银行统一门户解决方案

银行统一门户解决方案

2016年12月

修订历史记录

目录

一、概述 (4)

二、用户分类模型 (4)

2.1基于部门岗位树的角色模型 (4)

2.2 级别分层树模型 (5)

三、用户信息存储管理 (6)

3.1 用户信息存储分类 (6)

3.2 LDAP目录服务定义 (7)

3.3、LDAP目录的结构 (8)

3.4、LDAP目录的存储内容 (10)

四、用户身份认证 (11)

4.1、认证类型 (11)

4.2、用户身份密码验证 (12)

4.3、与CA认证接口 (14)

4.4、用户登录控制 (15)

五、分布式用户目录管理 (16)

5.1、分布式目录服务体系 (16)

5.2、目录复制 (17)

六、统一用户信息的方式分类 (17)

七、用户信息同步 (18)

八、用户生命周期管理 (20)

8.1、新建用户 (20)

8.2、密码修改 (21)

8.3、删除用户 (21)

一、概述

目录管理是为了方便用户访问组织机构内所有的授权资源和服务，简化用户管理，基于LDAP或基于数据库，对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。

统一用户目录管理要遵循以下两个基本原则：

★统一性原则：实现对目前已知用户类型进行统一管理；对包括分支机构在内的整个组织机构内的所有用户进行用户目录复制和统一管理；对门户的用户体系和各应用系统各自独立的用户体系进行统一管理；对新进员工/用户到员工/用户离开进行整个生命周期的管理。

★可扩充性原则：能够适应对将来扩充子系统的用户进行管理。

二、用户分类模型

2.1基于部门岗位树的角色模型

基于部门岗位树的角色模型是组织机构内最常见的模型，提供了用户目录管理、目录复制、权限控制的多种属性。角色管理是用户权限管理的重要基础。基于部门岗位树的角色模型如下所示：

在部门岗位角色树状模型中，用户职位称为岗位，或称用户角色，包含岗位角色的组织机构称为部门，大部门可以包含小部门。其最重要的特点是：★用户隶属于岗位/角色(可以隶属于多个岗位/角色)；

★岗位/角色具有时间范围；

★部门包含下属部门及岗位/角色中的所有用户。

用户信息以组织/部门/ 岗位角色以树状的层次结构来组织和管理，有以下好处：

★同实际组织机构体系相一致；

★同LDAP目录对数据的组织方式保持一致，便于利用LDAP 目录服务的强大进行用户目录的管理；

★有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上，提高相关应用对用户信息的访问效率；

★有利于根据目录树的结构给予不同的员工/用户组不同的权限。

2.2 级别分层树模型

级别分层树模型如下图所示，是对部门岗位角色树状层次模型的补充。

在级别分层树模型中，不同层次的节点具有上下级或涵盖关系。相同层次的节点相互独立，之间没有上下级或涵盖关系。

其最重要的特点是：

★用户只能属于一个级别；

★在同一层次节点下可以有多个级别；

★可用大于、小于或等于，以上、以下等词汇来指定多个或一个层次的级别。

利用级别分层树模型，可辅助实现更为灵活的用户授权控制。

三、用户信息存储管理

3.1 用户信息存储分类

统一的用户信息存储可基于：

◎数据库方式：支持将统一的用户信息存储于各大主流数据库中，如Oracle、DB2、SQL Server、Sybase、MySQL 等；

◎LDAP目录方式：支持将统一的用户信息存储于LDAP 目录中，如Domino、LDAP、Sun One Directory Server、OpenLDAP、MS Active Directory、Novell、NDS、Netscape Directory Server 等。

此外，可以基于LDAP 目录或数据库方式，新建一个用户信息目录库，供门户和应用系统使用；

也支持可以使用现存应用系统的已有用户数据库，作为门户和其他应用统一的用户信息存储管理库，如可以考虑基于现存的OA 办公自动化系统、或者HR

人事系统、或者一卡通系统等现有系统的RDBMS 用户数据库或LDAP 用户目录进行用户信息管理和身份验证。

鉴于基于LDAP目录服务存储和管理用户的身份认证等信息，可更有效更灵活地管理用户及资源，我们推荐采用LDAP目录服务作为各组织机构信息化建设统一用户管理的基础平台。下面主要阐述LDAP 目录服务的相关内容。

3.2L DAP目录服务定义

LDAP协议：轻量级目录访问协议(LDAP) ，英文全称是Lightweight Directory Access Protocol，是一个用于访问存储在信息目录中的信息的Internet协议，是目录服务在TCP/IP 上的实现（RFC 1777 V2 版和RFC 2251 V3 版）。它是对X500 的目录协议的移植，但是简化了实现方法，所以称为轻量级的目录服务。

LDAP 协议是跨平台的和标准的协议；实际上，LDAP 作为一种Internet 标准，得到了业界的广泛认可。

LDAP 的核心规范在RFC 中进行了定义，LDAP 协议集规定了区别名(DN)的命名方法、存取控制方法、搜索格式、复制方法、URL 格式、开发接口等，描述了客户端应该如何访问存储在服务器上的数据，但没有定义应该如何存储数据。通过使用LDAP，可以在信息目录的正确位置读取（或存储）数据。

目录服务：所谓目录服务是在分布式计算机环境中，定位和标识用户以及可用的各网络元素和网络资源，并提供搜索功能和权限管理功能的服务机制。各组织机构为了实现各个分立的“信息孤岛”走向连通和融合，一方面业务系统需要将自身的职能和业务协作要求公布出去；另一方面，也希望能够检索并获取其他业务系统的信息和公共的信息资源。这些需求采用目录服务都能够得到满足。

目录服务是其对象具有属性及名称的命名服务，是命名服务的自然扩展。目录服务与命名服务的关键区别在于，目录服务允许属性（比如用户的电子邮件地址）与对象相关联。

目录服务的核心是一个树状结构的信息目录，由一系列具有属性和名称的目录入口对象(Entry)组成，将网络中的数据资源、数据处理资源和用户信息按有次序的结构进行组织，并且专门针对海量查询的使用情况进行了优化，极大地提高

了数据读取和查询性能。

目录服务不仅可以提供分布式计算网络的视图，以逻辑的观念来管理网络，而且它能实现以人为本的网络管理方式。它可以记载网络的所有文件以及所有在网络上运行的资源，以及使用者帐号、身份口令、密码、卷、文档，应用程序以至于域名服务器DHCP、IP 地址以及认证的公钥等。此外，目录软件还保存和管理对包括人员、业务过程和供内部使用的资源等有关组织机构详细信息的访问。目录服务树中的一个目录对象可以通过它的名字检索，或者通过使用一组搜索标准（表示目录对象的名字和属性）检索。

在分布式计算环境中，各单位对其他单位有用的信息可以在目录服务注册、解除注册和查询。

在整个组织机构范围内部署和实现LDAP，可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP 目录中获取信息。

3.3、LDAP目录的结构

LDAP目录以树状的层次结构来组织和存储数据，目录由目录入口对象(Entry)组成，目录入口对象(Entry)相当于关系数据库中表的记录，可直接成为LDAP目录记录，是具有区别名DN（Distinguished Name ）的属性（Attribute ）集合，DN相当于关系数据库表中的关键字（PrimaryKey ）；属性由属性类型（Type）和多个值（Values ）组成，相当于关系数据库中的域（Field）由域名和数据类型组成，只是为了方便检索和灵活性的需要，LDAP 中的Type 可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。

这样，有以下好处：

一般按照地理位置和组织关系进行组织数据，同现实世界相一致，非常的直观；

有利于根据目录树的结构给予不同的员工/用户组不同的权限；

属性类型可以多个属性值，LDAP目录就有很大的灵活性，不必为加入一些新的数据就重新创建表和索引；

LDAP把数据存放在文件中，可以使用基于索引的文件数据库，大大方便了检索，提高了检索效率；

有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上，提高相关应用对用户信息的访问效率；

把LDAP存储和复制功能结合起来，可以定制目录树的结构以降低对WAN 带宽的要求。

LDAP目录记录的标识名(Distinguished Name，简称DN)是用来读取单个记录，以及回溯到树的顶部。

基准DN：

LDAP目录树的最顶部就是根，也就是所谓的“基准DN”。基准DN 通常使用下面的格式，如：o=https://www.360docs.net/doc/165492980.html, (用组织机构的域名/Internet 地址作为基准DN，这种格式很直观，这也是现在最常用的格式)。

在目录树中怎么组织数据：

LDAP 目录树的最顶部就是根。在根目录下，因为历史上(X.500)的原因，大多数LDAP 目录用OU 从逻辑上把数据分开来。

OU 表示“Organization Unit”，在X.500 协议中是用来表示单位内部的机构部门。现在LDAP 还保留ou=这样的命名规则，但是扩展了分类的范围，可以分类为：ou=people, ou=groups, ou=devices，等等。更低一级的OU 有时用来做更细的归类。例如：LDAP 目录树(不包括单独的记录)可能会是这样的：o=https://www.360docs.net/doc/165492980.html,

ou=employees

ou=office

ou=hr

ou=finance

ou=sales

ou=rd

ou=groups

ou=customers

ou=china

ou=asia

ou=europe

ou=rooms

ou=assets-mgmt

单独的LDAP 记录：

DN 是LDAP 记录项的名字。在LDAP 目录中的所有记录项都有一个唯一的“Distinguished Name”，也就是DN。每一个LDAP 记录项的DN 是由两个部分组成的：相对DN（RDN ）和记录在LDAP目录中的位置。

RDN 是DN 中与目录树的结构无关的部分。在LDAP 目录中存储的记录项都要有一个名字，这个名字通常存在cn （Common Name）这个属性里。在LDAP中存储的对象都用它们的cn 值作为RDN 的基础。

完整的DN，比如，为一个员工“张三”设置一个DN：

cn=zhang san, ou=employees, o=https://www.360docs.net/doc/165492980.html, （基于姓名）

uid=szhang, ou=employees, o=https://www.360docs.net/doc/165492980.html, （基于登录名，推荐）

推荐采用基于登录名的方式设置DN，因为基于姓名这种格式有一个很明显的缺点---如果名字改变了，LDAP 的记录就要从一个DN 转移到另一个DN，但是，我们应该尽可能地避免改变一个记录项的DN；而大多数单位都会给每一个员工唯一的登录名，因此用这个办法可以很好地保存员工的信息，而不用担心以后还会有一个叫“张三”的加入，或者“张三”改变了名字，也用不着改变LDAP 记录项的DN。

记录项：

LDAP 目录以一系列“属性对”的形式来存储记录项，每一个记录项包括属性类型和属性值（这与关系型数据库用行和列来存取数据有根本的不同）。

例如，机构单位https://www.360docs.net/doc/165492980.html, 的员工“张三”的LDAP 记录。这个记

录项的格式是LDIF，用来导入和导出LDAP 目录的记录项。

dn: uid=szhang, ou=employees, o=https://www.360docs.net/doc/165492980.html,

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

objectclass: orgnamePerson

uid: szhang

givenname: zhang

sn: san

cn: Zhang San

cn: Zhang Shan

cn: 张三

cn: 张总

telephonenumber: 8610-82825858

roomnumber: 122G

o: orgname, Inc.

dept: sales

role: salesmanager

mailRoutingAddress: szhang@https://www.360docs.net/doc/165492980.html,

mailhost: https://www.360docs.net/doc/165492980.html,

userpassword: {crypt}3x1231v76T89N

uidnumber: 1234

gidnumber: 1200

homedirectory: /home/szhang

loginshell: /usr/local/bin/sh

LDAP目录可以定制成存储任何文本或二进制数据，到底存什么要由你自己决定。LDAP 目录用对象类型（object classes）的概念来定义运行哪一类的对象使用什么属性。在几乎所有的LDAP服务器中，你都要根据自己的需要扩展基本的LDAP 目录的功能，创建新的对象类型或者扩展现存的对象类型。

属性的值在保存的时候是保留大小写的，但是在默认情况下搜索的时候是不区分大小写的。某些特殊的属性（例如，password ）在搜索的时候需要区分大小写。

请注意LDAP目录被设计成允许某些属性有多个值，如一个员工可能拥有多个名字，可以用其任何一个名字检索都可以找到该员工的电话号码、电子邮件和办公房间号，等等；而不是在每一个属性的后面用逗号把一系列值分开。

因为用这样的方式存储数据，所以LDAP目录就有很大的灵活性，不必为加入一些新的数据就重新创建表和索引。更重要的是，LDAP 目录不必花费内存或硬盘空间处理“空”域，也就是说，实际上不使用可选择的域也不会花费你任何资源。

3.4、LDAP目录的存储内容

LDAP目录是有关用户、系统、分组、网络、服务和标识的集合；LDAP目录中可以存储各种类型的数据，LDAP 对于这样存储这样的信息最为有用，也就是

数据需要从不同的地点读取，但是不需要经常更新。例如，这些信息存储在LDAP 目录中是十分有效的：

单位员工的人力资源数据：员工的姓名、登录名、口令、员工号、主管经理的登录名、邮件地址、等等；

电话号码簿和组织结构图；

用户、系统、分组；

电子邮件地址、邮件路由信息；

公用证书和安全密匙；

客户联系列表：客户的单位名称、主要联系人电话、传真和电子邮件等；

资产管理信息：计算机名、IP 地址、标签、型号、所在位置，等等。

会议室信息：会议室的名字、位置、可以坐多少人、电话号码、是否有投影机，等等；

计算机管理需要的信息，包括网络资源、DNS 域名系统、NIS 映射等等；

软件包的配置信息；

以及其他，如食谱信息：菜的名字、配料、烹调方法以及准备方法；

等等。

对于用户管理而言，LDAP 目录中存储的信息可包括：

用户UserID(或LoginID、使用者帐号)；

用户身份：用户角色(可以多个角色)、用户组；

用户名称Name ：正式名称、常用名、别名、中英文名等；

用户口令/密钥Pswd(加密存储，区分大小写，禁止任何人查询，但是可以允许用户改变他或她自己的口令)；

认证公钥；

员工号、部门名称、部门号、房间号、工位号、工作岗位、职务名称、上级主管经理；

联系电话、手机、分机；

家庭联系信息：家庭住址、邮编、家庭电话、其他联系人信息；

电子邮件地址、邮件服务器、邮件路由地址；

员工计算机信息：计算机名、IP 地址、标签、型号、所在位置，等等；

验证用户的LDAP 地址

用户在LDAP 中的标识码-路径

用户其他信息等。

四、用户身份认证

4.1、认证类型

统一用户目录管理系统支持多个安全级别的身份认证方式，参与SSO 的各个应用系统和受保护资源可以根据自身的安全需要设置安全等级，通过低级别登录的用户在访问高级别的应用时需要进行高级别的登录。身份认证方式的安全级别由低到高分别为：

普通口令级：用户输入用户名和口令进行身份认证；

动态密码级：用户使用动态密码卡来输入动态密码；

数字证书级：用户使用智能卡等设备通过数字证书和数字签名进行身份认证；生物测量级：用户使用指纹仪、虹膜仪等生物物理测量设备进行身份认证；

生物测量+数字证书级：数字证书和生物测量的结合使用。

支持多种身份验证方式：支持多个生产商的动态密码卡、数字证书卡、DSA Key 和指纹仪等设备。

身份认证模块是以插件方式配置的，确保快速的实施和灵活的调整。

系统可以使用客户现存应用系统的已有用户数据库或LDAP 用户目录进行身份验证；通过配置即可实现通过LDAP 或JDBC 进行用户身份验证。

4.2、用户身份密码验证

LDAP 作为存储用户信息的目录服务，可提供基本的用户身份密码验证。

为了加强用户口令信息的安全，将口令信息采用国际标准的MD5 摘要加密算法进行摘要加密，使摘要信息可明文存储且不可逆。门户或使用该用户目录的应用系统在验证口令时，首先将用户输入的口令进行MD5 处理，再与存储的MD5 加密摘要信息进行匹配比较，如下图所示。

用户身份密码验证的流程如下：

（1）用户在门户首页中输入用户名/ 口令，进行登录。

（2）门户调用用户身份验证Web Service，通过对加密后的密码摘要匹配，进行用户身份验证。

（3）如果验证用户非法，提示错误信息并返回（1）。

（4）用户身份验证Web Service 返回该用户的ID，该ID 将作为通过门户访问应用系统的会话标识。

4.3、与CA认证接口

门户通过CA 认证网关支持用户数字证书的验证，如下图所示；

系统提供BJCA、协卡SheCA、中国金融认证中心CFCA、吉大正元CA 等主流CA 系统接口的支持。

4.4、用户登录控制

用户登录控制包括：

★系统无操作时间限制：超过10 分钟，系统将自动退出，所有进一步操作必须重新登录。

★IP限制：登录IP 限制（特别是管理员用户）；相同用户同时登录IP 数限制；

★密码错误次数限制：密码连续输入错误次数超过比如3 次或累计次数超过比如6 次，强制退出，不允许登录，直至系统管理员为直重置密码；

★强制口令修改：

◎第一次登录时强制口令修改；

◎用户口令被重置后登录时强制口令修改；

◎口令期限：超期口令强制口令修改。

五、分布式用户目录管理

5.1、分布式目录服务体系

分布式目录服务体系如下图所示。

可配置集中目录，将所有员工信息保存到一台中央目录服务器上。中央目录信息可以向所有用户和所有应用提供，为所有用户和组信息提供单个身份认证中心。集中目录服务可提供更多的控制，可以降低开销，并可以易于管理，具有较大的优势。

可创建多机构目录，确保用户只能访问到其所属机构的信息，如针对某个下属单位，可创建该下属单位的目录服务；再如，针对大学，可专门创建可允许学

生访问的目录服务。中央目录服务器与某类用户/下属单位/部门/分支机构/远程办公室子目录服务器之间可进行选择性复制，可节约磁盘空间和复制周期。

5.2、目录复制

复制技术是内置在LDAP 目录服务器中的而且很容易配置。

LDAP 服务器可以使用基于“推”或者“拉”的技术，用简单或基于安全证书的安全验证，复制一部分或者所有的数据。

例如：可以把数据“推”到远程的上海的办公室，可以建立从中央LDAP 服务器https://www.360docs.net/doc/165492980.html,:1389 到https://www.360docs.net/doc/165492980.html,:389 的有选择的数据复制，不复制需要隐藏的信息，像下面这样：

periodic pull: ou=northchina,ou=customers,o=https://www.360docs.net/doc/165492980.html,

periodic pull: ou=hk,ou=customers,o=https://www.360docs.net/doc/165492980.html,

immediate push: ou=eastchina,ou=customers,o=https://www.360docs.net/doc/165492980.html,

“拉”连接每15 分钟同步一次，在上面假定的情况下足够了。为了保持数据始终是最新的，主目录服务器被设置成即时“推”同步。“推”连接保证任何华东的联系信息发生了变化就立即被“推”到上海。

用上面的复制模式，用户为了访问数据只需简单地连接到本地服务器。如果改变了数据，本地的LDAP 服务器就会把这些变化传到主LDAP 服务器，以保持数据的同步。这对本地的用户有很大的好处，因为所有的查询（大多数是读）都在本地的服务器上进行，速度非常快。

当需要改变信息的时候，最终用户不需要重新配置客户端的软件，因为LDAP目录服务器为他们完成了所有的数据交换工作。

我们推荐中央主LDAP目录服务器与子LDAP 目录服务器选用同一目录服务产品。

不同目录服务器之间的数据移植和同步：

对于中央主LDAP目录服务器与子LDAP目录服务器选用不同厂商的产品时，首先可考虑将原有的LDAP目录服务器的数据移植到新的LDAP 目录服务器中；

此外，目前，有些不同厂商的LDAP目录服务器之间也可以实现目录同步和复制。比如，若您正在使用Windows 2000，可在Domino LDAP 目录与MS 活动目录AD 之间同步管理用户和分组；如在活动目录中执行此操作，ADSync 允许您注册、同步属性和口令、重命名和删除Domino LDAP 目录中的用户和分组。

六、统一用户信息的方式分类

门户基础平台建立一个中央统一用户目录管理系统，并支持所有应用的合法性访问。

有两种方法可以完成所有应用的统一用户目录管理。

第一种：完全重新定制应用，改变应用自身的用户体系为中央统一用户

管理系统。

第二种：用户信息同步：在应用的用户管理系统与中央统一用户管理系统之间，建立用户／用户组同步复制关系。即在统一用户管理系统中发生任何变更，则及时反映到应用用户管理系统。（同步更新用户数据）

第一种方法可以获得最大的灵活性，但是由于要对应用系统的用户认证进行变更，工作量较大。并且仅适用于应用系统提供用户管理系统接口的前提下。

第二种方法优点在于开发较为便捷，但在后期的实际运行过程中，由于用户信息的频繁更新，有可能造成系统实际运行过程中的效率低下。

在应用系统提供用户管理接口的前提下，建议采用第一种方法：基于LDAP 目录实现统一用户目录管理。

七、用户信息同步

随着信息技术和网络技术在组织机构中的广泛应用，很多机构单位已经拥有了各种各样的应用系统，如OA 办公自动化系统、HR 人力资源管理系统、财务系统、CRM 客户关系管理系统、企业ERP 系统、政府网上审批系统、学校一卡通系统、以及各种业务应用系统。

而通常情况下，各个应用系统都存在自己独立的用户信息数据库和授权管理机制，故而如何实现中央用户目录数据、门户用户数据与各应用系统用户数据之间的同步是信息化建设面临的重要挑战之一。

基于用户信息同步技术，只需在单点进行增加新用户、修改用户信息、或者删除老用户，其他相关应用系统的用户信息和基于用户角色等的用户授权信息都能同步发生变化，并且能够立即生效，从而简化了用户管理工作，避免了安全隐患的发生。

中央用户目录、门户与各应用系统之间的用户信息交换体系架构如下图所示。

用户信息总线是基于EAI 技术的数据总线技术，支持用户信息数据的发布/订阅、请求/应答模式；发布/订阅通信模式完全是一种“推”（Push ）的技术；而请求/应答通信模式是对传统Client/Server 通信模式的支持，即支持“拉”（Pull ）技术；可以根据具体应用的信息处理流程来选择合适的通信模式。

用户信息总线提供灵活可扩展的适配器框架结构，支持应用系统的动态加入或卸载，只需编写或定制该应用系统相应的适配器即可，即插即用。

应用系统适配器用来完成用户信息的基于XML 标准的封装和解析、发送和接收；同时，实现中央LDAP 用户目录与应用系统之间用户组、角色、级别等同一语义不同数据格式的转换。这样，对于基于用户角色、用户组、级别等对用户进行授权控制的应用系统而言，在实现用户信息同步的同时，实现了授权信息的传递。

此外，对于门户和平台的应用功能如CMS 内容管理等，无单独的用户信息存储，而直接使用LDAP 用户目录数据，无需参与用户信息交换。

八、用户生命周期管理

8.1、新建用户

如果有新员工加入，系统提供通过LDAP目录管理工具登记注册新用户；同时，通过用户信息同步和授权信息传递，系统自动在与其相关的每个应用系统中增加一套用户账号，并且能够立即生效，从而简化了用户管理工作，避免了安全隐患的发生。

通过LDAP目录管理工具登记用户基本信息，设置用户口令，并为该用户分配一个注册名。该注册名是访问应用系统的用户名，只能包含大小写英文字母和数字，并且是唯一的。建议采用用户中文名的汉语拼音作为用户的注册名。

在LDAP目录中新建完该用户后，该用户同时也是门户系统用户，门户用户的用户名应该与LDAP 目录中该用户的注册名保持一致。

用户注册流程：

如果一个用户要访问门户或者应用，而LDAP目录中没有该用户，或者该用户在LDAP目录中必须的信息（如：用户简称、口令）不完整，需要按该流程进行用户注册。如下图所示。

集团公司统一门户Portal平台方案计划

企业统一门户Portal平台方案 快速集成多应用的轻量级企业门户平台

目录 1 Portal产品背景 (4) 1.1企业面临的挑战 (4) 1.2Portal应运而生 (4) 2 Portal产品概述 (6) 3 Portal产品客户价值 (8) 4 Portal产品特点与优势 (10) 4.1高性能 (10) 4.2高扩展 (10) 4.3易集成 (11) 4.4安全可靠 (11) 5 Portal产品组成及功能概述 (12) 5.1单点登录集成 (12) 5.2内容管理平台 (13) 5.3内容集成 (13) 5.4Widget交互 (14) 5.5多层次权限控制 (14) 5.6个性化 (14) 5.7菜单集成组件 (15) 6 Portal产品环境配置 (16) 6.1支持的操作系统 (16) 6.2支持的JavaEE服务器 (16) 6.3支持的数据库 (16) 6.4支持的浏览器 (16) 6.5支持的JDK版本 (16) 7 典型案例 (17) 7.1德邦物流OA系统改造和IT系统整合案例 (17)

7.1.1德邦物流简介 (17) 7.1.2背景与问题 (17) 7.1.3使用产品与方案 (18) 7.1.4实施效果 (19) 7.2交通银行信用卡中心案例 (20) 7.2.1交通银行信用卡中心简介 (20) 7.2.2背景与问题 (20) 7.2.3使用产品与方案 (20) 7.2.4实施效果 (21)

1 Portal产品背景 1.1 企业面临的挑战 在过去的几十年中，大部分企业走过了职能级IT建设过程，在企业内部实施了人事、财务、行政、ERP、CRM、SCM等能够独立运行的“孤立”系统。随着市场全球化竞争加剧和互联网的发展，企业业务呈现多元化发展，也逐步兼并重组走向集团化的道路。企业由以产品为核心，向以市场为导向和以客户为中心的方向发展。这些“孤立”的系统已不能满足企业管理者对企业协同、资源优化、扁平化管理、以及快速决策等的管理要求。 另外一方面，金融、银行、电信、传媒、政府等行业/机构，因为自身的业务特征和服务需要，产生了大量的非结构化的文档资料和信息资产，我们称之为内容，包括：客户的原始凭证、客户资料、报表、办公文档、邮件、影/视频资料、HTML等，这些文档资料和信息资产是重要的业务驱动源，如何高效、低成本地管理好这些资产，并快速实现信息的整合，利用这些业务信息取得更高的投资回报，是企业信息管理十分关注的课题。 企业也因为上述问题，面临了重重挑战： ●如何快速实现多应用集成，为员工提供统一入口和任务的全景视图。 ●如何满足员工的个性化需求，提高员工的业务关注度和工作效率。 ●如何为客户量身定做，快速打造个性化服务。 ●如何提高企业的随需应变能力，实现跨系统信息整合、流程重组、内容和新业务的快速 重组发布。 ●如何为领导提供一站式高效决策支持。 ●需要管理的信息爆炸性增长，种类繁多，数量巨大，如何对这些非结构化资产进行高效 管理和价值挖掘。 ●如何保证企业网站、用户信息、企业信息资产的安全。 1.2 Portal应运而生 针对上述企业面临的困难和挑战，历经多年沉淀，开发了Portal。Portal以多应用集成和内容管理为核心，提供了访问企业信息资源的统一入口，是一个面向企业的内容管理、信息

银行统一门户解决方案

银行统一门户解决方案 2016年12月

修订历史记录

目录 一、概述 (4) 二、用户分类模型 (4) 2.1基于部门岗位树的角色模型 (4) 2.2 级别分层树模型 (5) 三、用户信息存储管理 (6) 3.1 用户信息存储分类 (6) 3.2 LDAP目录服务定义 (7) 3.3、LDAP目录的结构 (8) 3.4、LDAP目录的存储内容 (10) 四、用户身份认证 (11) 4.1、认证类型 (11) 4.2、用户身份密码验证 (12) 4.3、与CA认证接口 (14) 4.4、用户登录控制 (15) 五、分布式用户目录管理 (16) 5.1、分布式目录服务体系 (16) 5.2、目录复制 (17) 六、统一用户信息的方式分类 (17) 七、用户信息同步 (18) 八、用户生命周期管理 (20) 8.1、新建用户 (20) 8.2、密码修改 (21) 8.3、删除用户 (21)

一、概述 目录管理是为了方便用户访问组织机构内所有的授权资源和服务，简化用户管理，基于LDAP或基于数据库，对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。 统一用户目录管理要遵循以下两个基本原则： ★统一性原则：实现对目前已知用户类型进行统一管理；对包括分支机构在内的整个组织机构内的所有用户进行用户目录复制和统一管理；对门户的用户体系和各应用系统各自独立的用户体系进行统一管理；对新进员工/用户到员工/用户离开进行整个生命周期的管理。 ★可扩充性原则：能够适应对将来扩充子系统的用户进行管理。 二、用户分类模型 2.1基于部门岗位树的角色模型 基于部门岗位树的角色模型是组织机构内最常见的模型，提供了用户目录管理、目录复制、权限控制的多种属性。角色管理是用户权限管理的重要基础。基于部门岗位树的角色模型如下所示：

企业统一信息平台解决方案

企业统一信息平台解决方案 广告载入中... 行业: 电信 功能: 信息管理办公 供应商: IBM 方案正文: 广告载入中... 方案概述 了一个合适的模式，它通过集成企业的数据和应用，为企业信息化包括电子商务提供了一个跨越多种分散的、内部和外部的信息处理过程的系统结构。企业的竞争优势包含在现存的商业系统中。统一信息平台能够平衡这些系统、集成这些系统、并使它们适应电子商务的要求。 提高商业过程的效率 统一信息平台的重点在于集成化，它减少了完成整个商业过程所需的时间。如一个用于收集在线订单的网络订单输入系统，若无集成，在后台，订单仍然是由人工操作传送到发货系统的，目录清单系统也是由人工操作完成目录更新，并与库存情况保持一致。 通过实现一个集成的、具有门户功能的结构，你不仅可以进行在线订货，还可以更新目录并在线通知发货系统。因此，仓库中没有的项目将不会提供给客户。利用统一信息平台将不同的系统集成在一起，可大大提高效率并增加可控性。 支持新商业模式的灵活性 在线商业的涌入已经提出了适应和支持新的商业模式的需求，统一信息平台给你提供了在快速环境中支持新的商业模式的灵活性。 办公系统 建设企业统一信息平台，当然首先需要通过传统办公系统的建设，满足日常办公的需求。由于整个系统平台转型到B/S体系，以邮件、公告、收发文为核心的办公系统有了新的需求和其存在的意义。因此办公系统还应该有强大的扩展能力，为建立整个企业的统一信息平台打好基础。 传统的办公系统包括：日常办公、个人事务、电子邮件、企业文化、信息服务等功能子系统。统一信息平台 在系统建设中，所有外界对业务系统的沟通和访问都应该通过统一信息平台的服务器。这样做的好处如下：

统一门户平台介绍功能

统一门户平台介绍 企业门户概述 一直以来企业门户的建设，都是企业信息化工作中重要的一环。它通过单点登陆、个性化设置等手段，解决了企业信息系统使用者对于系统使用复杂度高的问题，为企业信息系统的利用率提升，做出了不俗的贡献。随着企业自身管理和运营的进步，企业门户的内容也在发生变化。当前企业的运营和管理开展是以“沟通和协作”为核心的。传统的企业门户在解决个人对于企业信息系统使用的瓶颈的同时，并没有兼顾到企业用户在工作中存在的“沟通和协作”需求。 所以，当前企业门户平台须以企业的实际使用为出发点，将集成的个性化工作空间、沟通和协作工具进行整合，为企业用户创建一套即能满足使用者易用性要求，又能够满足使用者在工作中“沟通和协作”要求的集成的个性化协同工作空间。它的主要内容包括以下两个方面： 第一，企业门户平台能够提升企业信息系统的价值。企业的信息系统是为企业的实际使用服务的，其价值包含两个方面，一个方面是企业信息系统需求的实现；另一方面是企业信息系统的利用率。企业门户平台将企业信息系统的入口集成起来，提供单点登陆和个性化设置，用户可以在企业门户平台中完成所有的工作，大大降低了了企业信息系统使用的复杂度，增加了企业信息系统的利用率，提高了企业信息系统的价值。 第二，企业门户平台增加了“沟通和协作”内容。“沟通和协作”已经成为企业多信息系统时代不可忽视的因素。当企业信息化使用的使用需要穿梭于不同的信息系统时，“沟通和协作”要求就将得到突出，而传统的企业门户并没有关注这两点需求。企业门户平台提供沟通和协作的工具，在承袭传统企业门户功能的同时，给用户带来了各类沟通和协作的便利。 综合上述，企业门户平台是以企业实际协同使用为出发点，将传统的企业门户功能、沟通及协作工具进行整合，为企业创建一个集成的个性化的协作空

企业集团内网门户解决方案

企业集团内网门户系统主要为内部员工提供统一信息访问入口，它需要集成企业后端所有业务系统，如现有的信息系统、网站、应用管理系统等，更重要的是需要建立一个框架，将这种对现有系统的集成和新系统的建设有机的整合起来，并以一种统一的规范和标准来规划这种集成和建设，最终通过集成实现单点登录和集中操作界面。 在构建企业内网门户时，至少需要满足以下几点要求： 1 企业门内网户不应仅仅是一个普通的Web站点，应与企业内具体的业务相关。 2 整个企业需要有企业的内网门户，同时每个部门也都应有自己的部门门户，协助部门内部相关的事宜，如文档管理和信息交流。 3 应增加用户管理系统，提供用户的验证和授权，保证较高的安全性。 4 根据工作性质的不同，应为每位员工提供个性化的服务。 5 企业内部的全部门户应能够统一管理、共享和实施。 6 可以根据企业管理特点，根据不同信息来源构建基于业务种类的垂直门户（Vertical Portals），和根据部门和机构设置与特殊职责相关信息的水平门户（Horizontal Portals）。 一、系统应用集成 目前，大多数企业都已经建立起自己的业务系统，并在日常业务处理中发挥着重要的作用，促进了企业办公效率的提高。但是建设初期由于受各种条件的限制，缺少整体性的统一规划，各部门独立建设自己的系统，导致信息孤岛现象大量存在，严重制约了企业业务的进一步发展。企业内网建设的一个重要目标就是要实现各个部门之间的网络互联、信息互通，业务互动，惟其如此才能保证业务处理的高效开展。 要实现各部门的业务互动，就必须对各部门的应用系统进行集成，这些系统是各部门在不同时期采用不同技术建造的，数目众多、类型各异，企业业务建设中一个非常大的挑战就来自于如何将这些系统间的业务处理进行整合，使其成为一个可以跨部门互动的一体化业务流程，并在此基础上重新审视现行的业务处理过程，对其进行优化，实现流程再造的高阶段目标。 企业业务对应用集成的需求包括： ·提供一个开放的集成框架，摒弃传统的应用系统间点点集成方式，所有被集成的系统能够通过统一的技术框架进行快速集成。

统一门户平台

第1章统一门户平台 1.1总体需求 统一门户通过构建一个区、街镇、委办局、局委会和基层工作人员共同使用的统一工作门户平台，整合现有业务系统的访问控制，通过单点登录实现对各业务工作平台的集中访问，登录用户通过统一的门户可以在一个桌面上进行各项业务办理、处理和审批操作，减少系统使用复杂度。同时门户还提供了各类动态信息、信息简报、通知通告等汇总统计显示，以及各类业务信息的播报。统一门户平台实现的功能包括单点登录、个性化界面、系统导航、信息交流、预警功能、信息展现、信息发布等功能，从而降低用户进入系统和获得各系统提供信息的难度，使得用户获取和使用信息更直接、更方便，实现信息共享、综合利用，以促进信息的应用。 1.2系统框架 统一门户是一个旨在服务全体的信息发布、信息反馈、信息分析、信息交流、资源共享、预警发布的一站式门户，同时也是广大用户利用业务信息系统、综合信息应用系统和资源库系统等进行网上办公、协同工作的平台。 通过统一的认证方式，门户系统为各级机关的不同用户提供综合管理和对不同信息及应用的访问控制，通过服务的集成如资源库系统、搜索、协作、业务管理等，满足信息综合平台建设可持续发展的初步需求。框架结构如下：

通过提供统一的用户管理控制，整合现有业务系统的访问控制，为各部门、各级基层用户、各级领导按照各自角色权限提供统一接入点，实现单点登录（SSO，Single Sign On），打破多点登录、入口分散的现状。通过权限控制，登录用户在可控权限内通过统一门户在一个界面中进行日常事务处理操作，在同一界面呈现用户所需的工具和关联的业务。同时，在综合应用数据库的支撑下，提供各类信息的统计汇总数据显示，以及各类业务信息的通告。通过统一门户，结合现有的身份认证系统，以最迅速的方式、最高效的方式提供全面的应急信息和应用。 1.3系统功能 门户portal技术提供了整合的一整套解决方案。门户服务可以对应用程序、服务组件进行定义、开发和重用、统一所有用户体验并标准化发布内容的过程和流程、提供保密信息的安全访问、基于角色和任务提供个性化访问以及单点登录。通过门户整合，把各业务部门应用系统和业务需求集成到门户，用户根据预先定

4A(统一安全管理平台)解决方案

4A（统一安全管理平台）简介 企业信息门户系统供稿1、介绍 企业信息化软件，一般经历下面几个阶段：无纸化办公—信息共享—信息安全等三个阶段，随着企业承载应用的越来越多，对所有应用的统一访问、统一控制、统一授权的需求也随着出现，4A就是针对此类问题的综合解决方案。4A是指：认证Authentication、账号Account、授权Authorization、审计Audit，中文名称为统一安全管理平台解决方案。融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录（SSO）等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX）要求的内控报表。 2、4A系统背景 随着信息技术的不断发展和信息化建设的不断进步，业务应用、办公系统、商务平台不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站，使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务，提供电子商务、数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多，系统管理员压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响企业的经济运行效能，并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为企业关心的问题。

3、4A平台的管理功能 为用户提供统一集中的帐号管理，支持管理的资源包括主流的操作系统、网络设备和应用系统；不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能，而且也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。 2）集中认证(authentication)管理 可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（一次性口令、数字证书、动态口令），而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。 3）集中权限(authorization)管理 可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

电子政务统一门户系统解决方案

电子政务统一门户系统解决方案 公众提供便捷的服务，为政府提供提供专业的服务平台 政务网门户建设并不意味着建立数量庞大的网站系统，无论从使用角度、服务提供角度、投资成本和安全管理角度来说，都应建立相对集中的统一门户系统。统一门户系统提供分散的业务服务的统一入口，将公用信息进行统一集中管理，用户通过统一的登录认证可以查看个性化的信息，而业务应用的重点传向通过统一的服务接口提供专业的业务服务。 为办公业务系统提供统一入口 随着办公业务系统的发展和完善，势必形成不同的专业系统为特定目标服务，统一门户系统为政务人员提供统一的入口，将复杂的业务处理屏蔽在后台。 门户网站的物理集中和逻辑隔离 对中小部门或区域，统一门户系统意味着信息和处理的进一步集中，各服务区域依据办事的性质进行逻辑隔离，这样既保证了信息共享的最大化又保证了安全管理的相对集中。 门户网站的统一管理和个性定制 统一门户系统通过信息交换系统和其他部门的内部办公业务系统交互，使用统一的交互接口和安全模式，将各系统的对外接口纳入统一管理。从技术手段来说，统一门户系统使用基于大型关系数据库和分布式发布的知识管理平台，将信息的个性化展现和再利用纳入统一的管理，使信息的价值得到提升。 功能 政府的组织形式较为复杂，有横向管理机构也有纵向管理级别，涉及的人员包括公众、企业、公务员，他们随岗位角色的不同，在各种业务或办公流程对政务应用的要求也各不相同。由于政务的业务和工作范围决定，必然有各种专业化的管理信息应用系统不断建立，需要为所有人员提供一个统一应用入口，并在其基础上实现岗位角色和个人的个性化定制。 统一政务公众(企业)门户和协作办公门户的框架体系，是公众应用服务和协同办公应用服务的统一接入层表现。”即插即用”式的功能扩展。 单点登录：使用后台的统一的认证体系，形成政务网站的统一入口； 全文检索：对内容的知识管理，使查找更方便更准确，提高信息的价值； 个性化服务：依据用户角色的不同提供不同的现实界面，并提供个人习惯定制的空间； 交互管理：与后台应用服务连接，门户负责与用户的交互，由应用服务提供内容和处理； 信息发布和信息反馈：方便快捷的信息发布，及时准确的信息反馈； 讨论组：加强沟通的有效途径。 统一门户系统的作用在于将各应用的设计重点集中于完成业务目标，而将其人机界面映射到一个统一的入口。提供统一的权限认证，并通过简单易用的动态页面去屏蔽后台复杂的业务逻辑、异构系统连接和工作流程贯通。实现旧有系统和未来系统的松散耦合。 为公众和企业提供一站式服务，为公务员提供一网式办公。

【蓝凌OA】统一信息门户解决方案

蓝凌统一门户解决方案 一、面临困惑 随着企业信息化的建设，不同用户面临着不同困惑： 企业高管：为什么花那么多钱建那么多系统都还看不到我要的数据？ 执行者：应用入口太多了,处理一个业务,需要切换不同的系统,录入很多次登陆用户名和密码,效率低下； IT人员：应用越来越多,无法整合,数据需要维护多个复本,IT架构无法统一,维护成本居高不下,维护难度增加。 二、蓝凌统一门户解决方案价值： 1、实现用户单一入口访问不同系统，满足不同角色的个性化需求：

2、实现信息聚合与同一展现界面： 3、解放员工脑力和体力，有效提升管理效率、质量、能力；

三、蓝凌统一门户解决方案 企业门户是一种新的信息化展现的表现形式，是企业内部员工、社会公众、客户、合作伙伴访问企业各种信息和应用的统一入口。内部员工通过门户可及时了解企业最新动态与信息、执行需要完成的工作或任务、获取为完成工作而需的信息与知识等；社会公众通过企业门户可及时了解企业的发展状况、经营业绩等；客户通过企业门户可及时了解企业的产品、服务，并与相关员工取得联系；合作伙伴通过企业门户则可实时了解采购信息、传递最新产品信息等，实现供应链的一体化。 四、蓝凌统一门户整体框架： 五、现状分析与评估： 解读企业战略与业务发展规划，了解企业的信息化现状与功能应用、分析企业IT的管理能力，制定企业门户的规划与建设规划： 门户现状分析与规划研讨； IT现状分析与IT规划调研； 业务规划与门户需求调研；

六、门户内容梳理： 统一门户内容建设主要包括三部分内容：流程体系梳理、知识体系梳理、信息（新闻、数据、报表）体系梳理。 流程体系梳理 正确完整地描述企业管理流程体系，是建设统一的成功的基础。因为只有正确完整的流程描述才能客观的反应服务员工的思路，有效的指导员工完成相关工作。 门户流程梳理主要完成IT、行政、人力、财务等管理流程的收集，并形成分层、分级管控的企业管理流程体系。 知识体系梳理 建立企业系统化、规范化、标准化的知识分类体系梳理工作，是优化企业门户内容的重要基础工作，也是企业知识管理工作的基础和关键工作。知识分类的科学性和合理性直接决定了知识储存、维护和应用的质效，同时也能够加快知识更新速度，很好的丰富保障知识库。 知识体系梳理包括了知识分库、知识分类梳理、知识属性梳理、知识问答体系设计、知识专家体系设计。 信息体系梳理 实现企业新闻、公告、通知的编辑、审核、发布等全过程统一管理，实现各类应用系统数据采集、汇总、统计，并统一展现与共享。 七、门户蓝图与UI规范规划 门户蓝图规划 在统一的组织架构、用户和权限管理的基础之上，根据不同使用者、不同组织，规划基于角色和权限的个性化门户蓝图，将知识、流程、信息等内容在蓝图中聚合，从而满足用户需求，比如员工门户、高管门户、供应商门户等： 2.2门户UI设计 统一门户UI设计包括：门户基本系统设计、门户应用布局系统设计2大部分。

智慧校园统一平台建设方案

智慧校园统一平台建设方案

目录 第1章系统概述 (6) 1.1设计背景 (6) 1.2现状分析 (6) 1.3设计目标 (8) 1.3.1一站式服务需求； (8) 1.3.2标准化需求； (8) 1.3.3开放性需求； (8) 1.3.4数据共享需求 (9) 1.3.5对历史数据的挖掘和分析 (9) 1.3.6基于信息的“智慧”业务应用 (9) 1.4设计原则 (9) 1.4.1以平台为框架，无缝集成学校已建和今后新建的业务应用系统。 (9) 1.4.2全面规划、分步实施的原则 (10) 1.4.3先进性原则 (10) 1.4.4扩展性原则 (10) 1.4.5系统安全性原则 (10) 第2章系统总体设计 (10) 2.1总体设计思路 (10) 2.2系统总体架构 (11) 第3章建设方案 (12) 3.1信息标准 (12) 3.2共享数据中心平台 (12) 3.2.1平台概述 (12) 3.2.2平台目标 (13) 3.2.3平台功能 (14) 3.3数据清洗与整合平台 (15) 3.3.1平台概述 (15)

3.3.2平台功能 (15) 3.4统一身份认证平台 (16) 3.4.1平台概述 (16) 3.4.2平台功能 (17) 3.5统一信息门户平台 (18) 3.5.1平台概述 (18) 3.5.2平台功能 (19) 3.6空中智慧校园平台 (21) 3.6.1平台概述 (21) 3.6.2平台功能 (22) 3.6.3平台特点 (24) 3.7综合信息查询系统 (24) 3.7.1平台概述 (24) 3.7.2平台功能 (25) 3.8学生生命周期业务系统 (26) 3.8.1迎新报到管理系统 (26) 3.8.2学工管理系统 (26) 3.8.3宿舍管理系统 (26) 3.8.4教务管理系统 (27) 3.8.5离校管理系统 (27) 3.8.6校友系统 (27) 3.9教师管理与服务业务系统 (28) 3.9.1办公管理系统 (28) 3.9.2人事管理系统 (28) 3.9.3评教管理系统 (29) 3.9.4教材管理系统 (29) 3.10安全设施 (29) 3.10.1数字证书管理系统 (29) 3.10.2虚拟专网(SSL VPN) (29)

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

蓝凌知识门户解决方案

蓝凌知识门户解决方案(LKS-EKP) 蓝凌知识门户解决方案(LKS-EKP) 一,门户的需求 企业信息化建设一直是由管理需求和技术发展两个引擎驱动.从管理需求的角度出发,新的管理思想和管理方法的出现, 企业本身在生产经营过程中碰到的问题需要解决是促进企业信息化建设的主要动力.因为管理的分级和组织的细化, 导致信息系统围绕着不同的管理阶段和管理职能来展开,如采购系统,生产系统,销售系统和财务系统等等, 这些系统将一个完整的业务链设计成一个一个的管理单元. 从技术的发展角度,由于技术状态的不均衡,各个厂家的经验和从事的服务范围限制,到平台,工具的不统一, 加上管理过程和管理系统的规范标准缺失,使得各个信息系统之间的容性和集成性成为问题. 企业信息化建设的这些问题,导致目前一个普遍的现象就是企业"信息孤岛"问题.解决"信息孤岛" 之间的集成是目前IT 界的热门话题. 另一方面,随着Internet 在企业信息系统之中的广泛应用,企业信息系统从单独服务于企业内部的员工和企业管理决策者, 扩展到企业外部供应商,合作伙伴,扩展到客户和代理商.通过电子商务,新的商业应用是企业必须考虑的. 电子商务系统如何与企业内部信息系统(如财务管理,ERP 系统和OA 系统等)进行互动和信息共享, 成为互联网时代企业信息化建设的一个显著特征. 解决"信息孤岛"问题和内外网互动问题,IT 界的解决方案经历了从系统集成(SI)到企业应用集成(EAI), 发展到企业信息门户(EIP-Enterprise Information Portal)的解决方案. 整合管理支撑平台和业务支撑平台的中介就是EIP 系统.企业信息门户是一个应用系统, 它使企业能够实时关联存储在企业内部和外部的各种信息和知识,使企业员工,客户和合作伙伴能够从单一的接触点(TouchPoint)访问其所需的个性化信息. 企业信息门户有三个目的: 单点访问:通过浏览器或其他移动设备,通过统一的企业主页访问; 应用集成:对已有应用系统的集成; 个性化:为不同的用户提供个性化的信息或界面表示. 二,企业知识门户概念 企业知识门户(Enterprise Knowledge Portal,EKP)是EIP 的一种新表现形式.EKP 更关注于企业内部员工和信息内容, 它是知识管理系统KM 与企业信息门户EIP 的结合.一般意义上,EIP更关注于业务过程和内外网的整合. 企业知识门EKP 是企业员工日常工作所涉及相关主题内容的统一入口,员工可以通过它方便地了解今天的最新消息, 当天的工作内容,完成这些工作所需的知识等.通过企业知识门户,任何员工都可以实时地与工作团队中的其他成员取得联系, 寻找到能够提供帮助的专家或者快速连接到相关的知识.企业知识门户的使用对象是企业员工,它的建立和使用可以大大提高企业范围内的知识共享, 并由此提高企业员工的工作效率. 企业知识门户具有信息集成,知识分类,个性化展示和系统资源管理的集成. 应用与数据集成 由于企业信息可能以多种数据格式保存,所以知识门户必须提供足够的信息检索,信息共享能力. EKP 使用一个Web 浏览器界面,既简单又实用有效.所有的用户都可以通过单一的界面即企业的主页访问他们需要的信息. 对于企业应用系统来说,这是一种瘦客户端的应用模式,系统维护只需在后台服务器上进行,可以快速升级,既降低了维护费用, 又方便了用户使用. 知识分类与内容管理

解决方案-统一政府门户系统

有空看下https://www.360docs.net/doc/165492980.html,/tabid/66/Default.aspx会有你需求的东西 解决方案>> 统一政府门户系统 项目背景 作为政府对外发布信息、为公众提供服务的窗口，政府门户网站的建设受到各级政府的重视。据统计，90% 以上的政府部门都建成了门户网站，普遍实现了政务公开、信息发布等功能。大量政府网站的建设和应用，为提高政府部门的服务水平和工作效率，加强政府与公众的沟通和联系发挥了重要作用。但总的来说，我国政府门户网站的建设还仍然存在很多问题，如政务公开不够充分、网上信息不够丰富、更新频率低、应用水平比较低、网上办事功能有限、网站交互性相对较差，服务功能较弱，尤其是跨部门的协同办工能力还相对很低等。 随着电子政务的深入发展，简单的信息发布、内容检索等基本功能已无法满足需要，便民服务、网上审批、一站式办公等应用的需求越来越迫切，具备强大交互功能和协同作业能力的政府门户网站正在成为电子政务时代政府与社会公众之间有效沟通的桥梁，并将成为政府高效行政，履行公共服务职能的一个重要平台保证。 我国政府门户网站现况 政府门户网站，是政府用以在网络上展示形象、发布信息、受理事务、提供服务的总入口网站。政府门户网站应有唯一性、综合性和交互性等特点。 目前我国的政府门户网站建设存在诸多问题，可以概括为： 第一，定位问题：面向政府客户的服务理念尚未成为政府网站建设的指导思想，网站成为简单的政府宣传媒体。 第二，深度问题：城市政网对政府服务的集成度不够，在线服务职能得不到充分的重视和发挥；难以实现政府业务流程的再造。 第三，广度问题：政府门户网站对信息资源的整合程度有待提高；缺乏“国家级”电子政务门户网站；对怎样宏观治理和协调控制各城市和地区门户网站建设缺乏研究。 政府网站是电子政务的核心内容，是电子政府与其服务对象间最为高效的交流平台。门户网站的“深度问题”和“广度问题”实际上反映了电子政务建设中深层次的熟悉问题。假如不好好研究和解决的话，不仅将成为政府网站建设的瓶颈，也将困扰国家电子政务的整体发展。 政府门户网站发展趋势 趋势一：政府网站建设向规范化标准化发展 总体来说，目前我国政府网站建设的相关规范普遍缺失，没有统一的标准来规范各级政府网站的建设。随着政府网站建设的深入和服务功能的强化，我国将出台相关标准法规来规范政

多渠道统一知识库平台解决方案

多渠道统一知识库平台解决方案 互联网的持续快速发展，催生了以SNS、微博、微信为代表的新型媒体与信息传播渠道，更多的用户开始通过自媒体获取信息与知识，传统的媒介，甚至传统的互联网站点等都面临着新媒体渠道的分流。可以预见，在不久的将来，信息渠道将越来越多元化，打破单一信息渠道的垄断。一定意义上，占有信息传播渠道，就是占有了用户，通过多媒体渠道全面的、立体的服务于客户的趋势已经凸显。 对于企业的宝贵知识资产而言，沉睡在知识库中，或者只通过单一的管理平台渠道向用户传递知识，其价值含金量是很低的。信息与知识只有在运用之后才可以产生价值，企业经多年的知识沉淀与积累，有大量的知识需要经过规范化管理给企业带来价值。年轻一代是随着互联网的发展而成长的一代，他们获取信息与知识的首选渠道已经由传统电话、短信变换为即时通讯、微博、微信、网站等渠道，所以如何通过新的渠道向年轻一代营销与服务是企业面临的新的课题。 为了向多个渠道输出知识进行客户的营销与服务，难免又要面临着一个更大的难题，即——维护多套知识库、每一个知识点要为不同的渠道进行重新的编辑、制作。这样既产生了巨大的工作量，又使得企业知识资产散乱不堪，难以进行有效的管理和控制。 深蓝海域（KMPRO）专注于知识管理领域的研究与发展，为企业用户提供知识管理整体解决方案，在2013年知识管理最佳实践与新技术年会，深蓝海域发布统一知识库与多渠道知识应用的解决方案，协助客户突破知识整合与分发的困局。

多渠道知识库解决方案要点 多渠道知识库解决方案主要面向组织与企业，用以组织或企业通过维护统一的知识库，向桌面终端（网页、官网、在线客服、工作系统、邮件、微博）和移动终端（微博、微信）进行知识输出，形成企业营销与服务渠道的全媒体渠道拓展，与客户增加互动，提高客户满意度。 多渠道知识库解决方案的要点： 一、知识统一维护：在同一个界面完成各个渠道的知识输入，不需要维护几套知识库，节省维护者的时间与精力，避免知识资产的散乱和知识口径不统一。 二、多渠道知识通过推送：通过标准的webserice接口，面向、微博、微信、网站、在线客服、机器人、业务系统等多个渠道提供知识输出，满足用户多渠道获取知识的需求。

不动产统一登记信息管理平台解决方案

不动产登记信息管理平台解决方案我国现有的不动产登记职责分布在多个部门，许多城市实行房、地分开登记，国有建设用地使用权在土地管理部门登记，其上房屋则在房产管理部门登记；此外，耕地、林地、滩涂、海岛等不仅涉及国土、农业、林业等多个部门，登记程序、标准等也各有不同。随着经济社会的发展，市场经济对归属清晰、权责明确的产权制度要求越来越高，原有做法已经不适应经济社会发展的需要。 2013年11月20日，国务院常务会议决定整合不动产登记职责、建立不动产统一登记制度。整合分散在多个部门的不动产登记职责由一个部门承担，通过提供“一站式”服务，对于保护不动产权利人合法财产权，提高政府治理效率和水平，尤其是方便企业、方便群众，具有重要意义。启动不动产统一登记制度改革，建立不动产统一登记工作协调制度，推动土地登记历史资料整理与信息化，建设不动产统一登记信息平台将是首批进行不动产统一登记试点地区正在面临的重要任务。 不动产登记信息管理平台 不动产登记信息管理平台主要解决各部门的数据交换、信息整合、数据共享和实时互通。按照国家部署要求，该平台通过数据交换接口、数据抄送等方式，首先实现不动产部、住房城乡建设部、农业部、林业局、海洋局等部门现有土地、房屋、草原、林地、水域滩涂、海域海岛等审批、交易和登记信息的历史数据共享，然后通过统一的登记窗口和信息平台，受理新增不动产登记涉及的各类登记事项，进而实现各业务的实时互通互查。面向公众，不动产登记信息管理平台提供不动产登记查询服务系统，方便社会依法查询。 ? 实现土地、房屋、草原、林地、水域滩涂、海域海岛等审批、交易和登记信息实时互通共享。? 利用遥感、GIS、二三维可视化等技术，实现对不动产数据的查询、统计、分析、输出、信息展示等，并以图形、表格、文字、GIS和数据模型相结合的方式，直观、准确、动态地展示涉及不动产登记数据各个方面的信息。 ? 采用“房地合一”模式，实现不动产的统一登记。 ? 推动不动产登记信息公示，向公众开放可以用于搜索、查询的不动产登记数据信息。 ? 提供多样的辅助硬件设备接口，如条码枪、身份证读取器、扫描仪等。 系统架构设计 不动产登记信息管理平台总体框架以信息化标准规范体系和数据交换体系为体系结构，以国土、房产、林业、草原、海域等数据等各类的登记、空间、档案数据库为基础，将地理信息服务（图形浏览、定位查询、空间分析等）、属性查询与统计分析、专题图件发布等GIS服务加以封装，通过不动产登记基础平台提供的各类服务和接口支撑，建立面向不动产登记的登记信息管理系统和信息公示系统（图1）。

企业门户和单点登录系统解决方案

UTrust SSO单点登录和门户建设技术方案建议书 北京神州融信信息技术有限公司 https://www.360docs.net/doc/165492980.html,

目录 1.企业应用系统现状 (2) 2.企业单点登录（SSO）需求分析 (3) 3.SSO（SINGLE SIGN ON）单点登录技术 (4) 3.1.后置代理 (5) 3.2.即插即用 (5) 3.3.两种SSO技术比较 (5) 4.UTRUST SSO单点登录系统描述 (6) 4.1.UT RUST SSO系统概述 (6) 4.2.UT RUST SSO系统架构 (7) 4.3.UT RUST SSO系统工作流程 (8) 4.4.UT RUST SSO系统特点 (9) 5.企业门户和单点登录系统建设方案建议 (10) 5.1.UT RUST单点登录解决方案建议 (11) 5.1.1.原系统的整合 (11) 5.1.2.新系统的集成 (12) 5.1.3.统一身份认证 (12) 5.1.4.统一资源授权 (13) 5.1.5.统一安全审计 (13) 5.1.6.统一安全管理 (13) 5.2.统一身份管理 (14) 5.2.1.采用基于标准的统一身份管理架构 (14) 5.2.2.数据集中管理................................................................................... 错误！未定义书签。 5.2.3.委托管理和自注册管理 (16) 5.3.UT RUST SSO门户集成解决方案 (16) 5.3.1.简单门户 (16) 5.3.2.与办公系统集成门户 (17) 5.3.3.与专业Portal系统整合 (18) 5.4.与W INDOWS域结合实现单点登录 (18) 5.5.UT RUST SSO外网接入解决方案 .......................................................... 错误！未定义书签。 5.6.UT RUST 系统的部署 (19) 6.安装环境配置 (21) 7.系统实施建议 (22)

“警务综合系统业务整合平台”解决方案

一、“警务综合系统业务整合平台”解决案，主要解决如下几个问题： 1. 解决了公安信息应用系统建设中的条块结合问题 当前，公安系统的大部分业务应用系统都是按照“金盾工程”一期任务的要求，以条为主，面向单一业务建设的。这样，难以满足跨部门的业务需求，与地市级公安机关业务系统横向联系的需求产生了矛盾。必须在市级系统与省级系统纵向贯通的基础上，实现地市级不同条线信息应用系统间的横向集成，真正解决好公安信息应用系统建设中“条块结合”的问题。 2. 解决了公安信息应用系统建设中的数据采集问题 目前，公安系统大部分业务应用系统的数据采集，都是由各业务部门通过专门的工作流程来统一组织进行。这样，一面使得系统的数据无法及时更新，另一面又造成部分数据多头采集且互不一致现象。因此及需建立一个统一的平台，使全体民警的日常工作过程成为信息采集过程，变“事后采集”为“过程采集”，实现“一次采集，多次利用”，“一点采集，全警共享”。

二、应用现状 公安系统目前主要的资源库及业务应用系统（统称为八大业务资源库）有：全国人口信息库、全国犯罪人员信息库、全国警员信息库、全国在逃人员信息库、全国被盗抢汽车信息库、全国机动车/驾驶员信息库、全全重点单位信息库和全国出入境人员/证件信息库。 根据公安工作的性质，公安业务应用系统一般可以分为两大类： 一类是垂直应用系统，直接处理公安业务，产生业务数据，主要面向行政管理或单一业务； 另一类是水平应用系统，直接处理公安业务，产生基础业务数据，是面向打、防、控，跨越多个部门涉及多项公安业务的系统。 公安系统的这些业务应用系统和资源库是目前在各个业务管理部门中运作良好的信息管理系统，它们为公安系统在维护社会治安、打击刑事犯罪、保护社会稳定面起到了相当大的作用，因此我们在充分利用这些数据的时候必须保证这些业务系统的可靠运行。但是，公安系统的各类应用系统隶属于公安系统不同业务管理部门，是在不同的时期建立的，因此它们所运行的平台、数据结构等是非常不同的。

政府门户网站建设解决方案汇总

政府门户网站建设解决方案 一、网站定位 门户网站是政府部门信息发布的总平台，也是政府部门集中对外提供服务的总平台，这个平台能够为政府提供虚拟主机、电子邮件、信息检索等服务；能通过导航程序在技术、功能等方面实现网站间有机衔接；能对政府部门的网站域名、应用项目、网页风格、电子邮箱、连接方式、数据结构等进行统一规划、管理；能起到政府对外宣传和招商引资的作用；能为广大公众在网上浏览咨询直接办事提供服务，把电子政务推进到实用阶段。 二、总体目标 政府门户网是信息化时代的政府与社会公众之间的有效载体，是电子政务重要的对外服务窗口，政府门户网站的建设目标是：具有高性能、高可靠性、技术先进、能实现统一的信息发布、集中的信息存储备份、专业的系统管理维护和便捷的网上办事系统的政府门户网站。 在网络系统的建设中，将注重网络平台、应用体系、数据库体系和安全体系的规划和建设，实现以下目标： 1 网络平台：支持多媒体信息传输，能灵活调度网络资源，有较完备的网管功能，有切换到备份系统的能力，有安全防范和审计分析能力。 2 应用体系：重点建设好全局性的、自上而下的网上应用项目，包括可开放的各类静态数据库全部实现资源共享；安全、保密和可靠的内部多媒体通信系统；逐步建立支持公共政策分析和办公决策系统。 3 数据库体系：建立分步式的安全可靠的数据库体系；具有高效的信息采集、分析、整理、数据备份和恢复功能；逐步建立。 4 安全体系：建立标准统一、分级管理、适应应用需要、切实可行的网络安全保障体系。

三、应用支撑平台 应用支撑平台是一个由应用基础框架和应用组件构成的复合平台。同望科技所设计的iTOP应用支撑平台基于J2EE规范，以符合J2EE规范的应用服务器（WebLogic、Websphere、TongWeb、Apusic、Jboss等）为应用基础框架，以同望自主研发的工作流引擎、通用报表引擎、组织结构等为应用组件（协作）。 应用支撑平台采用先进的、流行的三（多）层技术体系架构，分别为：用户层、业务逻辑层、数据存储层，如下图所示： 用户界面层：通过用户权限和信息权限过滤后，统一用户界面显示，接收用户界面操作和查询请求，将业务逻辑处理后的数据生成用户界面。 业务逻辑层：负责按照用户界面层提交的请求，并按照业务逻辑提取、过滤和处理数据，并将处理完的数据包返回给用户界面层，进行显示。整个系统会有很多的应用子系统，用户通过SERVLET调用应用子系统的功能。 数据存储层：负责系统数据和信息的存储、检索、优化、自我故障诊断/恢复，以及业务数据。 采用三层应用体系架构的优势在于： 1 保证系统的安全性：中间层（业务逻辑层）隔离了客户（用户界面层）直接对数据库系

xxxx网络统一身份认证计费管理系统建设方案综合)

XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一．计费系统设计规划 (2) 二．方案建设目标 (2) 三．总体方案 (3) 1.方案设计 (3) A.方案（串连网关方式） (3) B.方案（旁路方式+BRAS，BRAS产品） (4) 四．认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五．认证计费管理系统功能介绍 (9) 六．用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)

7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一．计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。 有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。 二．方案建设目标 针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解