用微軟SharePoint平臺(tái)構(gòu)建集團(tuán)企業(yè)門(mén)戶(hù)系統(tǒng)

2014-07-03 07:48王峰

電腦知識(shí)與技術(shù) 2014年12期

王峰

摘要：集團(tuán)企業(yè)門(mén)戶(hù)系統(tǒng)需要解決多級(jí)門(mén)戶(hù)、統(tǒng)一用戶(hù)管理、身份驗(yàn)證、單點(diǎn)登錄和業(yè)務(wù)系統(tǒng)數(shù)據(jù)集成等關(guān)鍵問(wèn)題。好的架構(gòu)設(shè)計(jì)是系統(tǒng)成功的基礎(chǔ)，而好的開(kāi)發(fā)平臺(tái)則是系統(tǒng)成功的保障。Microsoft SharePoint 2010可以方便、輕松地創(chuàng)建企業(yè)級(jí)網(wǎng)站，它涵蓋了企業(yè)門(mén)戶(hù)、企業(yè)內(nèi)容管理、搜索、協(xié)同工作、商業(yè)智能、商務(wù)表單等功能，還可以有效地搜索人員、文檔和數(shù)據(jù)，設(shè)計(jì)和參與表單驅(qū)動(dòng)的業(yè)務(wù)流程以及訪問(wèn)和分析大量業(yè)務(wù)數(shù)據(jù)，是設(shè)計(jì)集團(tuán)企業(yè)門(mén)戶(hù)系統(tǒng)最好的平臺(tái)。

關(guān)鍵詞：企業(yè)門(mén)戶(hù)；統(tǒng)一用戶(hù)管理；身份驗(yàn)證；單點(diǎn)登錄； Microsoft SharePoint

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）12-2900-07

Use Microsoft SharePoint Platform Construction Group Enterprise Portal System

WANG feng

（CSR Luoyang Locomotive Co.， LTD.， Luoyang 471002， China ）

Abstract： Group enterprise portal system needs to solve multi-stage portal， unified user management， authentication and single sign-on and business system data integration and other key issues. A good architecture design is the foundation of the system is successful， and a good development platform is the system guarantee of success. Microsoft SharePoint 2010 can be conveniently， easily create enterprise website， it covers the enterprise portal， enterprise content management， search， collaborative work， business intelligence， business forms， and other functions， can effectively search personnel， documents and data， and participate in the form is designed to drive the business process and the analysis of the access and a large number of business data， is the best platform design group enterprise portal system.

Key words： enterprise portal； unified user management； authentication； single sign-on （sso）； Microsoft SharePoint

集團(tuán)企業(yè)門(mén)戶(hù)系統(tǒng)是總部、各級(jí)子公司信息系統(tǒng)集成、信息發(fā)布和日常辦公的重要輔助平臺(tái)。建立一流的企業(yè)門(mén)戶(hù)系統(tǒng)成為企業(yè)整合資源提高管理水平的重要手段。企業(yè)門(mén)戶(hù)系統(tǒng)的構(gòu)架方式多種多樣，開(kāi)發(fā)平臺(tái)也各不相同，微軟的SharePoint平臺(tái)能夠方便得將各類(lèi)應(yīng)用系統(tǒng)、數(shù)據(jù)信息有效整合到同一管理平臺(tái)上，采用統(tǒng)一標(biāo)準(zhǔn)的功能模塊、形象設(shè)計(jì)提供給用戶(hù)，使企業(yè)可以靈活地建立對(duì)客戶(hù)、內(nèi)部員工和子公司之間的信息通道，高效地存儲(chǔ)和發(fā)布各類(lèi)信息，從而更好的為企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)服務(wù)。該文闡述了基于微軟SharePoint平臺(tái)進(jìn)行集團(tuán)企業(yè)門(mén)戶(hù)系統(tǒng)架構(gòu)、頁(yè)面設(shè)計(jì)，給出了關(guān)鍵問(wèn)題的解決方案。

1 微軟SharePoint平臺(tái)簡(jiǎn)介

SharePoint 2010 是一種新型服務(wù)器應(yīng)用程序，它是 2010 Microsoft Office system 的一部分。利用該應(yīng)用程序，組織可以簡(jiǎn)化協(xié)作、提供內(nèi)容管理功能、實(shí)施業(yè)務(wù)流程及訪問(wèn)組織目標(biāo)和流程必不可少的信息。

通過(guò)使用 SharePoint 2010 中的網(wǎng)站模板和其他功能，您可以快速有效地創(chuàng)建支持特定內(nèi)容發(fā)布、內(nèi)容管理、記錄管理或組織可能需要的商務(wù)智能的網(wǎng)站。例如，可以創(chuàng)建企業(yè)級(jí)網(wǎng)站（如組織門(mén)戶(hù)網(wǎng)站或 Internet 展示網(wǎng)站）或?qū)I(yè)網(wǎng)站（如內(nèi)容庫(kù)或會(huì)議工作區(qū)）。這些網(wǎng)站使您可以與其他人員（無(wú)論是在組織內(nèi)還是組織外）進(jìn)行協(xié)作并共享信息。此外，您還可以使用 SharePoint 2010 有效地搜索人員、文檔和數(shù)據(jù)，設(shè)計(jì)和參與表單驅(qū)動(dòng)的業(yè)務(wù)流程以及訪問(wèn)和分析大量業(yè)務(wù)數(shù)據(jù)。

Microsoft SharePoint 2010它涵蓋了企業(yè)門(mén)戶(hù)、企業(yè)內(nèi)容管理、搜索、協(xié)同工作、商業(yè)智能、商務(wù)表單6大功能。

2 門(mén)戶(hù)系統(tǒng)設(shè)計(jì)

2.1 總體架構(gòu)設(shè)計(jì)

集團(tuán)企業(yè)門(mén)戶(hù)系統(tǒng)的整體架構(gòu)如圖2所示。

2.2 整體架構(gòu)說(shuō)明

整體架構(gòu)說(shuō)明如下：

1）集團(tuán)門(mén)戶(hù)系統(tǒng)滿足用戶(hù)訪問(wèn)各級(jí)門(mén)戶(hù)、協(xié)同辦公、統(tǒng)一搜索等需求。且集團(tuán)門(mén)戶(hù)是一個(gè)集中信息發(fā)布、展現(xiàn)所有業(yè)務(wù)數(shù)據(jù)的平臺(tái)。

2）后端的數(shù)據(jù)集成平臺(tái)可以將集團(tuán)、一級(jí)子公司的各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)進(jìn)行整合、挖掘、，并在集團(tuán)門(mén)戶(hù)或一級(jí)子公司門(mén)戶(hù)上進(jìn)行展現(xiàn)。消除了當(dāng)前的“信息孤島”，解決下級(jí)企業(yè)上報(bào)集團(tuán)數(shù)據(jù)的問(wèn)題。

3）整體架構(gòu)中的統(tǒng)一身份及驗(yàn)證技術(shù)采用微軟Windows Active Directory（活動(dòng)目錄）體系。一是活動(dòng)目錄技術(shù)當(dāng)前已經(jīng)在集團(tuán)內(nèi)部進(jìn)行了部署，擁有良好的用戶(hù)基礎(chǔ)；二是本整體架構(gòu)無(wú)縫支持活動(dòng)目錄技術(shù)，是最佳選擇方案。endprint

4）一級(jí)子公司的部署結(jié)構(gòu)與集團(tuán)大體相同，只是部署規(guī)模相對(duì)較小。

① 從門(mén)戶(hù)的角度來(lái)說(shuō)，給最終用戶(hù)呈現(xiàn)的內(nèi)容是一體的，集團(tuán)用戶(hù)、一級(jí)子公司均可以進(jìn)行統(tǒng)一導(dǎo)航訪問(wèn)，只是在后臺(tái)部署位置上有所區(qū)別，最終用戶(hù)感覺(jué)不出來(lái)。

② 從集成平臺(tái)角度來(lái)說(shuō)，集團(tuán)的集成平臺(tái)集成集團(tuán)的業(yè)務(wù)系統(tǒng)，而一級(jí)子公司的集成平臺(tái)集成本企業(yè)的業(yè)務(wù)系統(tǒng)，為本企業(yè)提供服務(wù)。

2.3 整體架構(gòu)技術(shù)特點(diǎn)

1）內(nèi)、外網(wǎng)應(yīng)用的隔離：內(nèi)、外網(wǎng)的應(yīng)用由于其安全等級(jí)的要求不同，同時(shí)服務(wù)的對(duì)象以及服務(wù)的要求不同，其實(shí)是兩個(gè)邏輯不同的應(yīng)用概念。本次系統(tǒng)的架構(gòu)設(shè)計(jì)中，將這兩個(gè)部分邏輯分離，內(nèi)、外網(wǎng)的應(yīng)用通過(guò)信息以及數(shù)據(jù)交換的方式進(jìn)行協(xié)助。

2）完善的內(nèi)部工作環(huán)境：在內(nèi)部應(yīng)用中，通過(guò)提供統(tǒng)一的內(nèi)部門(mén)戶(hù)以及管理門(mén)戶(hù)，為內(nèi)部員工以及管理人員提供了“一站式”的工作環(huán)境，即方便將現(xiàn)有的應(yīng)用在統(tǒng)一的“個(gè)人辦公桌”上，也可以通過(guò)“掛接”新的功能模塊的方式實(shí)現(xiàn)靈活的擴(kuò)展；

3）統(tǒng)一的基礎(chǔ)設(shè)施：通過(guò)建設(shè)統(tǒng)一的基礎(chǔ)設(shè)施，并以此為基礎(chǔ)構(gòu)架“業(yè)務(wù)調(diào)度中心”，不僅將企業(yè)提供的各種應(yīng)用合理的整合在一起，同時(shí)可以和一級(jí)子公司的應(yīng)用進(jìn)行信息、數(shù)據(jù)交換以及流程的整合，為建設(shè)服務(wù)型的門(mén)戶(hù)網(wǎng)站提供很好的基礎(chǔ)。

2.4 幾個(gè)關(guān)鍵問(wèn)題

2.4.1 企業(yè)多級(jí)門(mén)戶(hù)

企業(yè)信息門(mén)戶(hù)的價(jià)值在于能夠釋放存儲(chǔ)在企業(yè)內(nèi)部的各種信息，使企業(yè)員工、用戶(hù)和合作伙伴能夠利用單一的渠道訪問(wèn)其所需的個(gè)性化信息。因此企業(yè)門(mén)戶(hù)應(yīng)該是一個(gè)滿足不同用戶(hù)需求具有簡(jiǎn)單、個(gè)性化和統(tǒng)一界面的多級(jí)系統(tǒng)。

圖3

2.4.2 統(tǒng)一用戶(hù)管理

目前大部分企業(yè)內(nèi)部往往存在多個(gè)獨(dú)立的業(yè)務(wù)應(yīng)用，而每個(gè)業(yè)務(wù)應(yīng)用都需要對(duì)應(yīng)一套身份管理的信息。當(dāng)一個(gè)員工在多個(gè)身份管理系統(tǒng)中存在的時(shí)候，給企業(yè)的身份信息管理也帶來(lái)了很多麻煩。采用統(tǒng)一身份驗(yàn)證、單點(diǎn)登錄和系統(tǒng)集成技術(shù)的門(mén)戶(hù)系統(tǒng)能夠簡(jiǎn)化身份管理和身份識(shí)別。

2.4.2.1 單點(diǎn)登錄

2.4.2.1.1 單點(diǎn)登錄技術(shù)

單點(diǎn)登錄（SSO）是一種的機(jī)制，使得用戶(hù)通過(guò)一次登錄，就可訪問(wèn)平臺(tái)上所的其他應(yīng)用系統(tǒng)或者后端服務(wù)資源。統(tǒng)一身份認(rèn)證技術(shù)的本質(zhì)在于面向SOA架構(gòu)應(yīng)用的用戶(hù)提供用戶(hù)憑據(jù)（CBT）存儲(chǔ)，映射，檢索，傳輸及相關(guān)的管理和配置服務(wù)。

微軟MOSS解決方案提供默認(rèn)的單一登錄（SSO）服務(wù)，用于連接第三方或后端系統(tǒng)的憑據(jù)存儲(chǔ)和映射。MOSS采用在門(mén)戶(hù)平臺(tái)中創(chuàng)建統(tǒng)一的用戶(hù)信息以及SSO連接應(yīng)用映射，首先將用戶(hù)證書(shū)映射至后端加密數(shù)據(jù)系統(tǒng)，在用戶(hù)訪問(wèn)SSO組件時(shí)，利用當(dāng)前用戶(hù)在相關(guān)應(yīng)用中對(duì)應(yīng)的用戶(hù)信息，后臺(tái)模擬登錄其他業(yè)務(wù)系統(tǒng)，以實(shí)現(xiàn)單點(diǎn)登錄。

· SSO體系結(jié)構(gòu)

MOSS SSO體系結(jié)構(gòu)如下圖所示。

服務(wù)器角色：

1） SSO加密密鑰服務(wù)器：啟用了單點(diǎn)登錄服務(wù)的第一臺(tái)服務(wù)器變?yōu)榧用苊荑€服務(wù)器。加密密鑰服務(wù)器生成和存儲(chǔ)加密密鑰。加密密鑰用于對(duì)存儲(chǔ)在SSO數(shù)據(jù)庫(kù)中的證書(shū)進(jìn)行加密和解密。加密密鑰服務(wù)器應(yīng)當(dāng)是一個(gè)應(yīng)用服務(wù)器。在中國(guó)南車(chē)企業(yè)門(mén)戶(hù)項(xiàng)目中，我們建議使用索引服務(wù)器擔(dān)任。

2）單點(diǎn)登錄服務(wù)：單點(diǎn)登錄服務(wù)必須安裝在服務(wù)器場(chǎng)中的所有Web服務(wù)器上。另外，托管Excel報(bào)表服務(wù)的應(yīng)用服務(wù)器也必須安裝該服務(wù)。如果使用業(yè)務(wù)數(shù)據(jù)目錄的系統(tǒng)，則單點(diǎn)登錄服務(wù)也必須安裝在索引服務(wù)器上。所以，在中國(guó)南車(chē)企業(yè)門(mén)戶(hù)項(xiàng)目中，我們建議將該服務(wù)安裝在索引服務(wù)器上。

3） SSO數(shù)據(jù)庫(kù)：在管理中心網(wǎng)站上配置SSO服務(wù)器設(shè)置時(shí)，MOSS在托管配置數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)服務(wù)器上創(chuàng)建一個(gè)SSO數(shù)據(jù)庫(kù)。如果安裝了Microsoft SQL Server，SSO數(shù)據(jù)庫(kù)即是一個(gè)SQL Server數(shù)據(jù)庫(kù)。如果沒(méi)有安裝SQL Server，則單點(diǎn)登錄服務(wù)使用MOSS自帶的SQL Server 2008 Express版本。SSO數(shù)據(jù)庫(kù)存儲(chǔ)加密密鑰。在中國(guó)南車(chē)企業(yè)門(mén)戶(hù)項(xiàng)目中，我們采用后端獨(dú)立數(shù)據(jù)庫(kù)系統(tǒng)存儲(chǔ)SSO密鑰。

· 企業(yè)應(yīng)用程序定義

在一個(gè) SSO 環(huán)境中，后端外部數(shù)據(jù)源和系統(tǒng)被稱(chēng)為企業(yè)應(yīng)用程序。SSO 環(huán)境配置之后，可以創(chuàng)建企業(yè)應(yīng)用程序定義。MOSS連接的每一個(gè)企業(yè)應(yīng)用程序，都有一個(gè)由管理員配置的相應(yīng)的企業(yè)應(yīng)用程序定義?；蛘呖梢詾橄嗤膶?shí)體企業(yè)應(yīng)用程序配置幾個(gè)企業(yè)應(yīng)用程序定義，以確保具有訪問(wèn)權(quán)限的不同組的訪問(wèn)安全。

一個(gè)企業(yè)應(yīng)用程序定義定義如下內(nèi)容：

1）企業(yè)應(yīng)用程序身份（顯示名稱(chēng)、程序名稱(chēng)、e-mail 地址）

2）映射到企業(yè)應(yīng)用程序的用戶(hù)帳戶(hù)類(lèi)型。這取決于企業(yè)應(yīng)用程序是否（在某些情況下是指 Web 部件）基于個(gè)人帳戶(hù)或工作組帳戶(hù)實(shí)施授權(quán)。

3）收集自用戶(hù)的證書(shū)類(lèi)型（用戶(hù)名稱(chēng)、口令或其它諸如智能卡之類(lèi)的證書(shū)）。

4） MOSS Web 用于連接到企業(yè)應(yīng)用程序的帳戶(hù)。

單點(diǎn)登錄功能能夠啟用多個(gè)Web 部件訪問(wèn)不同企業(yè)應(yīng)用程序的場(chǎng)景。不同企業(yè)應(yīng)用程序可以使用不同類(lèi)型的身份驗(yàn)證。企業(yè)應(yīng)用程序還可以基于 Windows 之外的其它操作系統(tǒng)。

2.4.2.1.2 企業(yè)門(mén)戶(hù)單點(diǎn)登錄的實(shí)現(xiàn)

單點(diǎn)登錄的要求主要包括四個(gè)方面

1） Windows客戶(hù)端與企業(yè)門(mén)戶(hù)的單點(diǎn)登錄，實(shí)現(xiàn)用戶(hù)開(kāi)機(jī)登錄windows域后，就能以登錄用戶(hù)的身份訪問(wèn)企業(yè)門(mén)戶(hù)

2）企業(yè)門(mén)戶(hù)與各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄，實(shí)現(xiàn)登錄企業(yè)門(mén)戶(hù)的用戶(hù)，無(wú)需再次輸入用戶(hù)名/口令即可登錄全部基于單點(diǎn)登錄的系統(tǒng)。

3）對(duì)于財(cái)務(wù)系統(tǒng)實(shí)現(xiàn)支持雙因子認(rèn)證的單點(diǎn)登錄

4）對(duì)于移動(dòng)設(shè)備也能使用與企業(yè)門(mén)戶(hù)相同的身份認(rèn)證和單點(diǎn)登錄體驗(yàn)。endprint

· Windows客戶(hù)端與企業(yè)門(mén)戶(hù)的單點(diǎn)登錄

如下圖所示為Windows客戶(hù)端與企業(yè)門(mén)戶(hù)單點(diǎn)登錄的工作原理圖。

1）當(dāng)用戶(hù)通過(guò)Windows客戶(hù)端運(yùn)行Internet Explorer發(fā)出訪問(wèn)企業(yè)門(mén)戶(hù)網(wǎng)頁(yè)訪問(wèn)請(qǐng)求。

2）運(yùn)行MOSS的門(mén)戶(hù)服務(wù)器通過(guò)向?yàn)g覽器發(fā)回第401號(hào)質(zhì)詢(xún)，強(qiáng)制要求通過(guò)超文本傳輸協(xié)議（HTTP）執(zhí)行身份驗(yàn)證。這個(gè)質(zhì)詢(xún)包括一個(gè)WWW-Authenticate HTTP標(biāo)題列表，用來(lái)指定運(yùn)行MOSS的服務(wù)器為接受相關(guān)URL而被配置使用的身份驗(yàn)證協(xié)議。

3） Internet Explorer收到第401號(hào)質(zhì)詢(xún)后，就會(huì)對(duì)標(biāo)題列表進(jìn)行檢查，并根據(jù)瀏覽器獲得的配置，選擇適當(dāng)?shù)纳矸蒡?yàn)證協(xié)議。接著，Internet Explorer將通過(guò)LSA調(diào)用身份驗(yàn)證數(shù)據(jù)包。

4）系統(tǒng)將根據(jù)Windows客戶(hù)端LSA憑據(jù)緩存中已有用戶(hù)憑據(jù)的狀況和獲得企業(yè)門(mén)戶(hù)資源訪問(wèn)權(quán)限所需Kerberos票證的能力將票證從LSA返回給Internet Explorer。

5）如果用戶(hù)Windows客戶(hù)端已經(jīng)登錄域，則將獲得該憑據(jù)。

6） Internet Explorer收到票證后，就會(huì)通過(guò)對(duì)401號(hào)質(zhì)詢(xún)做出的應(yīng)答將其發(fā)回至運(yùn)行在MOSS上的平臺(tái)服務(wù)器—這個(gè)應(yīng)答將包含在WWW-Authenticate HTTP標(biāo)題里。

7）客戶(hù)端再次發(fā)出訪問(wèn)請(qǐng)求后，平臺(tái)服務(wù)器將從HTTP標(biāo)題中摘錄身份驗(yàn)證信息，并將相關(guān)數(shù)據(jù)提交給客戶(hù)端指定的身份驗(yàn)證服務(wù)提供程序（第7步）。

8）如果身份驗(yàn)證執(zhí)行成功，身份驗(yàn)證服務(wù)提供程序就會(huì)生成代表用戶(hù)的訪問(wèn)令牌，而平臺(tái) MOSS服務(wù)器則利用模擬功能將這個(gè)令牌與客戶(hù)端請(qǐng)求相關(guān)聯(lián)。

9）如果不成功，客戶(hù)端Internet Explorer瀏覽器將按照配置的身份驗(yàn)證協(xié)議彈出驗(yàn)證對(duì)話框，要求用戶(hù)輸入用戶(hù)名和密碼。

· 企業(yè)門(mén)戶(hù)與各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄

企業(yè)門(mén)戶(hù)與各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄，主要通過(guò)微軟MOSS門(mén)戶(hù)解決方案開(kāi)箱即用的單點(diǎn)登錄（SSO）服務(wù)實(shí)現(xiàn)，具體技術(shù)細(xì)節(jié)已在上述章節(jié)中描述，這里將就單點(diǎn)登錄過(guò)程進(jìn)行說(shuō)明。

用戶(hù)第一次訪問(wèn)與企業(yè)應(yīng)用程序的 Web 部件。 Web 部件代碼檢查所需要的應(yīng)用程序的用戶(hù)憑據(jù)是否存儲(chǔ)在單一登錄數(shù)據(jù)庫(kù)中。如果憑據(jù)存儲(chǔ)在該數(shù)據(jù)庫(kù)中，這個(gè)過(guò)程將從清單中的第 6 步繼續(xù)進(jìn)行。

1）如果沒(méi)有為該用戶(hù)存儲(chǔ)所需要的應(yīng)用程序的憑據(jù)，用戶(hù)的瀏覽器將被重定向到這個(gè)應(yīng)用程序的登錄表單。

2）用戶(hù)提供該應(yīng)用程序的憑據(jù)。

3）所提供的憑據(jù)被映射到該用戶(hù)的 Windows 帳戶(hù)，并存儲(chǔ)在單一登錄數(shù)據(jù)庫(kù)中。

4）用戶(hù)被重定向到原先的 Web 部件。

5）該 Web 部件從單一登錄數(shù)據(jù)庫(kù)中檢索憑據(jù)。

6） Web 部件向企業(yè)應(yīng)用程序提交憑據(jù)并檢索必要的信息。

7）向用戶(hù)顯示該 Web 部件。

圖中，各角色做如下說(shuō)明：

1） USER：用戶(hù)的客戶(hù)端。

2） SharePoint：?jiǎn)吸c(diǎn)登錄服務(wù)。

3） SQL Server：數(shù)據(jù)庫(kù)服務(wù)。

4） Back-end enterprise application：應(yīng)用系統(tǒng)。

我們采用如上方法即可將多個(gè)應(yīng)用系統(tǒng)的單點(diǎn)登錄進(jìn)行實(shí)現(xiàn)。

如果需要獲得良好的用戶(hù)登錄體驗(yàn)，建議同時(shí)實(shí)現(xiàn)Windows客戶(hù)端與企業(yè)門(mén)戶(hù)單點(diǎn)登錄和企業(yè)門(mén)戶(hù)與后臺(tái)業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄。用戶(hù)只需在企業(yè)門(mén)戶(hù)的管理配置頁(yè)面中“身份驗(yàn)證”配置項(xiàng)，勾選“使用一個(gè)或多個(gè)標(biāo)準(zhǔn)身份驗(yàn)證方法”，并同時(shí)勾選“Windows身份驗(yàn)證”和“基于表單的身份驗(yàn)證”即可。

2.4.2.2 Windows登錄認(rèn)證

在系統(tǒng)訪問(wèn)控制的認(rèn)證處理上，建議將所有用戶(hù)同步到活動(dòng)目錄中（Active Directory）中，并且由活動(dòng)目錄負(fù)責(zé)用戶(hù)的認(rèn)證，其優(yōu)勢(shì)是可以立即獲得Windows用戶(hù)身份在Microsoft操作系統(tǒng)中優(yōu)秀的性，并且，相比較由應(yīng)用自身實(shí)現(xiàn)的簡(jiǎn)單的用戶(hù)名/密碼認(rèn)證方式，活動(dòng)目錄認(rèn)證模式在安全性上有本質(zhì)的提高。

采用活動(dòng)目錄認(rèn)證模式，用戶(hù)首先登錄到Windows域。登錄過(guò)程中，用戶(hù)身份由活動(dòng)目錄域控制器進(jìn)行驗(yàn)證。對(duì)于需要高安全性的環(huán)境，可以使用Smartcard上存放的個(gè)人證書(shū)作為用戶(hù)的身份標(biāo)識(shí)：首先由CA發(fā)放證書(shū)，并由管理員對(duì)此證書(shū)與活動(dòng)目錄中的用戶(hù)帳號(hào)進(jìn)行關(guān)聯(lián)，這樣用戶(hù)可以用Smartcard來(lái)登錄Windows。用戶(hù)登錄場(chǎng)景如下圖所示：

采用活動(dòng)目錄系統(tǒng)、數(shù)字證書(shū)系統(tǒng)以及Smartcard，就可以構(gòu)成一個(gè)安全高效的認(rèn)證系統(tǒng)。

1）與CA的結(jié)合

Windows Server 2008是部署公鑰結(jié)構(gòu)（PKI）的最佳選擇，而且其自動(dòng)注冊(cè)和自動(dòng)更新功能使在企業(yè)中部署智能卡和證書(shū)非常簡(jiǎn)單。Windows Server 2008作為企業(yè)級(jí)的操作系統(tǒng)，對(duì)PKI做了全面支持。PKI在提供高強(qiáng)度安全性的同時(shí)，還與操作系統(tǒng)進(jìn)行了緊密，并作為操作系統(tǒng)的一項(xiàng)基本服務(wù)而存在，避免了購(gòu)買(mǎi)第三方PKI所帶來(lái)的額外開(kāi)銷(xiāo)。Windows Server 2008 PKI包含一系列基本邏輯組件，其中最核心的是微軟證書(shū)服務(wù)系統(tǒng)（Microsoft Certificate Services），它允許用戶(hù)配置一個(gè)或多個(gè)企業(yè)CA，這些CA支持證書(shū)的發(fā)放和廢除，并與活動(dòng)目錄和策略配合，共同完成證書(shū)和廢除信息的發(fā)布。

Windows Server 2008上的信息系統(tǒng)既可以使用Windows Server 2008的證書(shū)服務(wù)，也可以使用第三方CA提供的證書(shū)。利用ADSI，可以在用戶(hù)證書(shū)與Active Directory用戶(hù)之間建立一個(gè)映射，這樣就可以使用第三方的CA，提供同樣的功能。endprint

2）使用Smartcard

現(xiàn)在越來(lái)越多的企業(yè)正在尋找各種方法來(lái)提高其網(wǎng)絡(luò)資源的安全性，智能卡就是其中比較流行的一個(gè)。智能卡提供了讓非授權(quán)人更難獲取網(wǎng)絡(luò)存取權(quán)限的一種簡(jiǎn)單方式，Windows Server 2008對(duì)智能卡安全提供了內(nèi)在支持。

同口令認(rèn)證方式不同，采用智能卡進(jìn)行認(rèn)證時(shí)，用戶(hù)把卡插入連接到計(jì)算機(jī)的讀寫(xiě)器中后，還需要輸入卡的PIN，Windows才可以使用卡中存儲(chǔ)的私鑰和證書(shū)來(lái)向Windows Server 2008域控制器的KDC認(rèn)證用戶(hù)。由于存在Smartcard自身以及PIN碼的雙重保護(hù)，安全性大為增強(qiáng)。

2.4.3 業(yè)務(wù)系統(tǒng)數(shù)據(jù)集成

2.4.3.1 接口方式

系統(tǒng)間數(shù)據(jù)集成，使用主流的標(biāo)準(zhǔn)的數(shù)據(jù)交換格式，即XML。數(shù)據(jù)交換接口采用WebService實(shí)現(xiàn)。

因此，被集成的廠商在數(shù)據(jù)集成方面應(yīng)提供如下條件：

1）編寫(xiě)或提供已存在的WebService接口。

2）數(shù)據(jù)交換格式采用XML格式。

3）需要提供完整的WebService接口調(diào)用說(shuō)明文檔。

2.4.3.2 通過(guò)接口的用戶(hù)身份驗(yàn)證

通過(guò)WebService接口的用戶(hù)身份驗(yàn)證機(jī)制由提供方負(fù)責(zé)，門(mén)戶(hù)系統(tǒng)按照目標(biāo)應(yīng)用系統(tǒng)的安全規(guī)范來(lái)實(shí)現(xiàn)。有關(guān)此說(shuō)明如下：

1）禁止通過(guò)接口獲取數(shù)據(jù)不經(jīng)過(guò)任何用戶(hù)身份驗(yàn)證。

2）門(mén)戶(hù)程序送達(dá)的用戶(hù)名和密碼只能返回對(duì)應(yīng)這個(gè)用戶(hù)身份的相關(guān)信息，而不是所有用戶(hù)的信息。

2.4.3.3 數(shù)據(jù)格式

實(shí)際返回的數(shù)據(jù)格式，應(yīng)為標(biāo)準(zhǔn)的XML文檔格式。返回的數(shù)據(jù)中，包含如下字段：

1）信息標(biāo)識(shí)（ID）

2）信息標(biāo)題

3）業(yè)務(wù)狀態(tài)

4）信息相關(guān)人員

5）發(fā)生時(shí)間

返回的數(shù)據(jù)最好只包含用戶(hù)關(guān)注的數(shù)據(jù)，并且將結(jié)果數(shù)據(jù)進(jìn)行排序，此舉可提高信息集成功能的運(yùn)行效率，縮短用戶(hù)打開(kāi)網(wǎng)頁(yè)的時(shí)間。

2.5 門(mén)戶(hù)界面?zhèn)€性化設(shè)計(jì)

SharePoint 2010在界面靈活化定制方面提供了強(qiáng)大、方便的功能。

2.5.1 可定義的導(dǎo)航元素

網(wǎng)站所有者可以自定義的導(dǎo)航元素包括：“快速啟動(dòng)”欄、頂部鏈接欄和目錄 Web 部件。

1） “快速啟動(dòng)”欄

“快速啟動(dòng)”欄顯示在大多數(shù)頁(yè)面中的一側(cè)，并位于“查看所有網(wǎng)站內(nèi)容”鏈接的正下方。通過(guò)使用“快速啟動(dòng)”欄，您可以按照合理的方式顯示各個(gè)部分的標(biāo)題和指向網(wǎng)站的不同區(qū)域的鏈接。網(wǎng)站所有者可使用以下方式自定義“快速啟動(dòng)”欄：

① 添加指向網(wǎng)站集內(nèi)部或外部的網(wǎng)站的新鏈接。

② 刪除鏈接。

③ 更改鏈接的名稱(chēng)和 URL。

④ 更改某個(gè)標(biāo)題下的鏈接的順序。

⑤ 更改標(biāo)題的名稱(chēng)和 URL、刪除標(biāo)題和創(chuàng)建新標(biāo)題。

⑥ 更改“快速啟動(dòng)”欄中各個(gè)部分（即標(biāo)題及其關(guān)聯(lián)的鏈接）的順序。

在發(fā)布網(wǎng)站上，網(wǎng)站所有者還可以另外使用以下方式自定義“快速啟動(dòng)”欄：

⑦ 配置是否要顯示“快速啟動(dòng)”欄：

a. 與父網(wǎng)站相同的導(dǎo)航項(xiàng)目

b. 當(dāng)前網(wǎng)站的導(dǎo)航項(xiàng)目、當(dāng)前網(wǎng)站下方的導(dǎo)航項(xiàng)目和當(dāng)前網(wǎng)站的同級(jí)網(wǎng)站

c. 當(dāng)前網(wǎng)站下方的導(dǎo)航項(xiàng)目。

⑧ 指定是對(duì)導(dǎo)航鏈接和標(biāo)題自動(dòng)排序（按字母或數(shù)字的升序或降序排序）還是手動(dòng)排序。

⑨ 隱藏“快速啟動(dòng)”欄的鏈接或標(biāo)題。

⑩ 確定僅為特定訪問(wèn)群體的成員顯示“快速啟動(dòng)”欄上的導(dǎo)航鏈接。

2）頂部鏈接欄

此導(dǎo)航元素將作為一個(gè)或多個(gè)超鏈接式選項(xiàng)卡顯示在網(wǎng)站上所有頁(yè)面的頂部。網(wǎng)站所有者可以選擇是顯示父網(wǎng)站的頂部鏈接欄，還是為各個(gè)子網(wǎng)站顯示獨(dú)自的頂部鏈接欄。網(wǎng)站所有者可以在頂部鏈接欄中添加或刪除標(biāo)題和鏈接或?qū)λ鼈冎匦屡判?。另外，在發(fā)布網(wǎng)站上，網(wǎng)站所有者可以指定對(duì)頂部鏈接欄中的導(dǎo)航項(xiàng)目是進(jìn)行自動(dòng)排序還是手動(dòng)排序，隱藏鏈接或標(biāo)題以使其不在頂部鏈接欄中顯示，或者確定僅為特定訪問(wèn)群體的成員顯示頂部鏈接欄中的鏈接。網(wǎng)站所有者還可以選擇在頂部鏈接欄中的鏈接的下拉菜單中顯示子網(wǎng)站或頁(yè)面。

3）目錄 Web 部件

在發(fā)布網(wǎng)站上，如果網(wǎng)站所有者希望顯示網(wǎng)站的導(dǎo)航層次結(jié)構(gòu)的自定義視圖，則可以向一個(gè)頁(yè)面中添加目錄 Web 部件來(lái)實(shí)現(xiàn)此目的。網(wǎng)站所有者可以編輯該 Web 部件，以添加或刪除特定鏈接并自定義鏈接的外觀。

2.5.2 母版頁(yè)和頁(yè)面布局

Microsoft SharePoint 2010 中的 Web 內(nèi)容管理系統(tǒng)的主要優(yōu)點(diǎn)之一是它簡(jiǎn)化了在 SharePoint 網(wǎng)站上創(chuàng)建、發(fā)布和管理 Web 內(nèi)容的過(guò)程。通過(guò)將內(nèi)容與展示分開(kāi)，Web 內(nèi)容管理有利于整個(gè)網(wǎng)站的品牌重新定位，并使得新內(nèi)容的創(chuàng)建更為容易。

母版頁(yè)和頁(yè)面布局是 Web 內(nèi)容管理的兩個(gè)重要功能，有助于統(tǒng)一且高效地設(shè)計(jì) SharePoint 網(wǎng)站。

2.5.2.1 母版頁(yè)

母版頁(yè)包含要在網(wǎng)站的多個(gè)頁(yè)面上重復(fù)的頁(yè)面設(shè)計(jì)和布局元素。例如下圖一個(gè)母版頁(yè)，該母版頁(yè)定義了構(gòu)成該團(tuán)隊(duì)內(nèi)部員工網(wǎng)站通用品牌的元素，如配色方案、徽標(biāo)和導(dǎo)航。

1）配色方案 2）徽標(biāo) 3）導(dǎo)航

通過(guò)將母版頁(yè)用于這些通用元素，可讓網(wǎng)站擁有更加統(tǒng)一的外觀。母版頁(yè)還允許在一個(gè)位置創(chuàng)建和更新這些元素，而不是在每個(gè)網(wǎng)頁(yè)上更改它們。

母版頁(yè)存儲(chǔ)在母版頁(yè)庫(kù)中，母版頁(yè)庫(kù)是在安裝 SharePoint 2010 時(shí)創(chuàng)建的文檔庫(kù)。endprint

默認(rèn)情況下，每個(gè) SharePoint 網(wǎng)站都有一個(gè)母版頁(yè)。可以在母版頁(yè)庫(kù)中存儲(chǔ)任意數(shù)量的母版頁(yè)，但只能選擇一個(gè)母版頁(yè)作為網(wǎng)站的默認(rèn)母版頁(yè)。

母版頁(yè)控制 SharePoint 網(wǎng)站上一組頁(yè)面的外觀，而頁(yè)面布局則控制單個(gè)網(wǎng)頁(yè)并指定可在網(wǎng)頁(yè)上顯示的信息類(lèi)型。

2.5.2.2 頁(yè)面布局

可以將頁(yè)面布局看作內(nèi)容網(wǎng)頁(yè)的模板。在與母版頁(yè)結(jié)合使用時(shí)，頁(yè)面布局定義網(wǎng)站內(nèi)網(wǎng)頁(yè)的布局和品牌定位。

SharePoint 2010 包括一組適合“歡迎頁(yè)面”和“文章頁(yè)面”內(nèi)容類(lèi)型的頁(yè)面布局?！皻g迎頁(yè)面”和“文章頁(yè)面”內(nèi)容類(lèi)型非常普遍，可以應(yīng)用于很多種情況。網(wǎng)頁(yè)上顯示的字段的類(lèi)型由頁(yè)面的內(nèi)容類(lèi)型決定。在創(chuàng)建網(wǎng)頁(yè)時(shí)，必須準(zhǔn)確地將內(nèi)容類(lèi)型與一種頁(yè)面布局聯(lián)系起來(lái)。

網(wǎng)頁(yè)的內(nèi)容存儲(chǔ)在內(nèi)容網(wǎng)頁(yè)上的字段內(nèi)。當(dāng)請(qǐng)求一個(gè)網(wǎng)頁(yè)時(shí)，母版頁(yè)和頁(yè)面布局合并形成整體設(shè)計(jì)。之后，內(nèi)容從內(nèi)容網(wǎng)頁(yè)中提取出來(lái)并顯示在網(wǎng)頁(yè)的最終設(shè)計(jì)內(nèi)。

可以修改現(xiàn)有的頁(yè)面布局或者創(chuàng)建新的頁(yè)面布局。創(chuàng)建頁(yè)面布局時(shí)，使用 Microsoft Office SharePoint Designer 2010 Web 創(chuàng)作工具添加字段控件。頁(yè)面布局與母版頁(yè)一起存儲(chǔ)在母版頁(yè)庫(kù)中。

通過(guò)使用母版頁(yè)和頁(yè)面布局，可以更加高效地控制和管理您的頂級(jí)網(wǎng)站，并在顯示網(wǎng)站的各個(gè)網(wǎng)頁(yè)時(shí)保證一致性。

3 結(jié)論

集團(tuán)企業(yè)門(mén)戶(hù)系統(tǒng)建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，需要解決多級(jí)門(mén)戶(hù)、統(tǒng)一用戶(hù)管理、身份驗(yàn)證、單點(diǎn)登錄和業(yè)務(wù)系統(tǒng)數(shù)據(jù)集成等問(wèn)題，該文采用AD域控、單點(diǎn)登錄、Webservice接口等技術(shù)較好的解決了這些問(wèn)題。采用 Microsoft Office SharePoint Designer 2010開(kāi)發(fā)平臺(tái)設(shè)計(jì)出合理的系統(tǒng)架構(gòu)，人性化的系統(tǒng)功能，使門(mén)戶(hù)系統(tǒng)成為滿足用戶(hù)訪問(wèn)各級(jí)門(mén)戶(hù)、協(xié)同辦公、統(tǒng)一搜索等需求的一個(gè)集中信息發(fā)布、展現(xiàn)所有業(yè)務(wù)數(shù)據(jù)的平臺(tái)。該文對(duì)于使用Microsoft Office SharePoint Designer 2010開(kāi)發(fā)企業(yè)門(mén)戶(hù)系統(tǒng)的讀者具有一定的借鑒作用。

參考文獻(xiàn)：

[1] 屠立剛，吳翠鳳.Microsoft Office SharePoint Server 2007管理大全[M].北京：電子工業(yè)出版社，2008.

[2] （美）Tom Rizzo.SharePoint 2010開(kāi)發(fā)高級(jí)教程[M].北京：清華大學(xué)出版社，2012.

[3] 劉曉輝，王淑江.Windows Server 2003活動(dòng)目錄實(shí)戰(zhàn)指南[M].北京：人民郵電出版社，2007.

[4] Stan Reimer，Conan Kezema ，Mike Mulcare . WindowsServer2008活動(dòng)目錄應(yīng)用指南[M]. 薛賽男，等，譯.北京：人民郵電出版社，2010.

[5] 于紅霞.數(shù)字化校園中統(tǒng)一身份驗(yàn)證關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].浙江：浙江大學(xué)，2005.

[6] 微軟統(tǒng)一身份認(rèn)證服務(wù)[EB/OL].http：//www.passport.net.

[7] 譚立球，費(fèi)耀平，李建華.企業(yè)信息門(mén)戶(hù)單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2005（9）：102-104.

[8] 牛炎.基于Web Service的單點(diǎn)登錄功能設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2010（29）：8241-8242.endprint