企业门户平台解决方案白皮书

企业门户平台解决方案白皮书内容摘要：

将 portlet 产生的结果聚集于门户网站的网页，然后将网页返回至客户端。 单点登录 门户服务器提供综合单点登录 (SSO)支持。 用户希望能够一次登录成功，并使用同 样的统一用户证书了解门户服务器的不同部分。 访问不同的门户应用不需要用户多次登录。 门户服务器使用身份验证代理来支持单点登录域。 着用户只需登录一次就可以访问单点登录域中安装的所有企业应用。 服务器使用 轻型第三方身份验证 (LTPA)标记提供 单点登录。 用户通过身份验证后， 门户服务器 创建一个包含已验证用户证书的 LTPA 单点登录 cookie。 这个加密的 cookie 只要共享域中的所有应用服务器都有相同的密钥，他们就能够解密。 这个 cookie 使集群中的所有服务器都能够在无需更多提示的情况下访问用户的证书，因此可为用户 提供无缝的 单点登录 体验。 要利用 LTPA 的 单点登录方法，用户的浏览器必须支持 cookie，并启用会话 cookie 支持特性。 Portlets 通过获得 Credential VaultPortletService 对象并调用它的getCredential 方法来获得 用户证书。 对于返回的 用户证书 ，有两个方案： 使用静态 证书 提供的密码或密钥，并通过应用特定的调用发送。 使用静态 证书 的 Portlet 需要从 用户证书 中提取保密信息，用于所有与后台应用之间的通信。 调用活动 证书 的身份验证方法。 Portlet 无法提取活动 证书 对象中的 保密信息，因而无法从用户证书中提取保密信息。 活动 证书 提供了额外方法来执行身份验证。 后一种方案允许 Portlet 使用基本验证、 SSL 客户机验证、摘要验证或 LTPA 向远程服务器触发验证，而且无需了解 用户证书 值。 使用有源 用户证书 意味着办公门户将代表 Portlet 进行身份验证，并且 Portlet 能够使用简单的开放连接。 尽管并非所有情况都适用，但是它是首选技术。 对于安全的数据传输， Portlet 能够请求一个安全会话 (HTTPS)来访问 web应用。 依靠远程连接的 Portlet 要求某种方法，以便在用户浏览办公门户的 过程中维护连接。 办公门户提供一种永久后台连接服务，这种服务可以在页面变化的同时维护 TCP/IP 连接。 有些远程应用使用基于表单的登录并在处理登录表单时保存 cookie。 HttpFormBasedCredential 文件能够用来处理这些基于表单的登录，并将保存所有由此返回的 cookie。 对于随后的调用， Portlet 能够询问身份验证连接的 用户证书。 这样，可为 HTTP 连接提供这些已经在报头中设置的 cookie， Portlet 便能够维护安全的永久后台连接。 门户服务器 实施 Java 身份验证和授权服务 (JAAS)体系 结构。 JAAS 提供了一种用来验证主题和提供高精度访问控制的方法。 JAAS 是标准 Java 安全性模型的一部分，它使应用可以独立于基础身份验证和授权机制。 JAAS 使用模块化服务供应商界面提供登录和退出操作。 通过 门户服务器 的JAAS 登录模块建立的 用户证书 包括 CORBA 证书 、 用户和用户组 唯一名称、 用户ID 和密码以及 LTPA 标记。 在分布式 J2EE 环境中， Portlet 可以使用 JAAS API访问支持 JAAS 的 后台应用 . 确定用户的身份之后， 门户服务器 可参考本地缓存的访问控制列表来确定用户拥有哪些页面和 Portlet 的访问权限。 个性化定制 优化每位用户在办公门户中的体验是办公门户的目标之一。 为此， 门户服务器 提供了最终用户的管理界面，以定义门户页面的内容以及页面的外观和布局。 利用这些工具，用户能够通过选择 Portlet 并定制他们的设置来定制自己的页面。 用户还能够更改页面布局和颜色方案（如果管理员允许这么做）。 用户能够拥有一个或多个个性化页面，并可从主页上导航到每个页面。 页面分级排列，深度可任意设定。 每个页面都可以有自己的颜色主题、皮肤和页面布局选项。 主题可用来定义字体、颜色、间距及其他直观元素；这些主题包括叠层样式表单、 JSP 文件和图像。 皮肤指 Portlet 周围的装饰和控制元件，如：标题栏、边界、阴影等。 在页面结构的每个级别上，下一级的页面都可以集成上级页面的主题和皮肤，或者也可以覆盖其中一个或全部。 因为每个区段的外观都可能完全不同，所以区段可以用于在同一个门户站点中创建不同的站点外观显示。 每个个性化页面都可以有不同的 Portlet。 根据页面访问权限，页面上的Portlet 可由最终用户或管理员进行选择。 管理员能够制定某些必需的 Portlet，这样最终用户便不能删除或重新排列这些 Portlet。 在管理员许可的情况下，页面还能够进行重新排列，以便为每个用户或用户组提供不同的导航顺序。 统一目录管理 统一目录服务管理是指在整个企业信息化中对各个业务系统中共同使用到的信息资源进行统一管理、统一授权、统一分配，实现“资源重复建设的最小化、资源合理利用的最大化”。 统一目录服务管理是适用于企业信息化系统中所有的业务系统的，它所提供的服务协议、标准接口、信息资源格式必须是其他系统所能使用的，它的管理方式和所提供的服务协议必须相对稳定、相对安全的。 统一目录管理采用 LDAP 标准的目录服务器产品来构建。 新系统直接 引用统一用户管理系统，旧的历史系统可以通过与统一用户管理系统映射来完成管理。 门户信息检索 办公门户服务器提供搜索引擎，该搜索引擎须具备对信息源进行定义、管理、分类和更新的功能，可以在建立大容量索引并且进行有效的关键字搜索。 需具备网络搜索功能，应支持对关系型数据库、页面、文档数据库 ，电子邮件， WEB 页面等信息源存贮的 相关信息进行检索。 信息发布与管理 在信息发布上，需要拥有一套相对独立的信息发布工具实施信息发布，同时信息发布本身需要具备被控制，即在信息发布之前需要对发布的信息进行审核。 在应用功能上信息管理 与发布系统需要包括以下六大功能模块： 1) 模板管理 模板是网站信息展示的母体，或者说是页面结构。 模板分为首页模板、栏目模板、内容模板、专题模板四种类型，系统提供对模板的添加，删除，修改等操作，用户可采用 “ 所见即所得 ” 的方式编辑模板。 2) 风格管理 风格是网站的样式定义，或者称为网页的皮肤（ skin），通常通过 CSS 的定义来实现。 通过风格的管理，用户可以轻易更改整个网站所有页面的显示样式。 3) 栏目管理 栏目就是对某种信息的分类，分为文章栏目、图片栏目和下载栏目三种，包括以下功能：添加栏目、修改栏目、 添加子栏目、移动栏目、批量设置、栏目排序、回收站管理。 4) 内容管理 内容就是展现给用户的最终信息，内容可以包含文字信息，图片信息和下载信息。 包括以下功能，添加文章、添加图片、添加下载、修改、删除、移动、固顶、解固、设为推荐、解除推荐、审核、批量设置、批量移动。 内容管理可实现各部门管理员发布和维护自己的信息。 提高信息发布时效，无需专门的技术人员，减少相关制作人员的工作量。 5) 用户权限管理 用户权限管理子系统是一个通用模块，可被集成到其他系统中，用户作为拥有权限的对象，被存储在 LDAP 服务器中，并按照 用户名进行索引。 包括以下功能：用户管理、组织管理、权限管理、角色管理、用户授权管理、日志管理。 6) 基本信息管理 基本信息管理是在新建网站时，对网站参数进行设定。 工作流平台 工作流平台的建设目标是实现流程应用开发的高效、快速。 即通过工作流平台来完成业务流程（ Process）、工作流程 (Workflow)、电子表单、权限、组织机构和数据建模。 平台提供了设计工具、工作流运行平台和业务组件库三个部分，以帮助使用者方便快捷地实施工作流开发。 1）设计工具 设计工具为使用者提供表单、流程和权限的图形化开发环境。 通过设计工具它完成应用系统的业务建模。 表单设计工具完成应用系统界面的建模。 流程设计工具完成业务流程的建立，权限设计工具完成组织机构、人员、角色和权限资源的建模。 2）业务组件库。