【正文】 ?method=check2）請求數(shù)據(jù)格式HTTP POST提交的參數(shù):HTTP POST提交的參數(shù): Token票據(jù)APP_KEY系統(tǒng)名稱3）返回數(shù)據(jù)格式?xml version= encoding=UTF8 ?UUIARESULTOK/RESULTUUIAUSERchenhui/UUIAUSERTOKEN1324225986167/TOKEN/UUIA 集成系統(tǒng)單點登錄改造各個集成系統(tǒng)提供一個可以接收用戶令牌參數(shù)的URL連接。接入系統(tǒng)如果得到了正確的用戶則加載用戶信息。圖11： 單點登錄流程圖用戶訪問帶Token的url，瀏覽器向接入系統(tǒng)發(fā)送請求接入系統(tǒng)會攔截下（一般采用filter）這個訪問，接入系統(tǒng)會拿著這個Token去向統(tǒng)一認證中心驗證Token的正確性。接入系統(tǒng)根據(jù)Token去統(tǒng)一認證中心得到用戶信息，然后加載用戶信息，返回給瀏覽區(qū)相應的頁面。接入系統(tǒng)返回給瀏覽器首頁。如果驗證通過，統(tǒng)一認證中心系統(tǒng)把Token返回接入系統(tǒng)。所有系統(tǒng)（包括門戶）登錄時都要采用此模式，此模式與改造之前主要區(qū)別是第3兩步，系統(tǒng)不再使用自身的賬號驗證方式，而是調(diào)用認證中心進行認證。圖8： 點擊保存保存成功之后，可以通過列表顯示查看所有接入系統(tǒng)條目。下面介紹一下增加接入系統(tǒng)的方法，如下圖：圖6： 增加接入系統(tǒng)填寫默認驗證方式時，首先點擊搜索按鈕，然后選擇驗證方式，最后點擊確認按鈕。統(tǒng)一退出，整個認證中心中此用戶退出，Token失效。根據(jù)集團實際情況，隨著方案建設的深入，依據(jù)實際情況進行以上方式的選擇。按照統(tǒng)一認證登錄方式登錄。當用戶從門戶訪問接入系統(tǒng)的時候，門戶會把用戶的Token以參數(shù)的形式傳遞給接入系統(tǒng)，接入系統(tǒng)獲取到Token之后會訪問統(tǒng)一認證中心提供的HTTP、webservices服務確認此Token代表的用戶賬號，接入系統(tǒng)把Token、接入系統(tǒng)的key傳遞給統(tǒng)一認證中心，統(tǒng)一認證中心驗證并且會返回一個XML，里面包含了是否成功，如果成功還包涵用戶帳號，之后接入系統(tǒng)加載用戶信息，返回頁面給瀏覽器，整個門戶單點登錄接入系統(tǒng)過程完成。當接入系統(tǒng)的用戶管理采用用戶映射方式時，接入系統(tǒng)需要使用此主賬號的接入系統(tǒng)映射賬號。所有接入系統(tǒng)在系統(tǒng)認證過程中都要與統(tǒng)一認證中心打交道。此部分功能實現(xiàn)全為后臺邏輯，并對外提供HTTP、WebServices服務。統(tǒng)一用戶身份認證中心產(chǎn)品分為兩個子產(chǎn)品：統(tǒng)一用戶中心，UUC(Unified User Center)，負責管理與用戶賬號相關(guān)的工作，例如主賬號的申請、生效、失效、同步、關(guān)聯(lián)等。代碼示意如下所示：html body iframesrc= frameborder=1 width=100% height=100% /iframe /body/html第三方系統(tǒng)必須能夠通過如下代碼直接登錄到系統(tǒng)主界面： html body onload=()。如果安全級別稍低，那么返回一個無時間限制的令牌，Portal系統(tǒng)會獲取在單點登錄信息中配置的gateUrl并且拼接該令牌串進入第三方系統(tǒng)。Portal集成框架在每次進入第三方系統(tǒng)前會負責將第三方系統(tǒng)的用戶名和密碼及登錄要求的信息傳給第三方系統(tǒng)配置的認證地址做用戶認證，如果該用戶認證通過，第三方系統(tǒng)會返回給Portal集成框架一個成功標示，那么即可直接進入第三方系統(tǒng)，否則無法進入。 單點登錄應用解決方案 基于憑證 基本概念“憑證”就是Portal系統(tǒng)的用戶和被集成的系統(tǒng)的用戶之間的一個對照關(guān)系，當?shù)谝淮蔚卿洷患傻南到y(tǒng)時，Portal會自動查詢是否存在該憑證關(guān)系，如果不存在Portal集成框架會根據(jù)配置的單點登錄信息彈出如下界面，要求輸入第三方系統(tǒng)的登錄信息進行憑證的制作。只要用戶進入了門戶系統(tǒng)，他就可以不需要再次認證直接進入其它任何參與了單點登錄改造的系統(tǒng)。 用戶單點登錄 單點登錄流程圖2： 單點登錄示意圖l 用戶進入門戶系統(tǒng)后，請求進入其它系統(tǒng)；l 門戶系統(tǒng)引導用戶進入其它系統(tǒng)；l 其它系統(tǒng)接收用戶身份令牌信息；l 其它系統(tǒng)使用用戶身份令牌向服務總線的用戶信息獲取服務接口請求用戶帳戶信息；l 總線接口返回帳戶信息；l 系統(tǒng)獲取用戶權(quán)限后，引導用戶登錄進入系統(tǒng)。集成開發(fā)通過集成設計開發(fā)平臺進行新業(yè)務系統(tǒng)接口的開發(fā)，SOA組件的開發(fā)，標準服務的開發(fā)。通過建設數(shù)據(jù)中心，提供數(shù)據(jù)的裝載、分析、統(tǒng)計、展現(xiàn)功能，對業(yè)務數(shù)據(jù)進行智能分析，并在內(nèi)網(wǎng)信息門戶中進行集中分析展現(xiàn)。界面集成門戶通過菜單集成以及portlet集成的方式，整合各業(yè)務系統(tǒng)中的待辦事項、消息、新聞公告等。 統(tǒng)一數(shù)據(jù)集成與展示通過數(shù)據(jù)集成工具抽取集團各主要業(yè)務系統(tǒng)數(shù)據(jù)，利用報表等數(shù)據(jù)展示工具構(gòu)成數(shù)據(jù)的前端分析，展現(xiàn)，形成決策分析報告，對數(shù)據(jù)進行統(tǒng)一集成。一期重點梳理人員主數(shù)據(jù)，統(tǒng)一編碼、源、變更規(guī)則，為實現(xiàn)統(tǒng)一權(quán)限、單點登錄服務。使用主數(shù)據(jù)管理平臺統(tǒng)一集團內(nèi)部主數(shù)據(jù)，達到整個系統(tǒng)（包括以后建立的系統(tǒng)）編碼統(tǒng)一、數(shù)據(jù)共享、數(shù)出同源（多個系統(tǒng)相同的數(shù)據(jù)統(tǒng)一入口）。從主數(shù)據(jù)管理系統(tǒng)的技術(shù)層面和集團主數(shù)據(jù)管理規(guī)范的設計層面保證主數(shù)據(jù)管理的易于擴展，可以適應進行的多種管理維度，建立面向服務的技術(shù)框架。通過一致的用戶界面、統(tǒng)一的表達方式、標準的接口將多個應用系統(tǒng)與最終用戶的交互數(shù)據(jù)合理地呈現(xiàn)在企業(yè)門戶中以實現(xiàn)多個應用系統(tǒng)數(shù)據(jù)的實時呈現(xiàn)和功能操作，延伸了用戶體驗。通過整合現(xiàn)有的各類業(yè)務系統(tǒng)，實現(xiàn)單點登錄，建設統(tǒng)一系統(tǒng)的界面標準，規(guī)范現(xiàn)有和未來系統(tǒng)的界面，形成集團信息系統(tǒng)集成規(guī)則，為后續(xù)業(yè)務系統(tǒng)集成提供基礎。對已建與未建系統(tǒng)制定規(guī)范與標準，建立統(tǒng)一的、規(guī)范的信息系統(tǒng)，消除信息孤島，提高信息使用率，實現(xiàn)信息共享，整合現(xiàn)有、規(guī)范未來。2）通過建設統(tǒng)一門戶平臺、主數(shù)據(jù)管理平臺、企業(yè)服務總線，實現(xiàn)系統(tǒng)整合、業(yè)務整合、數(shù)據(jù)整合、主數(shù)據(jù)全生命周期的統(tǒng)一和規(guī)范管理的目的。用戶通過單點登陸到各個業(yè)務系統(tǒng)中，實現(xiàn)無縫連接集成。統(tǒng)一的用戶帳戶不但可以為統(tǒng)一身份認證和單點登錄功能提供數(shù)據(jù)上的保證，更是為用戶相關(guān)的集成應用提供了一致的用戶帳戶編碼。本次項目需完成浪潮GS6系列軟件集成。重點實現(xiàn)人員主數(shù)據(jù)規(guī)劃，為統(tǒng)一權(quán)限、單點登錄等集成需求服務。確定主數(shù)據(jù)在哪里生成、在哪里維護、在哪里統(tǒng)一存儲、向哪些地方分發(fā)。2）實現(xiàn)主數(shù)據(jù)統(tǒng)一管理：根據(jù)應用場景、管理目的等進行主數(shù)據(jù)管理規(guī)劃、實現(xiàn)。企業(yè)信息化集成平臺方案建議書第一章 項目需求理解 云數(shù)據(jù)中心集成項目背景建立滿足集團信息化發(fā)展的云數(shù)據(jù)中心。主要包括以下要求：1）建立集團統(tǒng)一門戶：在集團層面統(tǒng)一設計企業(yè)門戶，服務于集團各個層次對象，打造集團消息中心，信息呈現(xiàn)中心，決策中心，實現(xiàn)各類系統(tǒng)的單點登錄，實現(xiàn)信息系統(tǒng)局部信息的獲取，實現(xiàn)信息系統(tǒng)統(tǒng)一的待辦、預警的要求，實現(xiàn)信息系統(tǒng)的統(tǒng)一的BI展現(xiàn)（如有BI產(chǎn)品）、個性化頁面配置以及內(nèi)容管理，并實現(xiàn)在門戶統(tǒng)一進行用戶管理和系統(tǒng)權(quán)限的節(jié)點重排，設置個性化頁面呈現(xiàn)，實現(xiàn)服務于全集團的統(tǒng)一門戶平臺。遵守層層向上匯總，集團統(tǒng)管分發(fā)、不跨級管理等主數(shù)據(jù)管理模式和原則；規(guī)劃每種主數(shù)據(jù)的全生命周期管理流程。生成和維護企業(yè)主數(shù)據(jù)的規(guī)范、技術(shù)和方案，以保證主數(shù)據(jù)的完整性、一致性和準確性。3）實現(xiàn)統(tǒng)一應用集成：企業(yè)服務總線能夠以智能的、實時的方式，從多種設備類型、業(yè)務單元和位置向幾乎遍布企業(yè)（甚至企業(yè)之外）的全部系統(tǒng)和應用，路由和轉(zhuǎn)換消息與數(shù)據(jù)。4）實現(xiàn)用戶統(tǒng)一管理：需要能夠有效的管理集團中已有系統(tǒng)中的用戶，所有集成系統(tǒng)使用統(tǒng)一的用戶帳戶。在異構(gòu)的IT系統(tǒng)中實現(xiàn)應用系統(tǒng)單點登錄，簡化用戶的登錄過程，同時提供集中和便捷的身份管理、安全的認證機制、權(quán)限管理和審計，以滿足公司集團對信息系統(tǒng)使用的方便性和安全管理的需求。 云數(shù)據(jù)中心集成項目建設目標通過本集成項目的實施，集團可以實現(xiàn)以下目標：1）建設集團以混合云平臺為核心的一體化管理平臺，有效組織企業(yè)資源、固化管理流程、提高工作效率。實現(xiàn)集團統(tǒng)一身份認證、統(tǒng)一用戶管理、統(tǒng)一待辦、統(tǒng)一信息展示和處理。第二章 應用集成解決方案第二章 應用集成整體設計 集團應用集成需求梳理 搭建企業(yè)內(nèi)部門戶建設一套符合SOA架構(gòu)的企業(yè)門戶，采用J2EE技術(shù)，遵循JSR286規(guī)范。建立集團統(tǒng)一的、動態(tài)的、可維護的內(nèi)容發(fā)布系統(tǒng)，實現(xiàn)包括門戶欄目、門戶頁面，門戶內(nèi)容的維護；實現(xiàn)門戶系統(tǒng)內(nèi)容的建立、審核、發(fā)布、下線的全生命周期管理。 搭建基于全生命周期的主數(shù)據(jù)管理平臺建立完善的，柔性的，面向服務的主數(shù)據(jù)管理平臺。搭建主數(shù)據(jù)管理平臺。避免同類型數(shù)據(jù)在各個系統(tǒng)中的重復錄入，避免同種類型數(shù)據(jù)在各種系統(tǒng)中使用不同的編碼。 搭建企業(yè)服務總線集成不同業(yè)務系統(tǒng)通過ESB實現(xiàn)SOA系統(tǒng)集成架構(gòu)，集成不同的應用軟件和應用系統(tǒng)，充分利用現(xiàn)有系統(tǒng)已有功能，提供獨立于各系統(tǒng)的流程管理和服務監(jiān)控，為集團提供一套先進、高效、穩(wěn)定、開放、安全的應用集成服務，實現(xiàn)各個業(yè)務系統(tǒng)的跨系統(tǒng)流程流轉(zhuǎn)、數(shù)據(jù)的互聯(lián)互通，建立接入ESB接口規(guī)范、開發(fā)規(guī)范和管理規(guī)范。 整體設計架構(gòu)根據(jù)初步項目了解，結(jié)合用友以往集成經(jīng)驗，給出初步整體設計架構(gòu)圖：圖1： 整體設計架構(gòu)圖用戶集成基于統(tǒng)一認證中心，將所有的系統(tǒng)用戶全部管理起來，該模塊可以與HR、AD域的用戶信息同步，并與內(nèi)網(wǎng)內(nèi)諸多業(yè)務等系統(tǒng)集成，實現(xiàn)用戶信息全網(wǎng)一處管理、實時更新。數(shù)據(jù)集成通過建設主數(shù)據(jù)管理平臺，實現(xiàn)基礎數(shù)據(jù)的統(tǒng)一管理與維護，并通過服務總線ESB分發(fā)基礎數(shù)據(jù)到各業(yè)務系統(tǒng)中。流程集成通過服務總線ESB將各業(yè)務系統(tǒng)服務發(fā)布出來，由獨立運行的流程中心統(tǒng)一調(diào)配編排，將各業(yè)務系統(tǒng)相關(guān)功能模塊串聯(lián)起來，滿足公司集團跨部門、跨系統(tǒng)業(yè)務流程需求。標準規(guī)范集成標準與規(guī)范體系的建設為現(xiàn)有系統(tǒng)、未來建設系統(tǒng)的順利集成提供了規(guī)范依據(jù)。在本次應用集成項目建設中，我們引入了門戶系統(tǒng)。此次設計采用了以門戶系統(tǒng)為中心，進行單點登錄的改造方案，以減小對其它系統(tǒng)的影響。圖3： 無Portal集成框架的登錄效果圖下次登錄該系統(tǒng)，如果憑證存在，會直接進入該系統(tǒng)。在這個過程中，如果第三方系統(tǒng)對安全級別的要求比較高，那么當用戶認證通過后第三方系統(tǒng)可以維護一個令牌，并將該令牌返回給Portal，并且可以設置持有該令牌在一定的時間內(nèi)訪問本系統(tǒng)有效(比如:10秒)，Portal系統(tǒng)會獲取在單點登錄信息中配置的gateUrl并且必須持有該令牌串才能安全進入第三方系統(tǒng)。 接入工作Portal采用動態(tài)表單集成方式集成第三方系統(tǒng)，第三方web系統(tǒng)能夠被Portal集成，必須做到如下幾點：第三方系統(tǒng)僅需要用戶名和密碼即可登錄，可以有固定取值的隱藏字段；第三方系統(tǒng)提供一個認證jsp或者asp頁面，portal用的post方法將第三方系統(tǒng)的用戶名和密碼發(fā)到該頁面，由該頁面負責返回驗證結(jié)果，可返回字符串“0”表示不正確，字符串“1”表示正確，這個值可以改變，portal支持配置該返回值；第三方系統(tǒng)要能在iframe中顯示，可以通過如下代碼測試，有些第三方系統(tǒng)本身不允許顯示在iframe中，但要被portal集成這個限制必須去掉。 form name=frm action=“第三方系統(tǒng)form所指的地址 method=post INPUT name=loginid value= INPUT type=password name=pwd value= /form /body /html上述條件都滿足情況下，再按照下圖進行配置：圖4： 單點登錄配置 基于票據(jù) 基本概念用友針對基于票據(jù)實現(xiàn)單點登錄的方式提供專門的獨立產(chǎn)品：統(tǒng)一用戶身份認證中心。統(tǒng)一認證中心，UIA(Unified Identity Authentication)，負責管理與認證相關(guān)工作，例如認證協(xié)議、邏輯、方式等。統(tǒng)一認證中心負責管理與認證相關(guān)工作，例如認證協(xié)議、邏輯、方式等。當接入系統(tǒng)的用戶管理采用統(tǒng)一用戶方式時，接入系統(tǒng)可以直接使用此主賬號。當用戶從門戶中登錄時，門戶首先會去統(tǒng)一認證中心驗證賬號、密碼的正確性，如果驗證正確，統(tǒng)一認證中心會返回Token信息返回給門戶，之后門戶加載用戶信息，返回頁面給瀏覽器，整個門戶登錄過程完成。整個過程的全景流程圖如下圖：圖5： 統(tǒng)一認證中心全景圖 接入工作與認證邏輯相對應，接入系統(tǒng)的認證也包含三種場景：系統(tǒng)獨立登錄系統(tǒng)單點登錄系統(tǒng)退出系統(tǒng)獨立登錄時根據(jù)企業(yè)實際情況可以要求接入遵循如下三種方式之一：登錄方式不變。不能單獨提供登錄功能，只能通過門戶單點登錄。系統(tǒng)退出時根據(jù)企業(yè)實際情況可以要求接入遵循如下兩種方式之一：接入系統(tǒng)獨立退出，只有此系統(tǒng)用戶退出。同樣下面對系統(tǒng)退出方式只描述統(tǒng)一退出方式，因為系統(tǒng)獨立退出方式不需要改造。圖7： 選擇驗證方式填寫完成之后，點擊保存，如下圖。圖9： 列表展現(xiàn)與基于憑證方式不同，基于票據(jù)方式要求接入系統(tǒng)嚴格按照規(guī)范進行改造，具體改造方法如下：一、獨立登錄此接口提供給門戶以及各個接入系統(tǒng)使用此接口作用是根據(jù)主帳號的用戶名、密碼、接入信息APPKey驗證賬號是否可以進入相應系統(tǒng)，如果正確返回登錄成功的Token。圖10： 獨立登錄流程圖用戶發(fā)送登錄系統(tǒng)請求接入系統(tǒng)會攔截下這個訪問，接入系統(tǒng)會拿著用戶名、密碼去向統(tǒng)一認證中心驗證正確性。接入系統(tǒng)中如果有此用戶則加載用戶信息。1）協(xié)議接口地址HTTP URL: /uuia/?method=login2）請求數(shù)據(jù)格式HTTP POST提交的參數(shù):userId用戶名passWord用戶密碼checkType 驗證類型（1 靜態(tài)密碼，4 指紋）APP_KEY 系統(tǒng)名稱3）返回數(shù)據(jù)格式?xml version=