【導讀】基于門戶的新一代OA方案說明書。BEA系統(tǒng)（中國）有限公司廣州分公司

　　

【正文】 置步驟。 在 RDBMS 身份驗證提供程序連接到 WebLogic Server 之后，WebLogic Server（和 WebLogic Portal）可以查看這些用戶和組。這些用戶可以登錄到門戶應用程序，可以在自己的個性化、委托管理和訪問者權限規(guī)則中包括這些用戶和組。此外，WebLogic Portal 的 ProfileWrapper 將委托人映射到門戶 Schema 中保存的屬性，從而建立用戶配置文件。2 統(tǒng)一用戶配置文件 這個外部表既包含用戶和密碼，又包含每個用戶的其他屬性（電子郵件和電話） 。這些附加屬性不參與身份驗證；但是它們是每個用戶的配置文件的一部分。如果希望在自己的門戶應用程序中訪問這些屬性（使用 WebLogic Portal JSP 標記、控件或 API） ，則必須為 RDBMS 用戶存儲創(chuàng)建統(tǒng)一用戶配置文件。當創(chuàng)建統(tǒng)一用戶配基于門戶的新一代 OA 方案說明書第 32 頁 共 85 頁置文件時，ProfileWrapper 會將這些外部屬性包括在用戶配置文件中。統(tǒng)一用戶配置文件由創(chuàng)建的無狀態(tài)會話 bean 以及相關類組成。如果希望在 WebLogic Administration Portal 中呈現(xiàn)其中的任何屬性，并且使用這些屬性來為個性化、委托管理或訪問者權限定義規(guī)則，除了實現(xiàn)統(tǒng)一用戶配置文件的會話 bean，還要為外部用戶存儲創(chuàng)建用戶配置文件屬性集。該屬性集提供有關外部屬性的元數(shù)據(jù)，以便 WebLogic Workshop 和 WebLogic Administration Portal 知道如何顯示它們。 通常，外部數(shù)據(jù)存儲中的屬性在 WebLogic Administration Portal 中是只讀的。3 在 WebLogic Portal 中，可以創(chuàng)建用戶/組屬性并為這些屬性設置默認值。WebLogic Server 中的任何用戶或組，無論它是在默認的 LDAP 存儲中創(chuàng)建還是通過指向外部用戶存儲的連接帶入，都會被自動分配這些默認屬性值；可以更改每個用戶或組的默認值，這可以通過編程方式或在 WebLogic Administration Portal 中完成。這并不涉及統(tǒng)一用戶配置文件，因為要檢索的屬性是本地屬性，而不是存儲在外部用戶存儲中。在該圖中，在身份驗證提供程序或標識聲明者提供委托人之后，ProfileWrapper 會將委托人與電子郵件和電話的外部屬性（由統(tǒng)一用戶配置文件檢索）以及地址和郵政編碼的默認 WebLogic Portal 屬性組合在一起，所有這些屬性構成完整的用戶配置文件。. 安全管理策略1. 采用 BEA WebLogic Portal 內嵌的 LDAP 目錄服務器作為門戶 LDAP目錄服務器，作為門戶網站的用戶管理機制，用于門戶網站的統(tǒng)一用戶管理機制，包括為門戶平臺提供 LDAP 目錄服務。并采用 Portal Server 的UUP（統(tǒng)一用戶檔案）功能實現(xiàn)和其他 LDAP，例如電子郵件系統(tǒng) LDAP 服務器的集成。2. 考慮用戶以后將建立統(tǒng)一的企業(yè)身份認證系統(tǒng)，本方案充分考慮這基于門戶的新一代 OA 方案說明書第 33 頁 共 85 頁種遠期需求，力求保證良好的安全管理架構。3. 采用 Weblogic Portal 服務器的管理控制臺實現(xiàn)門戶網站內部的資源管理和訪問控制，構建門戶網站的 ACL。對于門戶網站集成的其他應用，則通過統(tǒng)一用戶檔案實現(xiàn)單點登錄，并由集成的應用負責控制其 ACL?；谏鲜霾呗?，門戶安全的管理模型如下：SSL單點登錄LDAP 目錄 ACL應用門戶UUP集成應用（MAIL 系統(tǒng),OA 系統(tǒng),財務系統(tǒng)……應用 ACL應用帳戶系統(tǒng)其他 LDAP 目錄服務應用系統(tǒng) ACL在上述安全管理模型下，一個典型的門戶安全登錄和訪問認證過程如下：P o l i c yS e r v e rA C L( L D A P D B )U s e r( L D A P D B )P r o x y( P o l i c yA g e n t )P o l i c y A P IH T T P / H T T P SLDAPLDAPC l i e n t / S e r v e r 應用應 用 管 理應 用 A應 用 BProtecd Object Namespc策 略 模 版策 略 模 版Corpate Wb ACLEmly Dtase Protecd Objct Poliy按照上述安全管理模型，采取基于策略的安全管理方案。該方案由一下部分組成：基于門戶的新一代 OA 方案說明書第 34 頁 共 85 頁1. 用戶及策略數(shù)據(jù)庫2. 策略管理控制臺（Web Policy Manager）3. 授權管理服務器（Policy Server）4. 訪問控制服務器（Policy Agent）. 用戶及資源管理絕大多數(shù)的應用系統(tǒng)，其使用對象是企業(yè)的“人” 。這些“人”可能是企業(yè)的員工、客戶、代理商、供應商等等，應用系統(tǒng)中往往需要對這些“人”進行管理，實現(xiàn)訪問控制、實現(xiàn)用戶生命周期管理等功能。資源管理系統(tǒng)以此為目標，通過提供平臺級的管理工具，為企業(yè)的應用系統(tǒng)和其它服務平臺提供統(tǒng)一化的用戶管理、角色管理和訪問權限管理基本服務功能，使每個應用系統(tǒng)開發(fā)過程中不再需要重復性的開發(fā)類似模塊，簡化和省略應用系統(tǒng)中類似模塊的開發(fā)，極大的加快應用開發(fā)的周期。支持 LDAP 基于目錄服務以樹形結構管理“域” 、 “人員” 、 “組織” 、 “工作組”、 “角色” 、 “應用系統(tǒng)”等用戶信息和應用系統(tǒng)信息。在企業(yè)應用系統(tǒng)建設、部署和運行的整個應用生命期之中，需要采用一套完整的用戶生命期管理平臺，統(tǒng)一管理各個應用系統(tǒng)中所需要的用戶信息、角色信息和訪問控制信息。資源管理系統(tǒng)以此為目標，提供應用系統(tǒng)系統(tǒng)的生命期管理和用戶生命期管理，提供基于開放標準的用戶管理平臺，實現(xiàn)資源管理、角色管理和權限管理等多種工具。資源管理系統(tǒng)既可以在開發(fā)階段提供有效的應用開發(fā)接口，簡化應用系統(tǒng)的開發(fā)，使應用系統(tǒng)有效的使用資源管理系統(tǒng)所提供的用戶、角色、權限、資源的管理功能；同時作為一套管理平臺，在應用的運行、維護階段，也可以利用其方便、易用的管理工具，實施對人員、角色、訪問權限、資源的管理任務。建立策略管理數(shù)據(jù)庫，策略數(shù)據(jù)庫中包括：1. 應用資源對象2. 角色對象3. 訪問控制對象基于門戶的新一代 OA 方案說明書第 35 頁 共 85 頁4. 用戶對象5. 組對象各個對象存放相應的屬性信息，應用資源對象表示一個獨立的應用系統(tǒng)，如：辦公自動化應用系統(tǒng)在資源管理系統(tǒng)中對應一個應用資源對象，在該對象下村放映應用資源的名稱、軟件版本、安裝位置等說明信息；角色對象用于定義每個應用系統(tǒng)所具有的各個訪問角色，每個應用系統(tǒng)中有多少個特定的角色，在資源管理數(shù)據(jù)庫中將包括多少個對應的角色對象，每個角色對象中存放角色的名稱、標示等信息；訪問控制對象則用于定義特定的訪問控制規(guī)則，如某個應用需要控制對某個應用模塊的訪問權限，可以為此而定義一個或多個訪問控制對象，在訪問控制對象中包括該訪問控制的標識、名稱、訪問控制的規(guī)則信息等；用戶對象則對應于每個存在的用戶，存儲每個用戶的名稱、用戶名、口令、電子郵件地址等。組對象則用于表示用戶對象的集合。各個對象的關系如下：1. 每個應用資源中包括多個角色2. 每個角色中包括多個訪問控制信息3. 每個角色中包括多個用戶對象和多個組對象用戶及策略數(shù)據(jù)庫實際上就是一個 LDAP 服務器，它為策略管理系統(tǒng)提供用戶的認證服務，同時也在維護著集中的、包含所有用戶信息的用戶庫。他所作的工作主要包括兩部分：1. 定義企業(yè)中所有的用戶信息，以及每個用戶屬于哪一個角色。2. 為所有的登錄請求提供認證服務。LDAP 技術不僅發(fā)展得很快而且也是激動人心的。在企業(yè)范圍內實現(xiàn) LDAP可以讓運行在幾乎所有計算機平臺上的所有的應用程序從 LDAP 目錄中獲取信息。LDAP 目錄中可以存儲各種類型的數(shù)據(jù)：電子郵件地址、郵件路由信息、人力資源數(shù)據(jù)、公用密匙、聯(lián)系人列表，等等。通過把 LDAP 目錄作為系統(tǒng)集成中的一個重要環(huán)節(jié)，可以簡化員工在企業(yè)內部查詢信息的步驟，甚至連主要的數(shù)據(jù)源都可以放在任何地方。嚴格地說，LDAP 不是數(shù)據(jù)庫而是用來訪問存儲在信息目錄（也就是 LDAP基于門戶的新一代 OA 方案說明書第 36 頁 共 85 頁目錄）中的信息的協(xié)議。更為確切和正式的說法應該是像這樣的：“通過使用LDAP，可以在信息目錄的正確位置讀取（或存儲）數(shù)據(jù)” 。目錄服務功能是以網絡為中心的計算架構的重要組成部分。現(xiàn)在帶有目錄功能的應用系統(tǒng)推動著包括企業(yè)資源計劃（ERP） 、價值鏈管理、安全/防火墻和資源分配在內的企業(yè)關鍵業(yè)務。. 單點登錄為實現(xiàn)公司內部網上信息的安全管理，必須滿足以下幾個關鍵要求。首先，需要對希望訪問內部網的個人的身份進行認證。當員工或業(yè)務合作伙伴從多個計算機上訪問信息以及更常見的通過互聯(lián)網從遠程地點訪問信息時，這一過程會變得很復雜。用戶應能夠通過一個 Web 瀏覽器進行身份認證，而不要求使用客戶機軟件。此外，在一個大型企業(yè)中經常有數(shù)以百計的 Web 瀏覽器，而且用戶在訪問每一個服務器時都需要獲得訪問許可。這樣會帶來很多問題：用戶必須記住很多服務器的密碼，管理員需要對每一個體服務器的訪問控制進行管理，而且當一個用戶的訪問許可發(fā)生改變或員工加入或離開公司時，必須添加或刪除很多獨立的入口項。一個允許組織以集中方式對所有這些服務器的訪問控制進行管理并為用戶在 Web 空間中提供單一注冊的安全解決方案可以使安全管理得到大大簡化，并能夠提升用戶體驗和提高工作效率。單點登錄基于統(tǒng)一的策略的用戶身份認證和授權控制功能，以區(qū)別不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務處理權限。信息傳輸?shù)耐暾?、機密性和不可抵賴性風險。訪問每個不同的系統(tǒng)都需要登陸，而且同一個人在不同的系統(tǒng)極可能使用不同的用戶名。這種情況增加了用戶的不便，用戶需要記住多個用戶名/密碼，同時加大了遺忘密碼和泄漏密碼的危險。在我們平常使用計算機的環(huán)境中已經存在一些“單次登錄”的例子，例如收發(fā)電子郵件，現(xiàn)在的大部分電子郵件程序（如 Outlook，F(xiàn)oxmail 等）都能夠儲存多個用戶名/密碼，一個用戶只需要執(zhí)行收取郵件操作，就能夠收發(fā)多個電子郵箱而無需多次輸入用戶名/密碼。廣義的“單次登錄”包含的范圍很廣，用戶可能訪問的系統(tǒng)包括主機系統(tǒng)、Windows 程序、Unix 系統(tǒng)、Web 應用等等。在這些不同范圍的應用程序對安全基于門戶的新一代 OA 方案說明書第 37 頁 共 85 頁的實現(xiàn)都有不同的側重點。. 授權、管理策略當用戶實現(xiàn)單點登錄后，也就獲得了門戶網站的身份認證。一旦一個用戶的身份獲得認證，用戶的訪問權限也就確定了。一個經過身份認證的用戶在訪問資源并不一定要獲得任何許可。安全政策應明確地給予對 Web 資源的訪問權。訪問控制決策功能必須能夠決定是否接受對特殊信息的訪問請求。如果必須在每一個 Web 服務器上對訪問控制進行配置，那么管理將變得相當復雜。此外，如果一個管理員必須咨詢每一 Web 服務器的配置信息，那么將難以在 Web 空間中建立一個用戶權限的完整圖畫。一個中央授權框架將能夠使管理得到大大簡化。采用 PortalServer 的門戶授權機制實現(xiàn)門戶各種資源的訪問授權。在BEAPortalServer 里，支持基于角色的訪問控制、支持集中化的認證和授權管理具有如下的授權機制：. 基于規(guī)則的授權（Rulebased entitlements）通過基于規(guī)則的授權，BEA WebLogic Portal 可以基于商業(yè)規(guī)則和用戶屬性來動態(tài)地授權用戶對門戶資源的訪問，同時也提供了一種更為接近用戶商業(yè)活動的授權模式。. 委托管理（Delegated Administration ）BEA WebLogic Portal 提供的統(tǒng)一門戶應用平臺可以非常方便地為Portlet、用戶、授權等實現(xiàn)委托管理，從而降低了門戶管理的開銷，提高了門戶應用的擴展能力。安全策略中包括了每個用戶或者每種角色的訪問權限，但是可以看到安全策略和每個用戶或者每種角色有直接的聯(lián)系，但是和被控制的后臺資源的聯(lián)系沒有顯示出來，這也就是 Policy Server 所管理的另外一個部分，如下圖所示，每一個 ACL（安全策略）都可以賦予樹型結構的被管理資源空間中的某一個節(jié)基于門戶的新一代 OA 方案說明書第 38 頁 共 85 頁點或者分支，然后這個分支或者節(jié)點以及這個分支或者節(jié)點以下的資源也會自動地賦予這種 ACL，直到有其他的 ACL 賦予到那些子節(jié)點上。從下面的圖中，還會看到一個比較全的被管理資源空間，他包括有 Web 資源、網絡資源、自定義的資源、以及 Policy Server 本身的管理資源。. 運行監(jiān)視BEA WebLogic Portal 帶來了功能強大、可擴展的、基于 Web 的管理控制臺（Management Console） ，可為管理員提供部署、配置并監(jiān)測其應用的工具。管理服務采用 JMX（Java Management Extension）標準實現(xiàn)，管理控制臺支持JMX（Java Management Extension）標準，為管理 WebLogic Server 資源提供了工具。通過管理控制臺，管理員可以配置資源，部署應用系統(tǒng)或組件，監(jiān)測資源使用情況（例如服務器負載、