tǒng)，將通過用戶統(tǒng)一管理、各業(yè)務(wù)系統(tǒng)的信息集成及單點(diǎn)登錄的實(shí)現(xiàn)，建立統(tǒng)一的企業(yè)視圖，來支持企業(yè)經(jīng)營(yíng)分析和決策，并滿足不同用戶、不同角色對(duì)個(gè)性化信息的要求。具體如下：

1）建立企業(yè)統(tǒng)一用戶管理，提供企業(yè)用戶的全視圖；

2）提供企業(yè)統(tǒng)一的訪問入口，實(shí)現(xiàn)用戶通過EIP門戶訪問各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄；

3）提供統(tǒng)一的信息展示界面，通過與現(xiàn)有業(yè)務(wù)系統(tǒng)（如：辦公系統(tǒng)、人力資源系統(tǒng)、財(cái)務(wù)系統(tǒng)等）的信息集成，實(shí)現(xiàn)用戶普遍關(guān)注的新聞、公告、通知的門戶統(tǒng)一展示；

4）提供統(tǒng)一“公務(wù)箱”，從辦公系統(tǒng)、財(cái)務(wù)等系統(tǒng)中，將公文審批、請(qǐng)假報(bào)銷等事務(wù)的申請(qǐng)審批流程中的待辦任務(wù)、在辦任務(wù)抽取出來，統(tǒng)一在EIP門戶系統(tǒng)展示和處理。

2.2系統(tǒng)設(shè)計(jì)

2.2.1 總體設(shè)計(jì)思路

系統(tǒng)采用面向服務(wù)（SOA）的設(shè)計(jì)思路，在應(yīng)用系統(tǒng)集成及業(yè)務(wù)功能層面，提供標(biāo)準(zhǔn)的服務(wù)接口，供其他系統(tǒng)調(diào)用，具體如下：

1）多元化數(shù)據(jù)接口：系統(tǒng)采用多元化的接口設(shè)計(jì)，提供幾種標(biāo)準(zhǔn)的數(shù)據(jù)接口，包括XML文件、ODBC、JDBC、Web Services、LEI、Java等，以支持和其它應(yīng)用的接口，達(dá)到和其它系統(tǒng)的數(shù)據(jù)交互。

2）基于多樣化業(yè)務(wù)的數(shù)據(jù)流程總線：系統(tǒng)實(shí)現(xiàn)面向業(yè)務(wù)的企業(yè)數(shù)據(jù)流程總線，把企業(yè)各業(yè)務(wù)系統(tǒng)的業(yè)務(wù)接口、數(shù)據(jù)接口、流程接口逐步的整合到企業(yè)數(shù)據(jù)流程總線上，降低業(yè)務(wù)系統(tǒng)服務(wù)接口的耦合化，并實(shí)現(xiàn)業(yè)務(wù)接口的開放，在IT系統(tǒng)中形成一個(gè)大的業(yè)務(wù)體資源庫(kù)，在此基礎(chǔ)上，為企業(yè)的業(yè)務(wù)系統(tǒng)調(diào)用IT系統(tǒng)的資源提供標(biāo)準(zhǔn)化的數(shù)據(jù)及流程接口，實(shí)現(xiàn)跨應(yīng)用、部門的業(yè)務(wù)流程集成和數(shù)據(jù)交換，從而達(dá)到改善IT投資回報(bào)的可見性，體現(xiàn)IT投資的價(jià)值，實(shí)現(xiàn)業(yè)務(wù)靈活性最大化的目的。

3）個(gè)性化設(shè)計(jì)思想：系統(tǒng)設(shè)計(jì)處處體現(xiàn)“以人為本”的思想，在系統(tǒng)中實(shí)現(xiàn)各功能模塊的信息整合、上海電信內(nèi)部各個(gè)應(yīng)用的界面整合、消息提醒等功能，同時(shí)為用戶提供界面定制，從而在上海電信企業(yè)門戶中實(shí)現(xiàn)“信息找人”，而不是單純的“人找信息”。

2.2.2系統(tǒng)架構(gòu)

本項(xiàng)目門戶平臺(tái)采用當(dāng)前業(yè)界最領(lǐng)先的企業(yè)整合及門戶平臺(tái)解決方案：IBM WebSphere Portal V6.0 及 Tivoli Access Manager 6.0，其中統(tǒng)一用戶管理系統(tǒng)和門戶平臺(tái)信息發(fā)布系統(tǒng)的開發(fā)采用Java語(yǔ)言及Domino平臺(tái)進(jìn)行開發(fā)。基本的功能架構(gòu)如圖1所示。

從圖中可以看出，本項(xiàng)目主要包括三個(gè)部分，一是單點(diǎn)登錄模塊，主要實(shí)現(xiàn)辦公系統(tǒng)、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等的單點(diǎn)登錄；二是用戶權(quán)限管理模塊，建立企業(yè)目錄，統(tǒng)一管理；三是應(yīng)用整合，整合現(xiàn)有的應(yīng)用系統(tǒng)，實(shí)現(xiàn)門戶與各個(gè)專業(yè)系統(tǒng)的信息、數(shù)據(jù)的同步管理。

3 系統(tǒng)功能實(shí)現(xiàn)

3.1單點(diǎn)登錄模塊實(shí)現(xiàn)方案

單點(diǎn)登錄（Single Sign-On，簡(jiǎn)稱SSO）技術(shù)是目前流行的企業(yè)業(yè)務(wù)整合方案之一，用戶只要登錄信息系統(tǒng)一次，就能夠訪問所有相互信任的應(yīng)用系統(tǒng)。該文主要集成辦公系統(tǒng)、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等的單點(diǎn)登錄。根據(jù)系統(tǒng)的類別，單點(diǎn)登錄實(shí)現(xiàn)的機(jī)制分為兩類：

1）辦公系統(tǒng)：原來辦公系統(tǒng)是基于IBM公司的Domino服務(wù)平臺(tái)開發(fā)的，因此可以利用IBM公司產(chǎn)品自帶的安全機(jī)制，使用LTPA Cookie的方式實(shí)現(xiàn)單點(diǎn)登錄。這種認(rèn)證方式通過配置就可以實(shí)現(xiàn)。

2）其他業(yè)務(wù)系統(tǒng)：通過HTTP Header的方式傳遞用戶身份的認(rèn)證方式實(shí)現(xiàn)單點(diǎn)登錄。這種認(rèn)證方式需要各應(yīng)用系統(tǒng)修改登錄模塊，判斷傳遞過來的HTTP Header中是否有用戶身份信息，如果有身份信息獲取用戶身份，并進(jìn)行驗(yàn)證。具體分為如下三個(gè)子過程：

子過程一：是用戶登錄統(tǒng)一安全認(rèn)證平臺(tái)的認(rèn)證。

子過程二：是登錄統(tǒng)一安全認(rèn)證平臺(tái)成功后，由統(tǒng)一安全認(rèn)證系統(tǒng)向后臺(tái)應(yīng)用系統(tǒng)傳遞用戶認(rèn)證數(shù)據(jù)；傳遞過程中使用系統(tǒng)相互間已定義好的認(rèn)證傳遞模式。

子過程三：是應(yīng)用系統(tǒng)的認(rèn)證。

一般而言，這些認(rèn)證過程對(duì)用戶而言都是不可見的，透明的。

3.2 用戶權(quán)限管理實(shí)現(xiàn)方案

用戶與權(quán)限管理包括三個(gè)部分：用戶管理、角色管理與權(quán)限控制。

3.2.1用戶管理的實(shí)現(xiàn)

用戶類（Class User）包括如下接口：

Search接口：查找用戶數(shù)據(jù)并返回結(jié)果

Modify接口：更新一個(gè)用戶項(xiàng)

Create接口：添加新用戶項(xiàng)

Delete接口：刪除用戶項(xiàng)

Assign_Role接口：為用戶分配角色

Remove_Role接口：刪除用戶擁有的角色

Role_List接口：返回用戶所具有的所有角色

Has_Right接口：返回用戶是否具備訪問特定資源的權(quán)限

Right_List接口：返回用戶所具備的所有權(quán)限

3.2.2 角色管理的實(shí)現(xiàn)

角色管理可以根據(jù)系統(tǒng)的需求動(dòng)態(tài)設(shè)置各種角色，本系統(tǒng)初始設(shè)置三種角色：?jiǎn)T工、管理者以及系統(tǒng)管理員。一個(gè)用戶可以有相應(yīng)的一個(gè)或多個(gè)角色。

角色類（Class Role）包括如下接口：

Search接口：查找角色數(shù)據(jù)并返回結(jié)果

Modify接口：更新一個(gè)角色項(xiàng)

Create接口：添加新角色項(xiàng)

Delete接口：刪除角色項(xiàng)

Assign_Right接口：為角色分配權(quán)限

Remove_Right接口：刪除角色擁有的權(quán)限

Has_Right接口：返回角色是否具備訪問特定資源的權(quán)限

Right_List接口：返回角色所具有的所有權(quán)限

3.2.3 權(quán)限控制的實(shí)現(xiàn)

權(quán)限控制實(shí)現(xiàn)了特定用戶角色對(duì)于系統(tǒng)中特定資源的訪問權(quán)限，可以根據(jù)企業(yè)的用戶與系統(tǒng)情況動(dòng)態(tài)設(shè)置。

權(quán)限類（Class Right）包括如下接口：

Search類接口：查找權(quán)限數(shù)據(jù)并返回結(jié)果

Modify類接口：更新一個(gè)權(quán)限項(xiàng)

Create類接口：添加新權(quán)限項(xiàng)

Delete類接口：刪除權(quán)限項(xiàng)

3.3 應(yīng)用整合模塊實(shí)現(xiàn)方案

本項(xiàng)目共采用了四種方式來實(shí)現(xiàn)原有應(yīng)用系統(tǒng)中信息和數(shù)據(jù)的發(fā)布和整合。

1）使用Web裁剪的方式：門戶系統(tǒng)在后臺(tái)單點(diǎn)登錄到業(yè)務(wù)系統(tǒng)，就如同模擬用戶登錄到業(yè)務(wù)系統(tǒng)，之后，獲取用戶關(guān)心的頁(yè)面內(nèi)容，并且依據(jù)預(yù)定的規(guī)則，把內(nèi)容進(jìn)行裁剪，然后返回到門戶展示給當(dāng)前用戶，這些都是門戶后臺(tái)做的復(fù)雜的工作，而對(duì)于當(dāng)前用戶來說，看到的就是這個(gè)業(yè)務(wù)系統(tǒng)自己關(guān)心的內(nèi)容。實(shí)現(xiàn)了不需要登錄到業(yè)務(wù)系統(tǒng)，就能夠看到所需要的信息的效果。使用這種方式，門戶可以把Internet或其他系統(tǒng)的天氣預(yù)報(bào)、火車時(shí)刻表等信息展現(xiàn)在門戶上，而不需要人工維護(hù)。

2）使用XML交換的多數(shù)據(jù)源方式：把XML作為中間交換文件的格式整合來自各個(gè)不同業(yè)務(wù)系統(tǒng)的信息。主要過程為向業(yè)務(wù)系統(tǒng)發(fā)送獲取內(nèi)容整合XML文件請(qǐng)求，解析XML文件，解析后的數(shù)據(jù)發(fā)送給門戶系統(tǒng)。例如：OA、EIP、財(cái)務(wù)報(bào)銷系統(tǒng)中待辦任務(wù)。

3）使用Web Service方式獲取數(shù)據(jù)：在門戶后臺(tái)調(diào)用Web Service接口，可以根據(jù)用戶的設(shè)計(jì)效果展示接口返回的內(nèi)容。例如兩個(gè)不同業(yè)務(wù)間傳遞指定格式的相關(guān)數(shù)據(jù)。

4）直接訪問數(shù)據(jù)庫(kù)：通過JDBC數(shù)據(jù)源，直接從數(shù)據(jù)庫(kù)獲取資料，按照預(yù)先定義的顯示規(guī)則，顯示用戶有權(quán)限訪問的信息。像新聞、公告、培訓(xùn)信息等的門戶信息內(nèi)容的整合基本上都采用這種方式。

4 結(jié)束語(yǔ)

本文開發(fā)了電信企業(yè)的門戶系統(tǒng)，解決了原有系統(tǒng)中系統(tǒng)繁多、業(yè)務(wù)松散、用戶界面不統(tǒng)一等“信息孤島”問題，提出了基于Portal技術(shù)的電信企業(yè)信息門戶解決方案。該方案提供了一個(gè)通用的可擴(kuò)展的共享程度高的信息平臺(tái)，可以將現(xiàn)有的上海電信的各個(gè)業(yè)務(wù)子系統(tǒng)無縫地集成到該平臺(tái)。該系統(tǒng)把用戶從名目繁多的各種應(yīng)用系統(tǒng)中解脫出來，讓他們可以更好地將精力集中到業(yè)務(wù)數(shù)據(jù)中去，把軟件系統(tǒng)管理維護(hù)者也釋放了出來，讓他們可以更好地關(guān)注于業(yè)務(wù)流程本身的優(yōu)化上，大大提高了工作效率。

參考文獻(xiàn)：

[1] 鄭輝.基于LDAP的統(tǒng)一身份認(rèn)證目錄服務(wù)系統(tǒng)研究與設(shè)計(jì)[D].西安：電子科技大學(xué)，2008.

[2] Bindings and Profiles for the OASIS Security Assertion Markup Language.（SAML）V1.1[EB/OL].http：//www.oasis-open.org.

[3] 裘巍.編譯器設(shè)計(jì)之路[M].北京：機(jī)械工業(yè)出版社，2010.

[4] 陳丹丹.Java開發(fā)寶典[M].北京：機(jī)械工業(yè)出版社，2012.

[5] 裘慧奇.統(tǒng)一身份認(rèn)證和單點(diǎn)登錄系統(tǒng)分析[J].電腦知識(shí)與技術(shù)，2008（13）.

[6] 陳涯.基于Portal技術(shù)的證券信息門戶設(shè)計(jì)與實(shí)現(xiàn)[D].廣州：華南理工大學(xué)，2011.