【導(dǎo)讀】基于門戶的新一代OA方案說明書。BEA系統(tǒng)（中國(guó)）有限公司廣州分公司

　　

【正文】 置步驟。 在 RDBMS 身份驗(yàn)證提供程序連接到 WebLogic Server 之后，WebLogic Server（和 WebLogic Portal）可以查看這些用戶和組。這些用戶可以登錄到門戶應(yīng)用程序，可以在自己的個(gè)性化、委托管理和訪問者權(quán)限規(guī)則中包括這些用戶和組。此外，WebLogic Portal 的 ProfileWrapper 將委托人映射到門戶 Schema 中保存的屬性，從而建立用戶配置文件。2 統(tǒng)一用戶配置文件 這個(gè)外部表既包含用戶和密碼，又包含每個(gè)用戶的其他屬性（電子郵件和電話） 。這些附加屬性不參與身份驗(yàn)證；但是它們是每個(gè)用戶的配置文件的一部分。如果希望在自己的門戶應(yīng)用程序中訪問這些屬性（使用 WebLogic Portal JSP 標(biāo)記、控件或 API） ，則必須為 RDBMS 用戶存儲(chǔ)創(chuàng)建統(tǒng)一用戶配置文件。當(dāng)創(chuàng)建統(tǒng)一用戶配基于門戶的新一代 OA 方案說明書第 32 頁(yè) 共 85 頁(yè)置文件時(shí)，ProfileWrapper 會(huì)將這些外部屬性包括在用戶配置文件中。統(tǒng)一用戶配置文件由創(chuàng)建的無狀態(tài)會(huì)話 bean 以及相關(guān)類組成。如果希望在 WebLogic Administration Portal 中呈現(xiàn)其中的任何屬性，并且使用這些屬性來為個(gè)性化、委托管理或訪問者權(quán)限定義規(guī)則，除了實(shí)現(xiàn)統(tǒng)一用戶配置文件的會(huì)話 bean，還要為外部用戶存儲(chǔ)創(chuàng)建用戶配置文件屬性集。該屬性集提供有關(guān)外部屬性的元數(shù)據(jù)，以便 WebLogic Workshop 和 WebLogic Administration Portal 知道如何顯示它們。 通常，外部數(shù)據(jù)存儲(chǔ)中的屬性在 WebLogic Administration Portal 中是只讀的。3 在 WebLogic Portal 中，可以創(chuàng)建用戶/組屬性并為這些屬性設(shè)置默認(rèn)值。WebLogic Server 中的任何用戶或組，無論它是在默認(rèn)的 LDAP 存儲(chǔ)中創(chuàng)建還是通過指向外部用戶存儲(chǔ)的連接帶入，都會(huì)被自動(dòng)分配這些默認(rèn)屬性值；可以更改每個(gè)用戶或組的默認(rèn)值，這可以通過編程方式或在 WebLogic Administration Portal 中完成。這并不涉及統(tǒng)一用戶配置文件，因?yàn)橐獧z索的屬性是本地屬性，而不是存儲(chǔ)在外部用戶存儲(chǔ)中。在該圖中，在身份驗(yàn)證提供程序或標(biāo)識(shí)聲明者提供委托人之后，ProfileWrapper 會(huì)將委托人與電子郵件和電話的外部屬性（由統(tǒng)一用戶配置文件檢索）以及地址和郵政編碼的默認(rèn) WebLogic Portal 屬性組合在一起，所有這些屬性構(gòu)成完整的用戶配置文件。. 安全管理策略1. 采用 BEA WebLogic Portal 內(nèi)嵌的 LDAP 目錄服務(wù)器作為門戶 LDAP目錄服務(wù)器，作為門戶網(wǎng)站的用戶管理機(jī)制，用于門戶網(wǎng)站的統(tǒng)一用戶管理機(jī)制，包括為門戶平臺(tái)提供 LDAP 目錄服務(wù)。并采用 Portal Server 的UUP（統(tǒng)一用戶檔案）功能實(shí)現(xiàn)和其他 LDAP，例如電子郵件系統(tǒng) LDAP 服務(wù)器的集成。2. 考慮用戶以后將建立統(tǒng)一的企業(yè)身份認(rèn)證系統(tǒng)，本方案充分考慮這基于門戶的新一代 OA 方案說明書第 33 頁(yè) 共 85 頁(yè)種遠(yuǎn)期需求，力求保證良好的安全管理架構(gòu)。3. 采用 Weblogic Portal 服務(wù)器的管理控制臺(tái)實(shí)現(xiàn)門戶網(wǎng)站內(nèi)部的資源管理和訪問控制，構(gòu)建門戶網(wǎng)站的 ACL。對(duì)于門戶網(wǎng)站集成的其他應(yīng)用，則通過統(tǒng)一用戶檔案實(shí)現(xiàn)單點(diǎn)登錄，并由集成的應(yīng)用負(fù)責(zé)控制其 ACL?；谏鲜霾呗裕T戶安全的管理模型如下：SSL單點(diǎn)登錄LDAP 目錄 ACL應(yīng)用門戶UUP集成應(yīng)用（MAIL 系統(tǒng),OA 系統(tǒng),財(cái)務(wù)系統(tǒng)……應(yīng)用 ACL應(yīng)用帳戶系統(tǒng)其他 LDAP 目錄服務(wù)應(yīng)用系統(tǒng) ACL在上述安全管理模型下，一個(gè)典型的門戶安全登錄和訪問認(rèn)證過程如下：P o l i c yS e r v e rA C L( L D A P D B )U s e r( L D A P D B )P r o x y( P o l i c yA g e n t )P o l i c y A P IH T T P / H T T P SLDAPLDAPC l i e n t / S e r v e r 應(yīng)用應(yīng) 用 管 理應(yīng) 用 A應(yīng) 用 BProtecd Object Namespc策 略 模 版策 略 模 版Corpate Wb ACLEmly Dtase Protecd Objct Poliy按照上述安全管理模型，采取基于策略的安全管理方案。該方案由一下部分組成：基于門戶的新一代 OA 方案說明書第 34 頁(yè) 共 85 頁(yè)1. 用戶及策略數(shù)據(jù)庫(kù)2. 策略管理控制臺(tái)（Web Policy Manager）3. 授權(quán)管理服務(wù)器（Policy Server）4. 訪問控制服務(wù)器（Policy Agent）. 用戶及資源管理絕大多數(shù)的應(yīng)用系統(tǒng)，其使用對(duì)象是企業(yè)的“人” 。這些“人”可能是企業(yè)的員工、客戶、代理商、供應(yīng)商等等，應(yīng)用系統(tǒng)中往往需要對(duì)這些“人”進(jìn)行管理，實(shí)現(xiàn)訪問控制、實(shí)現(xiàn)用戶生命周期管理等功能。資源管理系統(tǒng)以此為目標(biāo)，通過提供平臺(tái)級(jí)的管理工具，為企業(yè)的應(yīng)用系統(tǒng)和其它服務(wù)平臺(tái)提供統(tǒng)一化的用戶管理、角色管理和訪問權(quán)限管理基本服務(wù)功能，使每個(gè)應(yīng)用系統(tǒng)開發(fā)過程中不再需要重復(fù)性的開發(fā)類似模塊，簡(jiǎn)化和省略應(yīng)用系統(tǒng)中類似模塊的開發(fā)，極大的加快應(yīng)用開發(fā)的周期。支持 LDAP 基于目錄服務(wù)以樹形結(jié)構(gòu)管理“域” 、 “人員” 、 “組織” 、 “工作組”、 “角色” 、 “應(yīng)用系統(tǒng)”等用戶信息和應(yīng)用系統(tǒng)信息。在企業(yè)應(yīng)用系統(tǒng)建設(shè)、部署和運(yùn)行的整個(gè)應(yīng)用生命期之中，需要采用一套完整的用戶生命期管理平臺(tái)，統(tǒng)一管理各個(gè)應(yīng)用系統(tǒng)中所需要的用戶信息、角色信息和訪問控制信息。資源管理系統(tǒng)以此為目標(biāo)，提供應(yīng)用系統(tǒng)系統(tǒng)的生命期管理和用戶生命期管理，提供基于開放標(biāo)準(zhǔn)的用戶管理平臺(tái)，實(shí)現(xiàn)資源管理、角色管理和權(quán)限管理等多種工具。資源管理系統(tǒng)既可以在開發(fā)階段提供有效的應(yīng)用開發(fā)接口，簡(jiǎn)化應(yīng)用系統(tǒng)的開發(fā)，使應(yīng)用系統(tǒng)有效的使用資源管理系統(tǒng)所提供的用戶、角色、權(quán)限、資源的管理功能；同時(shí)作為一套管理平臺(tái)，在應(yīng)用的運(yùn)行、維護(hù)階段，也可以利用其方便、易用的管理工具，實(shí)施對(duì)人員、角色、訪問權(quán)限、資源的管理任務(wù)。建立策略管理數(shù)據(jù)庫(kù)，策略數(shù)據(jù)庫(kù)中包括：1. 應(yīng)用資源對(duì)象2. 角色對(duì)象3. 訪問控制對(duì)象基于門戶的新一代 OA 方案說明書第 35 頁(yè) 共 85 頁(yè)4. 用戶對(duì)象5. 組對(duì)象各個(gè)對(duì)象存放相應(yīng)的屬性信息，應(yīng)用資源對(duì)象表示一個(gè)獨(dú)立的應(yīng)用系統(tǒng)，如：辦公自動(dòng)化應(yīng)用系統(tǒng)在資源管理系統(tǒng)中對(duì)應(yīng)一個(gè)應(yīng)用資源對(duì)象，在該對(duì)象下村放映應(yīng)用資源的名稱、軟件版本、安裝位置等說明信息；角色對(duì)象用于定義每個(gè)應(yīng)用系統(tǒng)所具有的各個(gè)訪問角色，每個(gè)應(yīng)用系統(tǒng)中有多少個(gè)特定的角色，在資源管理數(shù)據(jù)庫(kù)中將包括多少個(gè)對(duì)應(yīng)的角色對(duì)象，每個(gè)角色對(duì)象中存放角色的名稱、標(biāo)示等信息；訪問控制對(duì)象則用于定義特定的訪問控制規(guī)則，如某個(gè)應(yīng)用需要控制對(duì)某個(gè)應(yīng)用模塊的訪問權(quán)限，可以為此而定義一個(gè)或多個(gè)訪問控制對(duì)象，在訪問控制對(duì)象中包括該訪問控制的標(biāo)識(shí)、名稱、訪問控制的規(guī)則信息等；用戶對(duì)象則對(duì)應(yīng)于每個(gè)存在的用戶，存儲(chǔ)每個(gè)用戶的名稱、用戶名、口令、電子郵件地址等。組對(duì)象則用于表示用戶對(duì)象的集合。各個(gè)對(duì)象的關(guān)系如下：1. 每個(gè)應(yīng)用資源中包括多個(gè)角色2. 每個(gè)角色中包括多個(gè)訪問控制信息3. 每個(gè)角色中包括多個(gè)用戶對(duì)象和多個(gè)組對(duì)象用戶及策略數(shù)據(jù)庫(kù)實(shí)際上就是一個(gè) LDAP 服務(wù)器，它為策略管理系統(tǒng)提供用戶的認(rèn)證服務(wù)，同時(shí)也在維護(hù)著集中的、包含所有用戶信息的用戶庫(kù)。他所作的工作主要包括兩部分：1. 定義企業(yè)中所有的用戶信息，以及每個(gè)用戶屬于哪一個(gè)角色。2. 為所有的登錄請(qǐng)求提供認(rèn)證服務(wù)。LDAP 技術(shù)不僅發(fā)展得很快而且也是激動(dòng)人心的。在企業(yè)范圍內(nèi)實(shí)現(xiàn) LDAP可以讓運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上的所有的應(yīng)用程序從 LDAP 目錄中獲取信息。LDAP 目錄中可以存儲(chǔ)各種類型的數(shù)據(jù)：電子郵件地址、郵件路由信息、人力資源數(shù)據(jù)、公用密匙、聯(lián)系人列表，等等。通過把 LDAP 目錄作為系統(tǒng)集成中的一個(gè)重要環(huán)節(jié)，可以簡(jiǎn)化員工在企業(yè)內(nèi)部查詢信息的步驟，甚至連主要的數(shù)據(jù)源都可以放在任何地方。嚴(yán)格地說，LDAP 不是數(shù)據(jù)庫(kù)而是用來訪問存儲(chǔ)在信息目錄（也就是 LDAP基于門戶的新一代 OA 方案說明書第 36 頁(yè) 共 85 頁(yè)目錄）中的信息的協(xié)議。更為確切和正式的說法應(yīng)該是像這樣的：“通過使用LDAP，可以在信息目錄的正確位置讀?。ɑ虼鎯?chǔ)）數(shù)據(jù)” 。目錄服務(wù)功能是以網(wǎng)絡(luò)為中心的計(jì)算架構(gòu)的重要組成部分?，F(xiàn)在帶有目錄功能的應(yīng)用系統(tǒng)推動(dòng)著包括企業(yè)資源計(jì)劃（ERP） 、價(jià)值鏈管理、安全/防火墻和資源分配在內(nèi)的企業(yè)關(guān)鍵業(yè)務(wù)。. 單點(diǎn)登錄為實(shí)現(xiàn)公司內(nèi)部網(wǎng)上信息的安全管理，必須滿足以下幾個(gè)關(guān)鍵要求。首先，需要對(duì)希望訪問內(nèi)部網(wǎng)的個(gè)人的身份進(jìn)行認(rèn)證。當(dāng)員工或業(yè)務(wù)合作伙伴從多個(gè)計(jì)算機(jī)上訪問信息以及更常見的通過互聯(lián)網(wǎng)從遠(yuǎn)程地點(diǎn)訪問信息時(shí)，這一過程會(huì)變得很復(fù)雜。用戶應(yīng)能夠通過一個(gè) Web 瀏覽器進(jìn)行身份認(rèn)證，而不要求使用客戶機(jī)軟件。此外，在一個(gè)大型企業(yè)中經(jīng)常有數(shù)以百計(jì)的 Web 瀏覽器，而且用戶在訪問每一個(gè)服務(wù)器時(shí)都需要獲得訪問許可。這樣會(huì)帶來很多問題：用戶必須記住很多服務(wù)器的密碼，管理員需要對(duì)每一個(gè)體服務(wù)器的訪問控制進(jìn)行管理，而且當(dāng)一個(gè)用戶的訪問許可發(fā)生改變或員工加入或離開公司時(shí)，必須添加或刪除很多獨(dú)立的入口項(xiàng)。一個(gè)允許組織以集中方式對(duì)所有這些服務(wù)器的訪問控制進(jìn)行管理并為用戶在 Web 空間中提供單一注冊(cè)的安全解決方案可以使安全管理得到大大簡(jiǎn)化，并能夠提升用戶體驗(yàn)和提高工作效率。單點(diǎn)登錄基于統(tǒng)一的策略的用戶身份認(rèn)證和授權(quán)控制功能，以區(qū)別不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務(wù)處理權(quán)限。信息傳輸?shù)耐暾浴C(jī)密性和不可抵賴性風(fēng)險(xiǎn)。訪問每個(gè)不同的系統(tǒng)都需要登陸，而且同一個(gè)人在不同的系統(tǒng)極可能使用不同的用戶名。這種情況增加了用戶的不便，用戶需要記住多個(gè)用戶名/密碼，同時(shí)加大了遺忘密碼和泄漏密碼的危險(xiǎn)。在我們平常使用計(jì)算機(jī)的環(huán)境中已經(jīng)存在一些“單次登錄”的例子，例如收發(fā)電子郵件，現(xiàn)在的大部分電子郵件程序（如 Outlook，F(xiàn)oxmail 等）都能夠儲(chǔ)存多個(gè)用戶名/密碼，一個(gè)用戶只需要執(zhí)行收取郵件操作，就能夠收發(fā)多個(gè)電子郵箱而無需多次輸入用戶名/密碼。廣義的“單次登錄”包含的范圍很廣，用戶可能訪問的系統(tǒng)包括主機(jī)系統(tǒng)、Windows 程序、Unix 系統(tǒng)、Web 應(yīng)用等等。在這些不同范圍的應(yīng)用程序?qū)Π踩陂T戶的新一代 OA 方案說明書第 37 頁(yè) 共 85 頁(yè)的實(shí)現(xiàn)都有不同的側(cè)重點(diǎn)。. 授權(quán)、管理策略當(dāng)用戶實(shí)現(xiàn)單點(diǎn)登錄后，也就獲得了門戶網(wǎng)站的身份認(rèn)證。一旦一個(gè)用戶的身份獲得認(rèn)證，用戶的訪問權(quán)限也就確定了。一個(gè)經(jīng)過身份認(rèn)證的用戶在訪問資源并不一定要獲得任何許可。安全政策應(yīng)明確地給予對(duì) Web 資源的訪問權(quán)。訪問控制決策功能必須能夠決定是否接受對(duì)特殊信息的訪問請(qǐng)求。如果必須在每一個(gè) Web 服務(wù)器上對(duì)訪問控制進(jìn)行配置，那么管理將變得相當(dāng)復(fù)雜。此外，如果一個(gè)管理員必須咨詢每一 Web 服務(wù)器的配置信息，那么將難以在 Web 空間中建立一個(gè)用戶權(quán)限的完整圖畫。一個(gè)中央授權(quán)框架將能夠使管理得到大大簡(jiǎn)化。采用 PortalServer 的門戶授權(quán)機(jī)制實(shí)現(xiàn)門戶各種資源的訪問授權(quán)。在BEAPortalServer 里，支持基于角色的訪問控制、支持集中化的認(rèn)證和授權(quán)管理具有如下的授權(quán)機(jī)制：. 基于規(guī)則的授權(quán)（Rulebased entitlements）通過基于規(guī)則的授權(quán)，BEA WebLogic Portal 可以基于商業(yè)規(guī)則和用戶屬性來動(dòng)態(tài)地授權(quán)用戶對(duì)門戶資源的訪問，同時(shí)也提供了一種更為接近用戶商業(yè)活動(dòng)的授權(quán)模式。. 委托管理（Delegated Administration ）BEA WebLogic Portal 提供的統(tǒng)一門戶應(yīng)用平臺(tái)可以非常方便地為Portlet、用戶、授權(quán)等實(shí)現(xiàn)委托管理，從而降低了門戶管理的開銷，提高了門戶應(yīng)用的擴(kuò)展能力。安全策略中包括了每個(gè)用戶或者每種角色的訪問權(quán)限，但是可以看到安全策略和每個(gè)用戶或者每種角色有直接的聯(lián)系，但是和被控制的后臺(tái)資源的聯(lián)系沒有顯示出來，這也就是 Policy Server 所管理的另外一個(gè)部分，如下圖所示，每一個(gè) ACL（安全策略）都可以賦予樹型結(jié)構(gòu)的被管理資源空間中的某一個(gè)節(jié)基于門戶的新一代 OA 方案說明書第 38 頁(yè) 共 85 頁(yè)點(diǎn)或者分支，然后這個(gè)分支或者節(jié)點(diǎn)以及這個(gè)分支或者節(jié)點(diǎn)以下的資源也會(huì)自動(dòng)地賦予這種 ACL，直到有其他的 ACL 賦予到那些子節(jié)點(diǎn)上。從下面的圖中，還會(huì)看到一個(gè)比較全的被管理資源空間，他包括有 Web 資源、網(wǎng)絡(luò)資源、自定義的資源、以及 Policy Server 本身的管理資源。. 運(yùn)行監(jiān)視BEA WebLogic Portal 帶來了功能強(qiáng)大、可擴(kuò)展的、基于 Web 的管理控制臺(tái)（Management Console） ，可為管理員提供部署、配置并監(jiān)測(cè)其應(yīng)用的工具。管理服務(wù)采用 JMX（Java Management Extension）標(biāo)準(zhǔn)實(shí)現(xiàn)，管理控制臺(tái)支持JMX（Java Management Extension）標(biāo)準(zhǔn)，為管理 WebLogic Server 資源提供了工具。通過管理控制臺(tái)，管理員可以配置資源，部署應(yīng)用系統(tǒng)或組件，監(jiān)測(cè)資源使用情況（例如服務(wù)器負(fù)載、