联通门户规范交流.ppt

《联通门户规范交流.ppt》由会员分享，可在线阅读，更多相关《联通门户规范交流.ppt（38页珍藏版）》请在三一办公上搜索。

1、中国联通门户规范交流,2009年8月,内部门户系统定位及目标内部门户系统概述内部门户应用功能用户管理与认证功能内部门户集成架构,内部门户系统定位,聚合内部复杂的管理系统和业务系统，实现对企业内部协同办公管理流程、人财物资源管理、统计分析等流程的有机集成；办公应用集中展现，提供“集团-省份”分级应用集成，促进工作效率最大化；信息服务集中展现，提供信息管理有效性。,内部门户系统总体目标,用户目录管理和统一身份认证，实现“多点授权，一点清权”实现企业信息内容和应用系统的聚合内部员工访问企业信息资源的统一入口统一管理各类与门户集成的系统帐号；统一管理用户使用被集成应用系统的相关系统处理流程，包括帐号维

2、护、权限维护、用户信息管理等相关流程；三类门户应用总部门户集成总部本地应用全国门户面向全国的联通员工提供服务支持省公司门户及部分直属子公司集成内部的本地应用两级门户部署架构集团统一部署总部门户及全国门户省分公司及部分直属子公司统一部署本地门户,内部门户系统定位及目标内部门户系统概述内部门户应用功能用户管理与认证功能内部门户集成架构,内部门户系统逻辑功能架构,门户应用管理,展现层管理,展现风格管理,栏目管理,个性化展现,门户基本服务,全国通讯录,待办/待阅,短信发送,系统管理,系统权限管理,系统安全管理,操作日志管理,系统维护,应用集成管理,信息展现,信息搜索,用户管理与认证,用户管理,用户目录

3、管理,用户权限管理,用户自助服务,用户数据同步服务,用户认证,单点登录,认证服务,门户互访,全国门户,内部门户系统部署架构,总部门户,单点登陆,表现层管理,统一安全管理,总部,省分,总部目录,同步复制,统一目录服务统一身份管理,统一集成接口统一待办接口,同步复制,一级部署、服务全网,专业系统,办公,邮件,统一身份管理归属地认证分级赋权全网透明访问统一待办,域管理（认证、终端管理、防病毒）,省分门户,单点登陆,表现层管理,统一安全管理,省分目录,域管理（认证、终端管理、防病毒）,单点登陆,统一安全管理,全国目录,全国专业应用,全国办公应用,表现层管理,专业系统,办公,邮件,数据同步机构/人员信息

4、,内部门户系统逻辑架构,门户系统提供用户管理系统、用户目录系统、帐号管理系统、认证网关、门户及应用等服务模块，其中：用户管理系统负责用户基础数据维护；帐号管理平台负责用户帐号的创建和维护，同时负责帐号策略维护；认证网关负责用户身份的验证（基本身份、帐号认证和访问策略等验证）；用户目录中包含用户的基本信息和帐号信息，可提供给认证网关进行门户认证和应用系统SSO认证。（注：用户目录包括用户的帐号信息和全国/省份目录中的用户基本信息）,用户登录门户访问应用系统的基本逻辑过程如下：用户登录门户认证网关通过用户目录验证身份和帐号认证网关与应用系统进行SSO认证用户通过认证通过门户SSO访问应用系统,内部

5、门户系统两级逻辑架构-概述,门户应用系统分为全国、省份（总部/省分）两级应用系统架构；全国应用系统中包含全国应用、全国用户管理、全国目录、认证网关等功能模块，其中：全国用户管理负责全国目录用户和组织信息的维护；认证网关负责用户SSO访问全国门户的身份验证；全国目录存放全国所有省份（总部/省分）的用户和组织信息；省份（总部/省分）应用系统中包含本省的门户应用、本省目录、认证网关等功能模块；其中：本省门户应用集中本省相关系统应用；省份认证网关负责用户SSO访问本省门户的身份验证；本省目录存放本省的用户和组织信息；认证网关通过用户目录验证用户基本信息和帐号信息，然后与应用系统进行SSO认证，完成用户

6、单点登录的认证和访问授权过程。,两级逻辑架构分解 两级建设和互访,内部门户系统支持两级建设，即：全国门户主要指全国门户系统，集成全国集中应用系统（例如全国通讯录），提供给全国用户进行访问；省份（总部/省分）门户主要指本地门户，集成本地应用系统或部分全国集中应用（如HR自助）。,内部门户系统支持两级互访，即：总部用户通过总部门户访问全国门户中的集中应用；总部用户通过总部门户访问各省分门户的本地应用，实现跨域互访；省分用户通过本省门户访问全国门户集中应用和本地门户集成应用；根据管理要求，系统支持省分用户跨域访问总部门户应用，但根据现行规定，暂不对省分用户开放跨域访问总部或其他省分门户的功能。,两级

7、逻辑架构分解 两级目录数据同步,与门户两级建设相对应，目录系统也进行两级建设，即：全国门户负责全国目录系统建设和维护；省份（总部/省分）门户在本地建设本地目录系统。,两级目录之间进行目录数据同步，实现用户信息一致性：用户目录数据的同步复制方向是从上往下，即目录数据只从全国向总部和省分进行单向复制和同步；在全国目录中建立用户时，数据将同步复制到省份（总部/省分）目录。,用户目录两级逻辑架构,与门户系统两级建设相对应，用户目录系统也采取全国和省份（总部/省分）两级架构，其中全国目录管理全国用户基本信息，省份目录管理本地用户基本信息；用户信息由上至下单向从全国目录同步至总部/省分目录；存储在目录系统

8、中的门户用户分为两类，即：正式用户主要指HR数据，由HR系统负责创建和维护，同步至全国目录；非正式用户指非HR数据，由门户系统的用户管理系统负责创建和维护；全国用户管理系统落地到省份（总部/省分）进行集成；本地MSS管理员通过全国用户管理系统维护在全国目录中的本省用户。帐号管理平台分全国和省份（总部/省分）两级建设架构；全国帐号管理平台负责为用户访问全国应用创建帐号；省份（总部/省分）帐号管理平台负责为用户访问本地应用创建帐号；AD系统主要承载域用户的认证、邮件帐号创建、域用户密码维护等职责，其帐号和密码只能通过门户的用户管理功能进行维护，保持用户信息的同步和一致性。,内部门户系统定位及目标内

9、部门户系统概述内部门户应用功能用户管理与认证功能内部门户集成架构,内部门户应用功能描述 概述,门户应用管理,展现层管理,展现风格管理,栏目管理,个性化展现,子门户管理,门户基本服务,全国通讯录,待办/待阅,短信发送,系统管理,系统权限管理,系统安全管理,操作日志管理,系统维护,应用集成管理,信息展现,信息搜索,用户管理与认证,用户管理,用户目录管理,用户权限管理,用户自助服务,用户数据同步服务,用户认证,单点登录,认证服务,门户互访,基本应用功能,内部门户应用功能描述,门户应用管理,展现层管理,展现风格管理,栏目管理,个性化展现,子门户管理,门户基本服务,全国通讯录,待办/待阅,短信发送,信息

10、展现,信息搜索,对门户系统展现界面、风格、色调、布局统一性实施管理，具体要求按“VI规范”执行,对门户栏目的创建和维护功能、栏目布局设置、栏目访问多样性等实施管理,支持用户对门户展现风格个性化、信息获取方式个性化、部分操作个性化处理,支持应用门户集成和子门户集成的规范和约束,其他,基于办公系统信息发布要求，以各种形式进行信息展现和发布,支持中国联通全体员工基本信息的展现、浏览和查询等,集成全国集中和省份应用的待办/待阅事项进行信息展现和提醒等,支持门户页面短信单点发送等相关功能，在没有另建短信应用系统的情况下，门户负责短信发送功能实现；否则仅进行应用集成。,通过门户窗口实现对被集成应用中的信息

11、搜索功能，包括多种方式和多种维度的查询方式及展现等,根据需要，增加其他集成或门户自身应用功能，如栏目导航,单点登录和门户互访是门户的另外两项重要基本功能。单点登录门户系统作为用户访问企业信息资源和应用的统一入口，必须实现门户系统与其集成应用之间的单点登录；用户只需在门户系统一次身份认证，即可对所有被授权的集成应用进行无缝访问，无需再次进行重复身份认证；用户通过集中的访问控制进行认证和授权，并SSO到门户。门户互访门户系统支持有限的门户互访，即总部用户访问全国门户、省分门户；省分用户访问全国门户。同时，必须实现SSO功能。,内部门户应用 关键技术 展现集成,门户系统展现集成方式主要有三种，即：链

12、接直接跳转-在需要访问到其他应用系统信息时直接跳转到该应用系统；iFrame-浮动帧标记，将一个应用系统嵌入到门户中显示；RSS-信息发布格式的一种，通过xml的格式，发布内容的摘要和内容，供其它的RSS客户端远程调用。,内部门户应用 关键技术 展现控制,根据用户访问权限，门户系统提供差异化页面展现方式和内容，主要通过“用户组”管理的方式实现，即：用户组指用户的集合。通过用户组控制用户在门户中所能访问集成应用的范围，针对一类应用系统可以创建一个用户组；用户组的维护在本省进行，本省根据自身门户的集成应用系统情况，在本地用户目录中进行用户组的创建和维护。,内部门户系统定位及目标内部门户系统概述内部

13、门户应用功能用户管理与认证功能内部门户集成架构,用户管理与认证功能描述 概述,门户应用管理,展现层管理,展现风格管理,栏目管理,个性化展现,子门户管理,门户基本服务,全国通讯录,待办/待阅,短信发送,系统管理,系统权限管理,系统安全管理,操作日志管理,系统维护,应用集成管理,信息展现,信息搜索,用户管理与认证,用户管理,用户目录管理,用户权限管理,用户自助服务,用户数据同步服务,用户认证,单点登录,认证服务,门户互访,内部门户核心功能,用户管理 用户基本概念和功能,根据是否来自HR，门户系统用户分为正式用户和非正式用户；用户描述需要三类重要属性，即固定属性、自管理属性、被管理属性；用户管理必须

14、支撑两类用户的创建、修改、删除、调动、禁用/启用、兼职等维护操作。,正式用户的数据由HR系统进行维护，HR系统借助用户管系统中的同步服务维护正式用户；非正式用户的数据由用户管理系统进行维护；省份（总部/省分）MSS管理员分别负责维护本省的非正式用户；用户维护过程包括三类数据的同步，即：HR系统与全国目录的同步，主要通过接口数据库和监控服务实现；全国目录与总部目录、省分目录的同步，主要通过全国同步服务实现；全国目录与AD系统的同步，主要通过全国同步服务实现；全国同步服务在用户管理系统中。,用户管理 正式用户维护流程,1)HR管理员在HR系统新增一个用户；2)HR系统将变化的用户数据写到接口数据库

15、；3)用户管理系统的同步服务监控接口数据库变化；4)并在全国目录系统新增用户和AD用户；同时将AD中的邮件信息回写接口数据库；HR系统扫描接口数据库更新HR用户信息；5)全国同步服务监控全国目录数据变化；将全国目录系统新增的用户信息同步至总部和省分目录。,用户管理 非正式用户维护流程,1)总部/省分MSS管理员通过用户管理系统新增一个用户；2)用户管理系统将新增数据写入全国目录；3)同步服务监控全国目录数据变化；4)同步服务将全国目录系统中的新增用户同步至AD系统，同时将新增的用户信息同步至总部和省分目录。,用户管理 组织管理,与用户分类原则相似，根据是否来源于HR系统信息，组织也分为正式组织

16、和非正式组织；正式组织信息来自HR系统，通常指中国联通正式编制下的正式组织形式；非正式组织主要出于特殊业务需求和临时性运营需要（例如虚拟组织），由内部门户系统的用户管理系统进行创建和维护；描述组织的基本信息包括组织标识、组织级别、组织名称等；正式组织的维护通过HR系统完成，同步至全国目录，且支持组织添加、删除和修改等维护操作；非正式组织的维护通过用户管理系统完成。,HR系统借助用户管系统中的同步服务对正式组织信息进行维护；非正式组织的数据由集团、省份（总部/省分）MSS管理员通过用户管理系统进行维护；集团MSS管理员维护集团层面非正式组织信息；总部/省分MSS管理员负责维护本省的非正式组织信息

17、；组织维护过程包括三类数据的同步，即：HR系统与全国目录的同步，主要通过接口数据库和监控服务实现；全国目录与总部目录、省分目录的同步，主要通过全国同步服务实现；全国目录与AD系统的同步，主要通过全国同步服务实现。,用户管理 关键技术 目录管理,技术角度，通过目录树实现目录管理；目录树结构设计为目录树据的命名和应用访问提供基本框架，目录树的结构设计应符合目录层次模型。目录树设计的基本原则如下：有利于简化目录树据的管理；支持灵活的创建数据复制和访问策略；支持应用系统对目录树据的访问要求。,全国用户目录树,用户管理 关键技术 目录管理,总部和省分公司由于门户互访权限不同，目录树也有所不同；总部目录树

18、中不含省公司用户数据节点，省公司用户目录树中含有总部用户节点。,总部用户目录树,省分用户目录树（广东为例）,中国联通IT系统MSS域企业内部门户系统技术规范_用户管理与认证子系统附录部分详细说明了“目录系统架构”,认证与授权基本逻辑,对用户的认证和授权主要由认证网关完成；认证网关作为用户访问的集中点，接收访问请求，代理用户访问后台相关应用；用户认证和授权的主要通过帐号策略建立用户访问应用系统的子帐号，由此授与用户对应用系统的访问权限。,根据用户的角色和不同的帐号策略创建用户访问应用系统的子帐号并赋权（如ERP策略创建ERP子帐号）；用户的应用系统访问帐号来源用户所对应的子帐号（如HR帐号对应H

19、R系统）；用户登录门户时，认证网关对用户身份进行认证，并获取子帐号信息；进入门户后，根据不同子帐号SSO访问相应的应用系统。,认证与授权用户帐号管理概述,用户帐号决定用户的应用系统访问权限，包括主帐号和子帐号，其中：主帐号作为唯一标识，随用户的创建而产生；子帐号通过帐号管理平台根据帐号策略（包括帐号的生命周期）创建；全国、总部和省分均部署帐号管理平台，负责子帐号的创建和维护，以及帐号的权限配置；从长远目标来看，帐号管理范围应该包括所有帐号，但从技术和需求实际出发，本期规范约定帐号管理范围包括正式和非正式用户帐号、虚拟帐号，但暂不包括设备帐号、AD系统管理员帐号；用户的应用系统访问帐号来源用户所

20、对应的子帐号（如HR帐号对应HR系统）；帐号创建、修改、禁用/启用、删除、过期处理等，均可通过两种途径实现，其一随用户维护的变化而变化，其二MSS管理员通过帐号管理平台进行维护；内部门户系统进行帐号创建、删除、禁用/启用等维护操作后，应该通过向应用系统管理员推送“待办”信息的方式，提醒应用系统管理员在应用系统内进行子帐号和应用权限配置操作。,认证与授权账号管理体系架构,应用账号管理整体分为全国和省分（总部）两级。在全国通过全国账号同步服务按规则创建全国集中应用系统、AD系统和省分目录系统的账号。在省分账号管理通过账号同步服务和账号管理平台实现。账号同步服务跟据目录数据按规则创建访问控制系统、账

21、号管理系统和其它应用系统账号。应用系统也可以通过代理接入账号管理系统进行管理。,认证与授权用户密码管理概述,密码的设置要求长度至少8位，必须包含字符字母和数字，其密码的重复字母数不能大于3；密码必须有使用期限的限制，过期强制提醒修改或根据规则强制修改；用户改密码时需要验证原密码；密码可以通过用户自助服务或者让管理员通过帐号管理平台进行修改；当帐号的所有者遗忘了帐号密码时，MSS管理员可以重置密码，并要求记录密码操作日志；用户几次登录不成功，系统将自动锁定帐号；解锁过程可通过用户手机获取新密码、通过管理员手工修改密码、用户手机口令找回密码等方式实现；系统需要支持不同的密码解锁方式。,根据管理要求

22、，被集成的应用系统访问密码与门户密码必须保持一致；门户密码必须保持与AD系统中帐号密码的一致；门户密码修改后，自动修改AD域密码；反之，控制被集成的应用系统、AD域修改访问密码的权限，即不允许用户脱离门户修改AD域和被集成应用系统密码。,密码一致性控制,密码基本策略,认证与授权用户密码AD同步示意,门户系统与AD系统在集团一个节点实现密码同步,由于目前仅有一个全国同步节点，一旦AD系统出现问题，将直接影响门户系统密码更改过程；从安全风险控制角度，必须强化AD域安全保障能力，同时在AD与门户的接口节点和流程上强化技术支撑能力。,用户SSO登录门户后，通过密码自助修改帐号密码；密码写入帐号管理平台

23、；帐号管理平台调用全国用户管理系统提供的密码管理接口，通过该接口将密码写入全国目录和全国AD；帐号管理平台将密码写入总部/省分目录、总部/省分访问控制系统和应用系统。,注,认证与授权用户认证,用户通过认证网关认证并实现门户及应用系统的单点认证；所有与门户集成的应用系统都必须要求实现单点认证；用户的桌面必须实现与AD域的单点认证；门户系统间的互访必须实现跨域单点认证；认证系统需提供标准的认证接口；集成的应用系统需实现认证接口。,门户的认证服务由认证网关提供，应用系统的认证由应用系统提供；用户在登录门户时由认证网关进行身份验证,随后，用户在访问门户集成应用时，由应用系统进行系统内身份认证；用户通过

24、桌面登录域时，通过AD系统进行身份认证后，在登录门户系统时，则不需要再进行门户身份认证。,认证规则,认证网关功能及要求,认证与授权关键技术 密码自助,密码自服务功能，提供用户修改密码的功能，要求密码自服务页面集成到门户展现，用户密码修改后，调用帐号管理平台API更新主帐号密码；主帐号密码修改后，将密码同步到各应用系统，并将密码修改请求提交到全国用户管理平台接口；在全国用户管理平台和AD之间，设立全国密码同步接口，负责用户密码修改同步；密码同步遵循单向规则，对于加入域管理的用户，要求关闭用户在操作系统修改密码的功能，必须统一使用门户上的密码自服务功能。,认证与授权关键技术 访问控制,在全国、省份

25、（总部/省分）部署访问控制系统作为门户系统的认证和授权；从技术角度，访问控制系统包括认证网关、访问策略服务；全国互访通过应用域间的访问控制系统建立互信关系实现。,用户通过浏览器登录认证网关；认证网关连接目录，验证用户；通过认证以后，认证网关获取用户帐号信息，并通过访问策略，将用户可访问使用的权限分配给用户；认证网关获取帐号信息后，判断帐号是否可以访问使用，如果不可以，则转到错误处理页面，如果可以，则进入到门户系统。注意：技术角度描述的访问控制逻辑架构是从后台系统的角度描述。访问控制系统中的访问策略和目录中的帐号两部分模块完成业务角度中所描述的“访问控制”功能；目录包括业务角度中所描述的用户信息

26、（用户目录）和帐号信息两部分内容。,认证与授权关键技术 单点登录,单点登录包括访问本地的单点登录、跨域单点登录和桌面单点登录。,本地单点登录,跨域单点登录,桌面单点登录,通过安全可靠的Kerberos协议提供SSO单点登录，实现内部系统间的认证；对于用户来说，仅需要一次性输入帐号和密码，即可登陆域同时登陆门户。,内部门户系统定位及目标内部门户系统概述内部门户应用功能用户管理与认证功能内部门户集成架构,内部门户系统集成框架,应用系统提供帐号接口，帐号管理平台调用此接口，未来新建系统均需实现此接口方式;应用系统进行子帐号与主帐号映射。,LTPA、Form-Based SSO、HTTP Header

27、、SPNEGO协议和Kerberos认证,自定portlet、RSS portlet、IFrame portlet,改造为“B/S”结构,界面修改、接口预留、接入方式等提出要求,附：内部门户系统相关规范内容要点,内部门户应用子系统业务规范,门户应用业务功能描述和系统要求；门户单点登录和互访的功能描述及要求；,内部门户应用子系统技术规范,内部门户系统体系架构描述及要求；内部门户系统逻辑架构和部署架构描述及要求；内部门户系统建设的关键技术及比选；内部门户系统建设要求，包括性能要求、平台要求、机房要求等,用户管理与认证子系统业务规范,用户管理与认证的功能详细描述、逻辑流程描述和系统要求，包括：用户管理权限管理密码管理认证与授权审计管理,用户管理与认证子系统技术规范,用户管理与认证的相关技术描述和要求，包括目录设计和用户设计接口技术的描述和要求，包括：用户管理接口HR接口用户认证与授权系统逻辑架构描述及规则要求,内部门户系统集成规范,应用系统集成的范围和技术要求，包括帐号集成、单点登录集成、展现集成规则和要求；门户自身应用的集成，包括基本应用集成和全国集中应用的集成规则和要求。,谢 谢！,