周洋

摘要：企業(yè)門戶系統(tǒng)為員工提供綜合信息服務(wù)的同時(shí)，內(nèi)部需要與各業(yè)務(wù)系統(tǒng)對(duì)接，其目的旨在通過統(tǒng)一的系統(tǒng)入口，實(shí)現(xiàn)單點(diǎn)登錄、統(tǒng)一待辦等功能，為企業(yè)員工提供一站式的信息訪問服務(wù)。本文旨在通過前端向?qū)渲?，以最小的代價(jià)完成對(duì)異構(gòu)系統(tǒng)的接入。

關(guān)鍵詞：門戶；單點(diǎn)登錄；統(tǒng)一待辦

中圖分類號(hào)：TP3ll 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2018）02-0134-03

1背景

隨著信息化在企業(yè)中的持續(xù)深入推進(jìn)，企業(yè)逐步實(shí)施PLM（產(chǎn)品全生命周期管理系統(tǒng)）、OA（協(xié)同辦公系統(tǒng)）、QMS（質(zhì)量信息系統(tǒng)）等業(yè)務(wù)信息系統(tǒng)，這些系統(tǒng)對(duì)企業(yè)生產(chǎn)經(jīng)營活動(dòng)中的支撐作用及成效越來越突出。隨著企業(yè)信息化建設(shè)的不斷深入，業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)的數(shù)量也在持續(xù)不斷增加，從技術(shù)層面看，也帶來了以下突出問題：

（1）早期信息系統(tǒng)的建設(shè)以滿足企業(yè)業(yè)務(wù)需求為主，且系統(tǒng)在架構(gòu)上零散獨(dú)立，有國內(nèi)外成熟軟件，也有定制開發(fā)軟件，缺少整體協(xié)同性。（2）隨著應(yīng)用系統(tǒng)的不斷增多，員工在開展工作過程中需要頻繁進(jìn)行系統(tǒng)切換與登錄，而且還需記憶不同系統(tǒng)的登錄地址、用戶名、密碼，嚴(yán)重影響工作效率。（3）從信息化管理者角度出發(fā)，各系統(tǒng)中用戶和部門數(shù)據(jù)差異較大，且均不完整，且一旦公司有人員或部門的調(diào)整，信息中心每個(gè)系統(tǒng)管理員就需要耗費(fèi)大量的時(shí)間和精力來維護(hù)這些數(shù)據(jù)，工作內(nèi)容重復(fù)。（4）密碼安全隱患越來越明顯，由于各系統(tǒng)都保存有用戶的密碼，員工一般都會(huì)將各系統(tǒng)密碼都會(huì)設(shè)為相同，各系統(tǒng)管理員、實(shí)施顧問甚至單位內(nèi)部人員都可以獲得該密碼。

目前，企業(yè)通過門戶系統(tǒng)建設(shè)，構(gòu)建一體化的信息平臺(tái)。除實(shí)現(xiàn)綜合信息展示外，快捷、低成本完成對(duì)業(yè)務(wù)系統(tǒng)的接入，實(shí)現(xiàn)各系統(tǒng)統(tǒng)一用戶管理、統(tǒng)一認(rèn)證、單點(diǎn)登錄、統(tǒng)一待辦等功能，成為系統(tǒng)建設(shè)的基礎(chǔ)性內(nèi)容，也是重點(diǎn)內(nèi)容之一。

2 企業(yè)門戶集成架構(gòu)的設(shè)計(jì)

企業(yè)信息門戶的集成架構(gòu)見圖1，分為如下五大模塊：

（1）統(tǒng)一用戶管理。統(tǒng)一用戶管理是一體化信息平臺(tái)建設(shè)的基礎(chǔ)，也是約束系統(tǒng)數(shù)據(jù)統(tǒng)一標(biāo)準(zhǔn)的重要手段。本文中所指的用戶信息，包括與用戶相關(guān)的信息及組織機(jī)構(gòu)信息。統(tǒng)一的用戶管理模塊中，不僅實(shí)現(xiàn)與人力資源系統(tǒng)對(duì)接，完成對(duì)用戶信息進(jìn)行集中的、全生命周期的管理，還包括用戶對(duì)接入系統(tǒng)訪問權(quán)限的管理。（2）身份認(rèn)證。指對(duì)員工在登錄業(yè)務(wù)系統(tǒng)時(shí)，對(duì)用戶名、密碼及其它認(rèn)證憑據(jù)信息正確性驗(yàn)證進(jìn)行統(tǒng)一的管理。在企業(yè)中，因歷史原因、產(chǎn)品選型等原因，不僅需要考慮未來的統(tǒng)一集中認(rèn)證，還需結(jié)合企業(yè)業(yè)務(wù)應(yīng)用現(xiàn)狀，考慮系統(tǒng)應(yīng)用本身等認(rèn)證機(jī)制。（3）單點(diǎn)登錄。單點(diǎn)登錄是指員工通過登錄門戶系統(tǒng)這個(gè)“單點(diǎn)”后，不再還需要繼續(xù)輸入用戶名與密碼等憑據(jù)信息，就可以直接進(jìn)入其他信息系統(tǒng)，進(jìn)行業(yè)務(wù)處理。（4）統(tǒng)一待辦。統(tǒng)一待辦是指將各個(gè)業(yè)務(wù)系統(tǒng)分散的、需要一個(gè)員工處理的事項(xiàng)集中在一起，進(jìn)行集中展現(xiàn)與處理。（5）消息隊(duì)列推送。是指通過消息隊(duì)列，將用戶和組織機(jī)構(gòu)變更信息推送給各業(yè)務(wù)系統(tǒng)，由各業(yè)務(wù)系統(tǒng)根據(jù)變化情況自行進(jìn)行業(yè)務(wù)調(diào)整。

3 企業(yè)門戶“業(yè)務(wù)系統(tǒng)接入”模塊的設(shè)計(jì)

業(yè)務(wù)接入模塊為企業(yè)門戶中的核心，其目的是搜集業(yè)務(wù)接入信息，形成核心配置參數(shù)庫，用于指揮其他模塊的輸出。

本模塊的設(shè)計(jì)原則：盡可能提供靈活的配置，增強(qiáng)設(shè)計(jì)柔性，以適配不同類型系統(tǒng)、不同接口、不同的接入方式。

本模塊的總體設(shè)計(jì)思路為：前端向門戶管理員提供向?qū)?，通過每個(gè)步驟的配置，獲取接入系統(tǒng)與門戶系統(tǒng)集成配置信息，并以該配置信息作為其他模塊與業(yè)務(wù)系統(tǒng)集成的基礎(chǔ)信息。如圖2所示。

在總體設(shè)計(jì)中，系統(tǒng)接入模塊包括接入系統(tǒng)登記、用戶信息推送配置、認(rèn)證接入配置、單點(diǎn)登錄接入配置及待辦接入配置五大部分。其中：

（1）接入系統(tǒng)登記。主要實(shí)現(xiàn)對(duì)接入系統(tǒng)基本信息的登記，主要內(nèi)容如表1所示。（2）用戶信息推送配置。主要完成向業(yè)務(wù)系統(tǒng)推送用戶、組織機(jī)構(gòu)等信息的登記，主要內(nèi)容如表2所示。（3）認(rèn)證接入配置。對(duì)業(yè)務(wù)系統(tǒng)接入門戶的認(rèn)證方式進(jìn)行登記，為單點(diǎn)登錄、接入系統(tǒng)獨(dú)立登錄方式進(jìn)行信息登記（后續(xù)可用于擴(kuò)展，如短信認(rèn)證、證書認(rèn)證等），主要內(nèi)容如表3所示。（4）單點(diǎn)登錄接入配置。對(duì)通過企業(yè)門戶單點(diǎn)進(jìn)入各業(yè)務(wù)系統(tǒng)的相關(guān)配置信息進(jìn)行登記，主要內(nèi)容如表4所示。（5）待辦接入配置。對(duì)通過企業(yè)門戶單點(diǎn)進(jìn)入各業(yè)務(wù)系統(tǒng)的相關(guān)配置信息進(jìn)行登記，主要內(nèi)容如表5所示。

4 系統(tǒng)接入模塊在系統(tǒng)單點(diǎn)登錄中的應(yīng)用

本節(jié)將通過中間件方式，對(duì)系統(tǒng)接入模塊單點(diǎn)登錄中的運(yùn)行機(jī)制進(jìn)行深入介紹。單點(diǎn)登錄機(jī)制見圖3所示。

用戶通過門戶前端，發(fā)出單點(diǎn)請(qǐng)求，在請(qǐng)求過程中，門戶系統(tǒng)從Token發(fā)放與認(rèn)證中心中發(fā)放Token，并將該Token傳遞接入系統(tǒng)單點(diǎn)登錄代理，由該代理再次對(duì)該Token進(jìn)行認(rèn)證，認(rèn)證成功后則進(jìn)入接入系統(tǒng)。

為保障系統(tǒng)安全性，對(duì)Token的發(fā)放、認(rèn)證至關(guān)重要。Token生成與認(rèn)證經(jīng)由復(fù)雜的加密、解密算法構(gòu)成，加解密內(nèi)容除包括必須的目標(biāo)地址、用戶名等信息外，還注入了時(shí)間戳、動(dòng)態(tài)加密碼、訪問隨機(jī)碼等信息。為防止時(shí)間誤差，該機(jī)制中還需引入時(shí)鐘同步，確保時(shí)間戳在單點(diǎn)登錄過程中的有效性。單點(diǎn)登錄不但防止非法分子對(duì)傳輸數(shù)據(jù)的篡改，阻止非法登錄訪問，而且避免了采用HTTPS及其他方式帶來的證書應(yīng)用問題。提高了認(rèn)證的便捷性。關(guān)于Token的生成，筆者所在企業(yè)已申請(qǐng)了專利《一種采用中間件實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng)》。

在該機(jī)制中，系統(tǒng)接入模塊對(duì)Token的生成至關(guān)重要，當(dāng)因系統(tǒng)調(diào)整，需對(duì)認(rèn)證方式修改時(shí)，可通過對(duì)接入配置信息的修改，快速實(shí)現(xiàn)單點(diǎn)登錄過程的自動(dòng)調(diào)整，滿足企業(yè)靈活多變的需要。

5 企業(yè)門戶“業(yè)務(wù)系統(tǒng)接入”模塊的實(shí)現(xiàn)

根據(jù)上述設(shè)計(jì)，作者在所屬企業(yè)的門戶項(xiàng)目實(shí)施中，在微軟SharePoint的門戶系統(tǒng)基礎(chǔ)上，完成系統(tǒng)接入模塊的實(shí)現(xiàn)。一方面，利用SharePoint實(shí)現(xiàn)對(duì)業(yè)務(wù)信息的聚合，向員工提供綜合信息前端展示服務(wù)，另一方面，在門戶系統(tǒng)后端，采用定制開發(fā)方式，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)接入配置，實(shí)現(xiàn)與SharePoint的無縫集成。

目前，企業(yè)門戶系統(tǒng)運(yùn)行穩(wěn)定，已完成了24個(gè)不同架構(gòu)系統(tǒng)的接入。從架構(gòu)上看，包括了BS及CS的系統(tǒng)，不僅包括了國內(nèi)軟件、定制軟件，而且也包括了國外WindChillPLM、DominoOA。

從單點(diǎn)登錄上看，如圖4所示，目前，每月發(fā)生近5萬次的單點(diǎn)登錄請(qǐng)求，運(yùn)行穩(wěn)定安全。

總體上看，該設(shè)計(jì)實(shí)現(xiàn)從對(duì)系統(tǒng)的接入采用向?qū)浇尤?，不僅方便快捷，而且因系統(tǒng)做了不同技術(shù)類型的對(duì)接方式，接入成本低，滿足企業(yè)靈活多變的業(yè)務(wù)需要。

6 結(jié)語

本文從企業(yè)實(shí)際出發(fā)，為企業(yè)門戶提出了一種簡單、方便快捷、低成本的系統(tǒng)接入模式，大大降低了系統(tǒng)接入門戶系統(tǒng)的對(duì)接難度。

除對(duì)企業(yè)門戶系統(tǒng)采取技術(shù)手段外，還應(yīng)配備相應(yīng)的管理措施，從接入系統(tǒng)的產(chǎn)品選型、招標(biāo)開始，就將與門戶對(duì)接作為技術(shù)要求之一，進(jìn)而保障企業(yè)一體化信息平臺(tái)的構(gòu)建。