【正文】 企業(yè)信息化集成平臺(tái)方案建議書第一章 項(xiàng)目需求理解 云數(shù)據(jù)中心集成項(xiàng)目背景建立滿足集團(tuán)信息化發(fā)展的云數(shù)據(jù)中心。主要包括以下要求：1）建立集團(tuán)統(tǒng)一門戶：在集團(tuán)層面統(tǒng)一設(shè)計(jì)企業(yè)門戶，服務(wù)于集團(tuán)各個(gè)層次對(duì)象，打造集團(tuán)消息中心，信息呈現(xiàn)中心，決策中心，實(shí)現(xiàn)各類系統(tǒng)的單點(diǎn)登錄，實(shí)現(xiàn)信息系統(tǒng)局部信息的獲取，實(shí)現(xiàn)信息系統(tǒng)統(tǒng)一的待辦、預(yù)警的要求，實(shí)現(xiàn)信息系統(tǒng)的統(tǒng)一的BI展現(xiàn)（如有BI產(chǎn)品）、個(gè)性化頁面配置以及內(nèi)容管理，并實(shí)現(xiàn)在門戶統(tǒng)一進(jìn)行用戶管理和系統(tǒng)權(quán)限的節(jié)點(diǎn)重排，設(shè)置個(gè)性化頁面呈現(xiàn)，實(shí)現(xiàn)服務(wù)于全集團(tuán)的統(tǒng)一門戶平臺(tái)。2）實(shí)現(xiàn)主數(shù)據(jù)統(tǒng)一管理：根據(jù)應(yīng)用場(chǎng)景、管理目的等進(jìn)行主數(shù)據(jù)管理規(guī)劃、實(shí)現(xiàn)。遵守層層向上匯總，集團(tuán)統(tǒng)管分發(fā)、不跨級(jí)管理等主數(shù)據(jù)管理模式和原則；規(guī)劃每種主數(shù)據(jù)的全生命周期管理流程。確定主數(shù)據(jù)在哪里生成、在哪里維護(hù)、在哪里統(tǒng)一存儲(chǔ)、向哪些地方分發(fā)。生成和維護(hù)企業(yè)主數(shù)據(jù)的規(guī)范、技術(shù)和方案，以保證主數(shù)據(jù)的完整性、一致性和準(zhǔn)確性。重點(diǎn)實(shí)現(xiàn)人員主數(shù)據(jù)規(guī)劃，為統(tǒng)一權(quán)限、單點(diǎn)登錄等集成需求服務(wù)。3）實(shí)現(xiàn)統(tǒng)一應(yīng)用集成：企業(yè)服務(wù)總線能夠以智能的、實(shí)時(shí)的方式，從多種設(shè)備類型、業(yè)務(wù)單元和位置向幾乎遍布企業(yè)（甚至企業(yè)之外）的全部系統(tǒng)和應(yīng)用，路由和轉(zhuǎn)換消息與數(shù)據(jù)。本次項(xiàng)目需完成浪潮GS6系列軟件集成。4）實(shí)現(xiàn)用戶統(tǒng)一管理：需要能夠有效的管理集團(tuán)中已有系統(tǒng)中的用戶，所有集成系統(tǒng)使用統(tǒng)一的用戶帳戶。統(tǒng)一的用戶帳戶不但可以為統(tǒng)一身份認(rèn)證和單點(diǎn)登錄功能提供數(shù)據(jù)上的保證，更是為用戶相關(guān)的集成應(yīng)用提供了一致的用戶帳戶編碼。在異構(gòu)的IT系統(tǒng)中實(shí)現(xiàn)應(yīng)用系統(tǒng)單點(diǎn)登錄，簡(jiǎn)化用戶的登錄過程，同時(shí)提供集中和便捷的身份管理、安全的認(rèn)證機(jī)制、權(quán)限管理和審計(jì)，以滿足公司集團(tuán)對(duì)信息系統(tǒng)使用的方便性和安全管理的需求。用戶通過單點(diǎn)登陸到各個(gè)業(yè)務(wù)系統(tǒng)中，實(shí)現(xiàn)無縫連接集成。 云數(shù)據(jù)中心集成項(xiàng)目建設(shè)目標(biāo)通過本集成項(xiàng)目的實(shí)施，集團(tuán)可以實(shí)現(xiàn)以下目標(biāo)：1）建設(shè)集團(tuán)以混合云平臺(tái)為核心的一體化管理平臺(tái)，有效組織企業(yè)資源、固化管理流程、提高工作效率。2）通過建設(shè)統(tǒng)一門戶平臺(tái)、主數(shù)據(jù)管理平臺(tái)、企業(yè)服務(wù)總線，實(shí)現(xiàn)系統(tǒng)整合、業(yè)務(wù)整合、數(shù)據(jù)整合、主數(shù)據(jù)全生命周期的統(tǒng)一和規(guī)范管理的目的。實(shí)現(xiàn)集團(tuán)統(tǒng)一身份認(rèn)證、統(tǒng)一用戶管理、統(tǒng)一待辦、統(tǒng)一信息展示和處理。對(duì)已建與未建系統(tǒng)制定規(guī)范與標(biāo)準(zhǔn)，建立統(tǒng)一的、規(guī)范的信息系統(tǒng)，消除信息孤島，提高信息使用率，實(shí)現(xiàn)信息共享，整合現(xiàn)有、規(guī)范未來。第二章 應(yīng)用集成解決方案第二章 應(yīng)用集成整體設(shè)計(jì) 集團(tuán)應(yīng)用集成需求梳理 搭建企業(yè)內(nèi)部門戶建設(shè)一套符合SOA架構(gòu)的企業(yè)門戶，采用J2EE技術(shù)，遵循JSR286規(guī)范。通過整合現(xiàn)有的各類業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)單點(diǎn)登錄，建設(shè)統(tǒng)一系統(tǒng)的界面標(biāo)準(zhǔn)，規(guī)范現(xiàn)有和未來系統(tǒng)的界面，形成集團(tuán)信息系統(tǒng)集成規(guī)則，為后續(xù)業(yè)務(wù)系統(tǒng)集成提供基礎(chǔ)。建立集團(tuán)統(tǒng)一的、動(dòng)態(tài)的、可維護(hù)的內(nèi)容發(fā)布系統(tǒng)，實(shí)現(xiàn)包括門戶欄目、門戶頁面，門戶內(nèi)容的維護(hù)；實(shí)現(xiàn)門戶系統(tǒng)內(nèi)容的建立、審核、發(fā)布、下線的全生命周期管理。通過一致的用戶界面、統(tǒng)一的表達(dá)方式、標(biāo)準(zhǔn)的接口將多個(gè)應(yīng)用系統(tǒng)與最終用戶的交互數(shù)據(jù)合理地呈現(xiàn)在企業(yè)門戶中以實(shí)現(xiàn)多個(gè)應(yīng)用系統(tǒng)數(shù)據(jù)的實(shí)時(shí)呈現(xiàn)和功能操作，延伸了用戶體驗(yàn)。 搭建基于全生命周期的主數(shù)據(jù)管理平臺(tái)建立完善的，柔性的，面向服務(wù)的主數(shù)據(jù)管理平臺(tái)。從主數(shù)據(jù)管理系統(tǒng)的技術(shù)層面和集團(tuán)主數(shù)據(jù)管理規(guī)范的設(shè)計(jì)層面保證主數(shù)據(jù)管理的易于擴(kuò)展，可以適應(yīng)進(jìn)行的多種管理維度，建立面向服務(wù)的技術(shù)框架。搭建主數(shù)據(jù)管理平臺(tái)。使用主數(shù)據(jù)管理平臺(tái)統(tǒng)一集團(tuán)內(nèi)部主數(shù)據(jù)，達(dá)到整個(gè)系統(tǒng)（包括以后建立的系統(tǒng)）編碼統(tǒng)一、數(shù)據(jù)共享、數(shù)出同源（多個(gè)系統(tǒng)相同的數(shù)據(jù)統(tǒng)一入口）。避免同類型數(shù)據(jù)在各個(gè)系統(tǒng)中的重復(fù)錄入，避免同種類型數(shù)據(jù)在各種系統(tǒng)中使用不同的編碼。一期重點(diǎn)梳理人員主數(shù)據(jù)，統(tǒng)一編碼、源、變更規(guī)則，為實(shí)現(xiàn)統(tǒng)一權(quán)限、單點(diǎn)登錄服務(wù)。 搭建企業(yè)服務(wù)總線集成不同業(yè)務(wù)系統(tǒng)通過ESB實(shí)現(xiàn)SOA系統(tǒng)集成架構(gòu)，集成不同的應(yīng)用軟件和應(yīng)用系統(tǒng)，充分利用現(xiàn)有系統(tǒng)已有功能，提供獨(dú)立于各系統(tǒng)的流程管理和服務(wù)監(jiān)控，為集團(tuán)提供一套先進(jìn)、高效、穩(wěn)定、開放、安全的應(yīng)用集成服務(wù)，實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)的跨系統(tǒng)流程流轉(zhuǎn)、數(shù)據(jù)的互聯(lián)互通，建立接入ESB接口規(guī)范、開發(fā)規(guī)范和管理規(guī)范。 統(tǒng)一數(shù)據(jù)集成與展示通過數(shù)據(jù)集成工具抽取集團(tuán)各主要業(yè)務(wù)系統(tǒng)數(shù)據(jù)，利用報(bào)表等數(shù)據(jù)展示工具構(gòu)成數(shù)據(jù)的前端分析，展現(xiàn)，形成決策分析報(bào)告，對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一集成。 整體設(shè)計(jì)架構(gòu)根據(jù)初步項(xiàng)目了解，結(jié)合用友以往集成經(jīng)驗(yàn)，給出初步整體設(shè)計(jì)架構(gòu)圖：圖1： 整體設(shè)計(jì)架構(gòu)圖用戶集成基于統(tǒng)一認(rèn)證中心，將所有的系統(tǒng)用戶全部管理起來，該模塊可以與HR、AD域的用戶信息同步，并與內(nèi)網(wǎng)內(nèi)諸多業(yè)務(wù)等系統(tǒng)集成，實(shí)現(xiàn)用戶信息全網(wǎng)一處管理、實(shí)時(shí)更新。界面集成門戶通過菜單集成以及portlet集成的方式，整合各業(yè)務(wù)系統(tǒng)中的待辦事項(xiàng)、消息、新聞公告等。數(shù)據(jù)集成通過建設(shè)主數(shù)據(jù)管理平臺(tái)，實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)的統(tǒng)一管理與維護(hù)，并通過服務(wù)總線ESB分發(fā)基礎(chǔ)數(shù)據(jù)到各業(yè)務(wù)系統(tǒng)中。通過建設(shè)數(shù)據(jù)中心，提供數(shù)據(jù)的裝載、分析、統(tǒng)計(jì)、展現(xiàn)功能，對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行智能分析，并在內(nèi)網(wǎng)信息門戶中進(jìn)行集中分析展現(xiàn)。流程集成通過服務(wù)總線ESB將各業(yè)務(wù)系統(tǒng)服務(wù)發(fā)布出來，由獨(dú)立運(yùn)行的流程中心統(tǒng)一調(diào)配編排，將各業(yè)務(wù)系統(tǒng)相關(guān)功能模塊串聯(lián)起來，滿足公司集團(tuán)跨部門、跨系統(tǒng)業(yè)務(wù)流程需求。集成開發(fā)通過集成設(shè)計(jì)開發(fā)平臺(tái)進(jìn)行新業(yè)務(wù)系統(tǒng)接口的開發(fā)，SOA組件的開發(fā)，標(biāo)準(zhǔn)服務(wù)的開發(fā)。標(biāo)準(zhǔn)規(guī)范集成標(biāo)準(zhǔn)與規(guī)范體系的建設(shè)為現(xiàn)有系統(tǒng)、未來建設(shè)系統(tǒng)的順利集成提供了規(guī)范依據(jù)。 用戶單點(diǎn)登錄 單點(diǎn)登錄流程圖2： 單點(diǎn)登錄示意圖l 用戶進(jìn)入門戶系統(tǒng)后，請(qǐng)求進(jìn)入其它系統(tǒng)；l 門戶系統(tǒng)引導(dǎo)用戶進(jìn)入其它系統(tǒng)；l 其它系統(tǒng)接收用戶身份令牌信息；l 其它系統(tǒng)使用用戶身份令牌向服務(wù)總線的用戶信息獲取服務(wù)接口請(qǐng)求用戶帳戶信息；l 總線接口返回帳戶信息；l 系統(tǒng)獲取用戶權(quán)限后，引導(dǎo)用戶登錄進(jìn)入系統(tǒng)。在本次應(yīng)用集成項(xiàng)目建設(shè)中，我們引入了門戶系統(tǒng)。只要用戶進(jìn)入了門戶系統(tǒng)，他就可以不需要再次認(rèn)證直接進(jìn)入其它任何參與了單點(diǎn)登錄改造的系統(tǒng)。此次設(shè)計(jì)采用了以門戶系統(tǒng)為中心，進(jìn)行單點(diǎn)登錄的改造方案，以減小對(duì)其它系統(tǒng)的影響。 單點(diǎn)登錄應(yīng)用解決方案 基于憑證 基本概念“憑證”就是Portal系統(tǒng)的用戶和被集成的系統(tǒng)的用戶之間的一個(gè)對(duì)照關(guān)系，當(dāng)?shù)谝淮蔚卿洷患傻南到y(tǒng)時(shí)，Portal會(huì)自動(dòng)查詢是否存在該憑證關(guān)系，如果不存在Portal集成框架會(huì)根據(jù)配置的單點(diǎn)登錄信息彈出如下界面，要求輸入第三方系統(tǒng)的登錄信息進(jìn)行憑證的制作。圖3： 無Portal集成框架的登錄效果圖下次登錄該系統(tǒng)，如果憑證存在，會(huì)直接進(jìn)入該系統(tǒng)。Portal集成框架在每次進(jìn)入第三方系統(tǒng)前會(huì)負(fù)責(zé)將第三方系統(tǒng)的用戶名和密碼及登錄要求的信息傳給第三方系統(tǒng)配置的認(rèn)證地址做用戶認(rèn)證，如果該用戶認(rèn)證通過，第三方系統(tǒng)會(huì)返回給Portal集成框架一個(gè)成功標(biāo)示，那么即可直接進(jìn)入第三方系統(tǒng)，否則無法進(jìn)入。在這個(gè)過程中，如果第三方系統(tǒng)對(duì)安全級(jí)別的要求比較高，那么當(dāng)用戶認(rèn)證通過后第三方系統(tǒng)可以維護(hù)一個(gè)令牌，并將該令牌返回給Portal，并且可以設(shè)置持有該令牌在一定的時(shí)間內(nèi)訪問本系統(tǒng)有效(比如:10秒)，Portal系統(tǒng)會(huì)獲取在單點(diǎn)登錄信息中配置的gateUrl并且必須持有該令牌串才能安全進(jìn)入第三方系統(tǒng)。如果安全級(jí)別稍低，那么返回一個(gè)無時(shí)間限制的令牌，Portal系統(tǒng)會(huì)獲取在單點(diǎn)登錄信息中配置的gateUrl并且拼接該令牌串進(jìn)入第三方系統(tǒng)。 接入工作Portal采用動(dòng)態(tài)表單集成方式集成第三方系統(tǒng)，第三方web系統(tǒng)能夠被Portal集成，必須做到如下幾點(diǎn)：第三方系統(tǒng)僅需要用戶名和密碼即可登錄，可以有固定取值的隱藏字段；第三方系統(tǒng)提供一個(gè)認(rèn)證jsp或者asp頁面，portal用的post方法將第三方系統(tǒng)的用戶名和密碼發(fā)到該頁面，由該頁面負(fù)責(zé)返回驗(yàn)證結(jié)果，可返回字符串“0”表示不正確，字符串“1”表示正確，這個(gè)值可以改變，portal支持配置該返回值；第三方系統(tǒng)要能在iframe中顯示，可以通過如下代碼測(cè)試，有些第三方系統(tǒng)本身不允許顯示在iframe中，但要被portal集成這個(gè)限制必須去掉。代碼示意如下所示：html body iframesrc= frameborder=1 width=100% height=100% /iframe /body/html第三方系統(tǒng)必須能夠通過如下代碼直接登錄到系統(tǒng)主界面： html body onload=()。 form name=frm action=“第三方系統(tǒng)form所指的地址 method=post INPUT name=loginid value= INPUT type=password name=pwd value= /form /body /html上述條件都滿足情況下，再按照下圖進(jìn)行配置：圖4： 單點(diǎn)登錄配置 基于票據(jù) 基本概念用友針對(duì)基于票據(jù)實(shí)現(xiàn)單點(diǎn)登錄的方式提供專門的獨(dú)立產(chǎn)品：統(tǒng)一用戶身份認(rèn)證中心。統(tǒng)一用戶身份認(rèn)證中心產(chǎn)品分為兩個(gè)子產(chǎn)品：統(tǒng)一用戶中心，UUC(Unified User Center)，負(fù)責(zé)管理與用戶賬號(hào)相關(guān)的工作，例如主賬號(hào)的申請(qǐng)、生效、失效、同步、關(guān)聯(lián)等。統(tǒng)一認(rèn)證中心，UIA(Unified Identity Authentication)，負(fù)責(zé)管理與認(rèn)證相關(guān)工作，例如認(rèn)證協(xié)議、邏輯、方式等。此部分功能實(shí)現(xiàn)全為后臺(tái)邏輯，并對(duì)外提供HTTP、WebServices服務(wù)。統(tǒng)一認(rèn)證中心負(fù)責(zé)管理與認(rèn)證相關(guān)工作，例如認(rèn)證協(xié)議、邏輯、方式等。所有接入系統(tǒng)在系統(tǒng)認(rèn)證過程中都要與統(tǒng)一認(rèn)證中心打交道。當(dāng)接入系統(tǒng)的用戶管理采用統(tǒng)一用戶方式時(shí)，接入系統(tǒng)可以直接使用此主賬號(hào)。當(dāng)接入系統(tǒng)的用戶管理采用用戶映射方式時(shí)，接入系統(tǒng)需要使用此主賬號(hào)的接入系統(tǒng)映射賬號(hào)。當(dāng)用戶從門戶中登錄時(shí)，門戶首先會(huì)去統(tǒng)一認(rèn)證中心驗(yàn)證賬號(hào)、密碼的正確性，如果驗(yàn)證正確，統(tǒng)一認(rèn)證中心會(huì)返回Token信息返回給門戶，之后門戶加載用戶信息，返回頁面給瀏覽器，整個(gè)門戶登錄過程完成。當(dāng)用戶從門戶訪問接入系統(tǒng)的時(shí)候，門戶會(huì)把用戶的Token以參數(shù)的形式傳遞給接入系統(tǒng)，接入系統(tǒng)獲取到Token之后會(huì)訪問統(tǒng)一認(rèn)證中心提供的HTTP、webservices服務(wù)確認(rèn)此Token代表的用戶賬號(hào)，接入系統(tǒng)把Token、接入系統(tǒng)的key傳遞給統(tǒng)一認(rèn)證中心，統(tǒng)一認(rèn)證中心驗(yàn)證并且會(huì)返回一個(gè)XML，里面包含了是否成功，如果成功還包涵用戶帳號(hào)，之后接入系統(tǒng)加載用戶信息，返回頁面給瀏覽器，整個(gè)門戶單點(diǎn)登錄接入系統(tǒng)過程完成。整個(gè)過程的全景流程圖如下圖：圖5： 統(tǒng)一認(rèn)證中心全景圖 接入工作與認(rèn)證邏輯相對(duì)應(yīng)，接入系統(tǒng)的認(rèn)證也包含三種場(chǎng)景：系統(tǒng)獨(dú)立登錄系統(tǒng)單點(diǎn)登錄系統(tǒng)退出系統(tǒng)獨(dú)立登錄時(shí)根據(jù)企業(yè)實(shí)際情況可以要求接入遵循如下三種方式之一：登錄方式不變。按照統(tǒng)一認(rèn)證登錄方式登錄。不能單獨(dú)提供登錄功能，只能通過門戶單點(diǎn)登錄。根據(jù)集團(tuán)實(shí)際情況，隨著方案建設(shè)的深入，依據(jù)實(shí)際情況進(jìn)行以上方式的選擇。系統(tǒng)退出時(shí)根據(jù)企業(yè)實(shí)際情況可以要求接入遵循如下兩種方式之一：接入系統(tǒng)獨(dú)立退出，只有此系統(tǒng)用戶退出。統(tǒng)一退出，整個(gè)認(rèn)證中心中此用戶退出，Token失效。同樣下面對(duì)系統(tǒng)退出方式只描述統(tǒng)一退出方式，因?yàn)橄到y(tǒng)獨(dú)立退出方式不需要改造。下面介紹一下增加接入系統(tǒng)的方法，如下圖：圖6： 增加接入系統(tǒng)填寫默認(rèn)驗(yàn)證方式時(shí)，首先點(diǎn)擊搜索按鈕，然后選擇驗(yàn)證方式，最后點(diǎn)擊確認(rèn)按鈕。圖7： 選擇驗(yàn)證方式填寫完成之后，點(diǎn)擊保存，如下圖。圖8： 點(diǎn)擊保存保存成功之后，可以通過列表顯示查看所有接入系統(tǒng)條目。圖9： 列表展現(xiàn)與基于憑證方式不同，基于票據(jù)方式要求接入系統(tǒng)嚴(yán)格按照規(guī)范進(jìn)行改造，具體改造方法如下：一、獨(dú)立登錄此接口提供給門戶以及各個(gè)接入系統(tǒng)使用此接口作用是根據(jù)主帳號(hào)的用戶名、密碼、接入信息APPKey驗(yàn)證賬號(hào)是否可以進(jìn)入相應(yīng)系統(tǒng)，如果正確返回登錄成功的Token。所有系統(tǒng)（包括門戶）登錄時(shí)都要采用此模式，此模式與改造之前主要區(qū)別是第3兩步，系統(tǒng)不再使用自身的賬號(hào)驗(yàn)證方式，而是調(diào)用認(rèn)證中心進(jìn)行認(rèn)證。圖10： 獨(dú)立登錄流程圖用戶發(fā)送登錄系統(tǒng)請(qǐng)求接入系統(tǒng)會(huì)攔截下這個(gè)訪問，接入系統(tǒng)會(huì)拿著用戶名、密碼去向統(tǒng)一認(rèn)證中心驗(yàn)證正確性。如果驗(yàn)證通過，統(tǒng)一認(rèn)證中心系統(tǒng)把Token返回接入系統(tǒng)。接入系統(tǒng)中如果有此用戶則加載用戶信息。接入系統(tǒng)返回給瀏覽器首頁。1）協(xié)議接口地址HTTP URL: /uuia/?method=login2）請(qǐng)求數(shù)據(jù)格式HTTP POST提交的參數(shù):userId用戶名passWord用戶密碼checkType 驗(yàn)證類型（1 靜態(tài)密碼，4 指紋）APP_KEY 系統(tǒng)名稱3）返回?cái)?shù)據(jù)格式?xml version= encoding=UTF8 ?UUIARESULTOK/RESULTUUIAUSERchenhui/UUIAUSERTOKEN1324225986167/TOKEN/UUIA二、單點(diǎn)登錄此接口提供給門戶，接入系統(tǒng)使用；此接口作用是根據(jù)登錄的Token串，驗(yàn)證用戶是否在線。接入系統(tǒng)根據(jù)Token去統(tǒng)一認(rèn)證中心得到用戶信息，然后加載用戶信息，返回給瀏覽區(qū)相應(yīng)的頁面。當(dāng)用戶從門戶中請(qǐng)求接入系統(tǒng)時(shí)，請(qǐng)求會(huì)帶著Token信息，接入系統(tǒng)根據(jù)Token去統(tǒng)一認(rèn)證中心獲取用戶信息，然后加載用戶信息，返回給瀏覽區(qū)相應(yīng)的頁面。圖11： 單點(diǎn)登錄流程圖用戶訪問帶Token的url，瀏覽器向接入系統(tǒng)發(fā)送請(qǐng)求接入系統(tǒng)會(huì)攔截下（一般采用filter）這個(gè)訪問，接入系統(tǒng)會(huì)拿著這個(gè)Token去向統(tǒng)一認(rèn)證中心驗(yàn)證Token的正確性。3