用微軟SharePoint平臺(tái)構(gòu)建集團(tuán)企業(yè)門戶系統(tǒng)

2014-07-03 07:48:18王峰

電腦知識(shí)與技術(shù) 2014年12期

王峰

摘要：集團(tuán)企業(yè)門戶系統(tǒng)需要解決多級(jí)門戶、統(tǒng)一用戶管理、身份驗(yàn)證、單點(diǎn)登錄和業(yè)務(wù)系統(tǒng)數(shù)據(jù)集成等關(guān)鍵問題。好的架構(gòu)設(shè)計(jì)是系統(tǒng)成功的基礎(chǔ)，而好的開發(fā)平臺(tái)則是系統(tǒng)成功的保障。Microsoft SharePoint 2010可以方便、輕松地創(chuàng)建企業(yè)級(jí)網(wǎng)站，它涵蓋了企業(yè)門戶、企業(yè)內(nèi)容管理、搜索、協(xié)同工作、商業(yè)智能、商務(wù)表單等功能，還可以有效地搜索人員、文檔和數(shù)據(jù)，設(shè)計(jì)和參與表單驅(qū)動(dòng)的業(yè)務(wù)流程以及訪問和分析大量業(yè)務(wù)數(shù)據(jù)，是設(shè)計(jì)集團(tuán)企業(yè)門戶系統(tǒng)最好的平臺(tái)。

關(guān)鍵詞：企業(yè)門戶；統(tǒng)一用戶管理；身份驗(yàn)證；單點(diǎn)登錄； Microsoft SharePoint

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）12-2900-07

Use Microsoft SharePoint Platform Construction Group Enterprise Portal System

WANG feng

（CSR Luoyang Locomotive Co.， LTD.， Luoyang 471002， China ）

Abstract： Group enterprise portal system needs to solve multi-stage portal， unified user management， authentication and single sign-on and business system data integration and other key issues. A good architecture design is the foundation of the system is successful， and a good development platform is the system guarantee of success. Microsoft SharePoint 2010 can be conveniently， easily create enterprise website， it covers the enterprise portal， enterprise content management， search， collaborative work， business intelligence， business forms， and other functions， can effectively search personnel， documents and data， and participate in the form is designed to drive the business process and the analysis of the access and a large number of business data， is the best platform design group enterprise portal system.

Key words： enterprise portal； unified user management； authentication； single sign-on （sso）； Microsoft SharePoint

集團(tuán)企業(yè)門戶系統(tǒng)是總部、各級(jí)子公司信息系統(tǒng)集成、信息發(fā)布和日常辦公的重要輔助平臺(tái)。建立一流的企業(yè)門戶系統(tǒng)成為企業(yè)整合資源提高管理水平的重要手段。企業(yè)門戶系統(tǒng)的構(gòu)架方式多種多樣，開發(fā)平臺(tái)也各不相同，微軟的SharePoint平臺(tái)能夠方便得將各類應(yīng)用系統(tǒng)、數(shù)據(jù)信息有效整合到同一管理平臺(tái)上，采用統(tǒng)一標(biāo)準(zhǔn)的功能模塊、形象設(shè)計(jì)提供給用戶，使企業(yè)可以靈活地建立對(duì)客戶、內(nèi)部員工和子公司之間的信息通道，高效地存儲(chǔ)和發(fā)布各類信息，從而更好的為企業(yè)的生產(chǎn)經(jīng)營活動(dòng)服務(wù)。該文闡述了基于微軟SharePoint平臺(tái)進(jìn)行集團(tuán)企業(yè)門戶系統(tǒng)架構(gòu)、頁面設(shè)計(jì)，給出了關(guān)鍵問題的解決方案。

1 微軟SharePoint平臺(tái)簡介

SharePoint 2010 是一種新型服務(wù)器應(yīng)用程序，它是 2010 Microsoft Office system 的一部分。利用該應(yīng)用程序，組織可以簡化協(xié)作、提供內(nèi)容管理功能、實(shí)施業(yè)務(wù)流程及訪問組織目標(biāo)和流程必不可少的信息。

通過使用 SharePoint 2010 中的網(wǎng)站模板和其他功能，您可以快速有效地創(chuàng)建支持特定內(nèi)容發(fā)布、內(nèi)容管理、記錄管理或組織可能需要的商務(wù)智能的網(wǎng)站。例如，可以創(chuàng)建企業(yè)級(jí)網(wǎng)站（如組織門戶網(wǎng)站或 Internet 展示網(wǎng)站）或?qū)I(yè)網(wǎng)站（如內(nèi)容庫或會(huì)議工作區(qū)）。這些網(wǎng)站使您可以與其他人員（無論是在組織內(nèi)還是組織外）進(jìn)行協(xié)作并共享信息。此外，您還可以使用 SharePoint 2010 有效地搜索人員、文檔和數(shù)據(jù)，設(shè)計(jì)和參與表單驅(qū)動(dòng)的業(yè)務(wù)流程以及訪問和分析大量業(yè)務(wù)數(shù)據(jù)。

Microsoft SharePoint 2010它涵蓋了企業(yè)門戶、企業(yè)內(nèi)容管理、搜索、協(xié)同工作、商業(yè)智能、商務(wù)表單6大功能。

2 門戶系統(tǒng)設(shè)計(jì)

2.1 總體架構(gòu)設(shè)計(jì)

集團(tuán)企業(yè)門戶系統(tǒng)的整體架構(gòu)如圖2所示。

2.2 整體架構(gòu)說明

整體架構(gòu)說明如下：

1）集團(tuán)門戶系統(tǒng)滿足用戶訪問各級(jí)門戶、協(xié)同辦公、統(tǒng)一搜索等需求。且集團(tuán)門戶是一個(gè)集中信息發(fā)布、展現(xiàn)所有業(yè)務(wù)數(shù)據(jù)的平臺(tái)。

2）后端的數(shù)據(jù)集成平臺(tái)可以將集團(tuán)、一級(jí)子公司的各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)進(jìn)行整合、挖掘、，并在集團(tuán)門戶或一級(jí)子公司門戶上進(jìn)行展現(xiàn)。消除了當(dāng)前的“信息孤島”，解決下級(jí)企業(yè)上報(bào)集團(tuán)數(shù)據(jù)的問題。

3）整體架構(gòu)中的統(tǒng)一身份及驗(yàn)證技術(shù)采用微軟Windows Active Directory（活動(dòng)目錄）體系。一是活動(dòng)目錄技術(shù)當(dāng)前已經(jīng)在集團(tuán)內(nèi)部進(jìn)行了部署，擁有良好的用戶基礎(chǔ)；二是本整體架構(gòu)無縫支持活動(dòng)目錄技術(shù)，是最佳選擇方案。endprint

4）一級(jí)子公司的部署結(jié)構(gòu)與集團(tuán)大體相同，只是部署規(guī)模相對(duì)較小。

① 從門戶的角度來說，給最終用戶呈現(xiàn)的內(nèi)容是一體的，集團(tuán)用戶、一級(jí)子公司均可以進(jìn)行統(tǒng)一導(dǎo)航訪問，只是在后臺(tái)部署位置上有所區(qū)別，最終用戶感覺不出來。

② 從集成平臺(tái)角度來說，集團(tuán)的集成平臺(tái)集成集團(tuán)的業(yè)務(wù)系統(tǒng)，而一級(jí)子公司的集成平臺(tái)集成本企業(yè)的業(yè)務(wù)系統(tǒng)，為本企業(yè)提供服務(wù)。

2.3 整體架構(gòu)技術(shù)特點(diǎn)

1）內(nèi)、外網(wǎng)應(yīng)用的隔離：內(nèi)、外網(wǎng)的應(yīng)用由于其安全等級(jí)的要求不同，同時(shí)服務(wù)的對(duì)象以及服務(wù)的要求不同，其實(shí)是兩個(gè)邏輯不同的應(yīng)用概念。本次系統(tǒng)的架構(gòu)設(shè)計(jì)中，將這兩個(gè)部分邏輯分離，內(nèi)、外網(wǎng)的應(yīng)用通過信息以及數(shù)據(jù)交換的方式進(jìn)行協(xié)助。

2）完善的內(nèi)部工作環(huán)境：在內(nèi)部應(yīng)用中，通過提供統(tǒng)一的內(nèi)部門戶以及管理門戶，為內(nèi)部員工以及管理人員提供了“一站式”的工作環(huán)境，即方便將現(xiàn)有的應(yīng)用在統(tǒng)一的“個(gè)人辦公桌”上，也可以通過“掛接”新的功能模塊的方式實(shí)現(xiàn)靈活的擴(kuò)展；

3）統(tǒng)一的基礎(chǔ)設(shè)施：通過建設(shè)統(tǒng)一的基礎(chǔ)設(shè)施，并以此為基礎(chǔ)構(gòu)架“業(yè)務(wù)調(diào)度中心”，不僅將企業(yè)提供的各種應(yīng)用合理的整合在一起，同時(shí)可以和一級(jí)子公司的應(yīng)用進(jìn)行信息、數(shù)據(jù)交換以及流程的整合，為建設(shè)服務(wù)型的門戶網(wǎng)站提供很好的基礎(chǔ)。

2.4 幾個(gè)關(guān)鍵問題

2.4.1 企業(yè)多級(jí)門戶

企業(yè)信息門戶的價(jià)值在于能夠釋放存儲(chǔ)在企業(yè)內(nèi)部的各種信息，使企業(yè)員工、用戶和合作伙伴能夠利用單一的渠道訪問其所需的個(gè)性化信息。因此企業(yè)門戶應(yīng)該是一個(gè)滿足不同用戶需求具有簡單、個(gè)性化和統(tǒng)一界面的多級(jí)系統(tǒng)。

圖3

2.4.2 統(tǒng)一用戶管理

目前大部分企業(yè)內(nèi)部往往存在多個(gè)獨(dú)立的業(yè)務(wù)應(yīng)用，而每個(gè)業(yè)務(wù)應(yīng)用都需要對(duì)應(yīng)一套身份管理的信息。當(dāng)一個(gè)員工在多個(gè)身份管理系統(tǒng)中存在的時(shí)候，給企業(yè)的身份信息管理也帶來了很多麻煩。采用統(tǒng)一身份驗(yàn)證、單點(diǎn)登錄和系統(tǒng)集成技術(shù)的門戶系統(tǒng)能夠簡化身份管理和身份識(shí)別。

2.4.2.1 單點(diǎn)登錄

2.4.2.1.1 單點(diǎn)登錄技術(shù)

單點(diǎn)登錄（SSO）是一種的機(jī)制，使得用戶通過一次登錄，就可訪問平臺(tái)上所的其他應(yīng)用系統(tǒng)或者后端服務(wù)資源。統(tǒng)一身份認(rèn)證技術(shù)的本質(zhì)在于面向SOA架構(gòu)應(yīng)用的用戶提供用戶憑據(jù)（CBT）存儲(chǔ)，映射，檢索，傳輸及相關(guān)的管理和配置服務(wù)。

微軟MOSS解決方案提供默認(rèn)的單一登錄（SSO）服務(wù)，用于連接第三方或后端系統(tǒng)的憑據(jù)存儲(chǔ)和映射。MOSS采用在門戶平臺(tái)中創(chuàng)建統(tǒng)一的用戶信息以及SSO連接應(yīng)用映射，首先將用戶證書映射至后端加密數(shù)據(jù)系統(tǒng)，在用戶訪問SSO組件時(shí)，利用當(dāng)前用戶在相關(guān)應(yīng)用中對(duì)應(yīng)的用戶信息，后臺(tái)模擬登錄其他業(yè)務(wù)系統(tǒng)，以實(shí)現(xiàn)單點(diǎn)登錄。

· SSO體系結(jié)構(gòu)

MOSS SSO體系結(jié)構(gòu)如下圖所示。

服務(wù)器角色：

1） SSO加密密鑰服務(wù)器：啟用了單點(diǎn)登錄服務(wù)的第一臺(tái)服務(wù)器變?yōu)榧用苊荑€服務(wù)器。加密密鑰服務(wù)器生成和存儲(chǔ)加密密鑰。加密密鑰用于對(duì)存儲(chǔ)在SSO數(shù)據(jù)庫中的證書進(jìn)行加密和解密。加密密鑰服務(wù)器應(yīng)當(dāng)是一個(gè)應(yīng)用服務(wù)器。在中國南車企業(yè)門戶項(xiàng)目中，我們建議使用索引服務(wù)器擔(dān)任。

2）單點(diǎn)登錄服務(wù)：單點(diǎn)登錄服務(wù)必須安裝在服務(wù)器場(chǎng)中的所有Web服務(wù)器上。另外，托管Excel報(bào)表服務(wù)的應(yīng)用服務(wù)器也必須安裝該服務(wù)。如果使用業(yè)務(wù)數(shù)據(jù)目錄的系統(tǒng)，則單點(diǎn)登錄服務(wù)也必須安裝在索引服務(wù)器上。所以，在中國南車企業(yè)門戶項(xiàng)目中，我們建議將該服務(wù)安裝在索引服務(wù)器上。

3） SSO數(shù)據(jù)庫：在管理中心網(wǎng)站上配置SSO服務(wù)器設(shè)置時(shí)，MOSS在托管配置數(shù)據(jù)庫的數(shù)據(jù)庫服務(wù)器上創(chuàng)建一個(gè)SSO數(shù)據(jù)庫。如果安裝了Microsoft SQL Server，SSO數(shù)據(jù)庫即是一個(gè)SQL Server數(shù)據(jù)庫。如果沒有安裝SQL Server，則單點(diǎn)登錄服務(wù)使用MOSS自帶的SQL Server 2008 Express版本。SSO數(shù)據(jù)庫存儲(chǔ)加密密鑰。在中國南車企業(yè)門戶項(xiàng)目中，我們采用后端獨(dú)立數(shù)據(jù)庫系統(tǒng)存儲(chǔ)SSO密鑰。

· 企業(yè)應(yīng)用程序定義

在一個(gè) SSO 環(huán)境中，后端外部數(shù)據(jù)源和系統(tǒng)被稱為企業(yè)應(yīng)用程序。SSO 環(huán)境配置之后，可以創(chuàng)建企業(yè)應(yīng)用程序定義。MOSS連接的每一個(gè)企業(yè)應(yīng)用程序，都有一個(gè)由管理員配置的相應(yīng)的企業(yè)應(yīng)用程序定義?；蛘呖梢詾橄嗤膶?shí)體企業(yè)應(yīng)用程序配置幾個(gè)企業(yè)應(yīng)用程序定義，以確保具有訪問權(quán)限的不同組的訪問安全。

一個(gè)企業(yè)應(yīng)用程序定義定義如下內(nèi)容：

1）企業(yè)應(yīng)用程序身份（顯示名稱、程序名稱、e-mail 地址）

2）映射到企業(yè)應(yīng)用程序的用戶帳戶類型。這取決于企業(yè)應(yīng)用程序是否（在某些情況下是指 Web 部件）基于個(gè)人帳戶或工作組帳戶實(shí)施授權(quán)。

3）收集自用戶的證書類型（用戶名稱、口令或其它諸如智能卡之類的證書）。

4） MOSS Web 用于連接到企業(yè)應(yīng)用程序的帳戶。

單點(diǎn)登錄功能能夠啟用多個(gè)Web 部件訪問不同企業(yè)應(yīng)用程序的場(chǎng)景。不同企業(yè)應(yīng)用程序可以使用不同類型的身份驗(yàn)證。企業(yè)應(yīng)用程序還可以基于 Windows 之外的其它操作系統(tǒng)。

2.4.2.1.2 企業(yè)門戶單點(diǎn)登錄的實(shí)現(xiàn)

單點(diǎn)登錄的要求主要包括四個(gè)方面

1） Windows客戶端與企業(yè)門戶的單點(diǎn)登錄，實(shí)現(xiàn)用戶開機(jī)登錄windows域后，就能以登錄用戶的身份訪問企業(yè)門戶

2）企業(yè)門戶與各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄，實(shí)現(xiàn)登錄企業(yè)門戶的用戶，無需再次輸入用戶名/口令即可登錄全部基于單點(diǎn)登錄的系統(tǒng)。

3）對(duì)于財(cái)務(wù)系統(tǒng)實(shí)現(xiàn)支持雙因子認(rèn)證的單點(diǎn)登錄

4）對(duì)于移動(dòng)設(shè)備也能使用與企業(yè)門戶相同的身份認(rèn)證和單點(diǎn)登錄體驗(yàn)。endprint

· Windows客戶端與企業(yè)門戶的單點(diǎn)登錄

如下圖所示為Windows客戶端與企業(yè)門戶單點(diǎn)登錄的工作原理圖。

1）當(dāng)用戶通過Windows客戶端運(yùn)行Internet Explorer發(fā)出訪問企業(yè)門戶網(wǎng)頁訪問請(qǐng)求。

2）運(yùn)行MOSS的門戶服務(wù)器通過向?yàn)g覽器發(fā)回第401號(hào)質(zhì)詢，強(qiáng)制要求通過超文本傳輸協(xié)議（HTTP）執(zhí)行身份驗(yàn)證。這個(gè)質(zhì)詢包括一個(gè)WWW-Authenticate HTTP標(biāo)題列表，用來指定運(yùn)行MOSS的服務(wù)器為接受相關(guān)URL而被配置使用的身份驗(yàn)證協(xié)議。

3） Internet Explorer收到第401號(hào)質(zhì)詢后，就會(huì)對(duì)標(biāo)題列表進(jìn)行檢查，并根據(jù)瀏覽器獲得的配置，選擇適當(dāng)?shù)纳矸蒡?yàn)證協(xié)議。接著，Internet Explorer將通過LSA調(diào)用身份驗(yàn)證數(shù)據(jù)包。

4）系統(tǒng)將根據(jù)Windows客戶端LSA憑據(jù)緩存中已有用戶憑據(jù)的狀況和獲得企業(yè)門戶資源訪問權(quán)限所需Kerberos票證的能力將票證從LSA返回給Internet Explorer。

5）如果用戶Windows客戶端已經(jīng)登錄域，則將獲得該憑據(jù)。

6） Internet Explorer收到票證后，就會(huì)通過對(duì)401號(hào)質(zhì)詢做出的應(yīng)答將其發(fā)回至運(yùn)行在MOSS上的平臺(tái)服務(wù)器—這個(gè)應(yīng)答將包含在WWW-Authenticate HTTP標(biāo)題里。

7）客戶端再次發(fā)出訪問請(qǐng)求后，平臺(tái)服務(wù)器將從HTTP標(biāo)題中摘錄身份驗(yàn)證信息，并將相關(guān)數(shù)據(jù)提交給客戶端指定的身份驗(yàn)證服務(wù)提供程序（第7步）。

8）如果身份驗(yàn)證執(zhí)行成功，身份驗(yàn)證服務(wù)提供程序就會(huì)生成代表用戶的訪問令牌，而平臺(tái) MOSS服務(wù)器則利用模擬功能將這個(gè)令牌與客戶端請(qǐng)求相關(guān)聯(lián)。

9）如果不成功，客戶端Internet Explorer瀏覽器將按照配置的身份驗(yàn)證協(xié)議彈出驗(yàn)證對(duì)話框，要求用戶輸入用戶名和密碼。

· 企業(yè)門戶與各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄

企業(yè)門戶與各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄，主要通過微軟MOSS門戶解決方案開箱即用的單點(diǎn)登錄（SSO）服務(wù)實(shí)現(xiàn)，具體技術(shù)細(xì)節(jié)已在上述章節(jié)中描述，這里將就單點(diǎn)登錄過程進(jìn)行說明。

用戶第一次訪問與企業(yè)應(yīng)用程序的 Web 部件。 Web 部件代碼檢查所需要的應(yīng)用程序的用戶憑據(jù)是否存儲(chǔ)在單一登錄數(shù)據(jù)庫中。如果憑據(jù)存儲(chǔ)在該數(shù)據(jù)庫中，這個(gè)過程將從清單中的第 6 步繼續(xù)進(jìn)行。

1）如果沒有為該用戶存儲(chǔ)所需要的應(yīng)用程序的憑據(jù)，用戶的瀏覽器將被重定向到這個(gè)應(yīng)用程序的登錄表單。

2）用戶提供該應(yīng)用程序的憑據(jù)。

3）所提供的憑據(jù)被映射到該用戶的 Windows 帳戶，并存儲(chǔ)在單一登錄數(shù)據(jù)庫中。

4）用戶被重定向到原先的 Web 部件。

5）該 Web 部件從單一登錄數(shù)據(jù)庫中檢索憑據(jù)。

6） Web 部件向企業(yè)應(yīng)用程序提交憑據(jù)并檢索必要的信息。

7）向用戶顯示該 Web 部件。

圖中，各角色做如下說明：

1） USER：用戶的客戶端。

2） SharePoint：單點(diǎn)登錄服務(wù)。

3） SQL Server：數(shù)據(jù)庫服務(wù)。

4） Back-end enterprise application：應(yīng)用系統(tǒng)。

我們采用如上方法即可將多個(gè)應(yīng)用系統(tǒng)的單點(diǎn)登錄進(jìn)行實(shí)現(xiàn)。

如果需要獲得良好的用戶登錄體驗(yàn)，建議同時(shí)實(shí)現(xiàn)Windows客戶端與企業(yè)門戶單點(diǎn)登錄和企業(yè)門戶與后臺(tái)業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄。用戶只需在企業(yè)門戶的管理配置頁面中“身份驗(yàn)證”配置項(xiàng)，勾選“使用一個(gè)或多個(gè)標(biāo)準(zhǔn)身份驗(yàn)證方法”，并同時(shí)勾選“Windows身份驗(yàn)證”和“基于表單的身份驗(yàn)證”即可。

2.4.2.2 Windows登錄認(rèn)證

在系統(tǒng)訪問控制的認(rèn)證處理上，建議將所有用戶同步到活動(dòng)目錄中（Active Directory）中，并且由活動(dòng)目錄負(fù)責(zé)用戶的認(rèn)證，其優(yōu)勢(shì)是可以立即獲得Windows用戶身份在Microsoft操作系統(tǒng)中優(yōu)秀的性，并且，相比較由應(yīng)用自身實(shí)現(xiàn)的簡單的用戶名/密碼認(rèn)證方式，活動(dòng)目錄認(rèn)證模式在安全性上有本質(zhì)的提高。

采用活動(dòng)目錄認(rèn)證模式，用戶首先登錄到Windows域。登錄過程中，用戶身份由活動(dòng)目錄域控制器進(jìn)行驗(yàn)證。對(duì)于需要高安全性的環(huán)境，可以使用Smartcard上存放的個(gè)人證書作為用戶的身份標(biāo)識(shí)：首先由CA發(fā)放證書，并由管理員對(duì)此證書與活動(dòng)目錄中的用戶帳號(hào)進(jìn)行關(guān)聯(lián)，這樣用戶可以用Smartcard來登錄Windows。用戶登錄場(chǎng)景如下圖所示：

采用活動(dòng)目錄系統(tǒng)、數(shù)字證書系統(tǒng)以及Smartcard，就可以構(gòu)成一個(gè)安全高效的認(rèn)證系統(tǒng)。

1）與CA的結(jié)合

Windows Server 2008是部署公鑰結(jié)構(gòu)（PKI）的最佳選擇，而且其自動(dòng)注冊(cè)和自動(dòng)更新功能使在企業(yè)中部署智能卡和證書非常簡單。Windows Server 2008作為企業(yè)級(jí)的操作系統(tǒng)，對(duì)PKI做了全面支持。PKI在提供高強(qiáng)度安全性的同時(shí)，還與操作系統(tǒng)進(jìn)行了緊密，并作為操作系統(tǒng)的一項(xiàng)基本服務(wù)而存在，避免了購買第三方PKI所帶來的額外開銷。Windows Server 2008 PKI包含一系列基本邏輯組件，其中最核心的是微軟證書服務(wù)系統(tǒng)（Microsoft Certificate Services），它允許用戶配置一個(gè)或多個(gè)企業(yè)CA，這些CA支持證書的發(fā)放和廢除，并與活動(dòng)目錄和策略配合，共同完成證書和廢除信息的發(fā)布。

Windows Server 2008上的信息系統(tǒng)既可以使用Windows Server 2008的證書服務(wù)，也可以使用第三方CA提供的證書。利用ADSI，可以在用戶證書與Active Directory用戶之間建立一個(gè)映射，這樣就可以使用第三方的CA，提供同樣的功能。endprint

2）使用Smartcard

現(xiàn)在越來越多的企業(yè)正在尋找各種方法來提高其網(wǎng)絡(luò)資源的安全性，智能卡就是其中比較流行的一個(gè)。智能卡提供了讓非授權(quán)人更難獲取網(wǎng)絡(luò)存取權(quán)限的一種簡單方式，Windows Server 2008對(duì)智能卡安全提供了內(nèi)在支持。

同口令認(rèn)證方式不同，采用智能卡進(jìn)行認(rèn)證時(shí)，用戶把卡插入連接到計(jì)算機(jī)的讀寫器中后，還需要輸入卡的PIN，Windows才可以使用卡中存儲(chǔ)的私鑰和證書來向Windows Server 2008域控制器的KDC認(rèn)證用戶。由于存在Smartcard自身以及PIN碼的雙重保護(hù)，安全性大為增強(qiáng)。

2.4.3 業(yè)務(wù)系統(tǒng)數(shù)據(jù)集成

2.4.3.1 接口方式

系統(tǒng)間數(shù)據(jù)集成，使用主流的標(biāo)準(zhǔn)的數(shù)據(jù)交換格式，即XML。數(shù)據(jù)交換接口采用WebService實(shí)現(xiàn)。

因此，被集成的廠商在數(shù)據(jù)集成方面應(yīng)提供如下條件：

1）編寫或提供已存在的WebService接口。

2）數(shù)據(jù)交換格式采用XML格式。

3）需要提供完整的WebService接口調(diào)用說明文檔。

2.4.3.2 通過接口的用戶身份驗(yàn)證

通過WebService接口的用戶身份驗(yàn)證機(jī)制由提供方負(fù)責(zé)，門戶系統(tǒng)按照目標(biāo)應(yīng)用系統(tǒng)的安全規(guī)范來實(shí)現(xiàn)。有關(guān)此說明如下：

1）禁止通過接口獲取數(shù)據(jù)不經(jīng)過任何用戶身份驗(yàn)證。

2）門戶程序送達(dá)的用戶名和密碼只能返回對(duì)應(yīng)這個(gè)用戶身份的相關(guān)信息，而不是所有用戶的信息。

2.4.3.3 數(shù)據(jù)格式

實(shí)際返回的數(shù)據(jù)格式，應(yīng)為標(biāo)準(zhǔn)的XML文檔格式。返回的數(shù)據(jù)中，包含如下字段：

1）信息標(biāo)識(shí)（ID）

2）信息標(biāo)題

3）業(yè)務(wù)狀態(tài)

4）信息相關(guān)人員

5）發(fā)生時(shí)間

返回的數(shù)據(jù)最好只包含用戶關(guān)注的數(shù)據(jù)，并且將結(jié)果數(shù)據(jù)進(jìn)行排序，此舉可提高信息集成功能的運(yùn)行效率，縮短用戶打開網(wǎng)頁的時(shí)間。

2.5 門戶界面?zhèn)€性化設(shè)計(jì)

SharePoint 2010在界面靈活化定制方面提供了強(qiáng)大、方便的功能。

2.5.1 可定義的導(dǎo)航元素

網(wǎng)站所有者可以自定義的導(dǎo)航元素包括：“快速啟動(dòng)”欄、頂部鏈接欄和目錄 Web 部件。

1） “快速啟動(dòng)”欄

“快速啟動(dòng)”欄顯示在大多數(shù)頁面中的一側(cè)，并位于“查看所有網(wǎng)站內(nèi)容”鏈接的正下方。通過使用“快速啟動(dòng)”欄，您可以按照合理的方式顯示各個(gè)部分的標(biāo)題和指向網(wǎng)站的不同區(qū)域的鏈接。網(wǎng)站所有者可使用以下方式自定義“快速啟動(dòng)”欄：

① 添加指向網(wǎng)站集內(nèi)部或外部的網(wǎng)站的新鏈接。

② 刪除鏈接。

③ 更改鏈接的名稱和 URL。

④ 更改某個(gè)標(biāo)題下的鏈接的順序。

⑤ 更改標(biāo)題的名稱和 URL、刪除標(biāo)題和創(chuàng)建新標(biāo)題。

⑥ 更改“快速啟動(dòng)”欄中各個(gè)部分（即標(biāo)題及其關(guān)聯(lián)的鏈接）的順序。

在發(fā)布網(wǎng)站上，網(wǎng)站所有者還可以另外使用以下方式自定義“快速啟動(dòng)”欄：

⑦ 配置是否要顯示“快速啟動(dòng)”欄：

a. 與父網(wǎng)站相同的導(dǎo)航項(xiàng)目

b. 當(dāng)前網(wǎng)站的導(dǎo)航項(xiàng)目、當(dāng)前網(wǎng)站下方的導(dǎo)航項(xiàng)目和當(dāng)前網(wǎng)站的同級(jí)網(wǎng)站

c. 當(dāng)前網(wǎng)站下方的導(dǎo)航項(xiàng)目。

⑧ 指定是對(duì)導(dǎo)航鏈接和標(biāo)題自動(dòng)排序（按字母或數(shù)字的升序或降序排序）還是手動(dòng)排序。

⑨ 隱藏“快速啟動(dòng)”欄的鏈接或標(biāo)題。

⑩ 確定僅為特定訪問群體的成員顯示“快速啟動(dòng)”欄上的導(dǎo)航鏈接。

2）頂部鏈接欄

此導(dǎo)航元素將作為一個(gè)或多個(gè)超鏈接式選項(xiàng)卡顯示在網(wǎng)站上所有頁面的頂部。網(wǎng)站所有者可以選擇是顯示父網(wǎng)站的頂部鏈接欄，還是為各個(gè)子網(wǎng)站顯示獨(dú)自的頂部鏈接欄。網(wǎng)站所有者可以在頂部鏈接欄中添加或刪除標(biāo)題和鏈接或?qū)λ鼈冎匦屡判?。另外，在發(fā)布網(wǎng)站上，網(wǎng)站所有者可以指定對(duì)頂部鏈接欄中的導(dǎo)航項(xiàng)目是進(jìn)行自動(dòng)排序還是手動(dòng)排序，隱藏鏈接或標(biāo)題以使其不在頂部鏈接欄中顯示，或者確定僅為特定訪問群體的成員顯示頂部鏈接欄中的鏈接。網(wǎng)站所有者還可以選擇在頂部鏈接欄中的鏈接的下拉菜單中顯示子網(wǎng)站或頁面。

3）目錄 Web 部件

在發(fā)布網(wǎng)站上，如果網(wǎng)站所有者希望顯示網(wǎng)站的導(dǎo)航層次結(jié)構(gòu)的自定義視圖，則可以向一個(gè)頁面中添加目錄 Web 部件來實(shí)現(xiàn)此目的。網(wǎng)站所有者可以編輯該 Web 部件，以添加或刪除特定鏈接并自定義鏈接的外觀。

2.5.2 母版頁和頁面布局

Microsoft SharePoint 2010 中的 Web 內(nèi)容管理系統(tǒng)的主要優(yōu)點(diǎn)之一是它簡化了在 SharePoint 網(wǎng)站上創(chuàng)建、發(fā)布和管理 Web 內(nèi)容的過程。通過將內(nèi)容與展示分開，Web 內(nèi)容管理有利于整個(gè)網(wǎng)站的品牌重新定位，并使得新內(nèi)容的創(chuàng)建更為容易。

母版頁和頁面布局是 Web 內(nèi)容管理的兩個(gè)重要功能，有助于統(tǒng)一且高效地設(shè)計(jì) SharePoint 網(wǎng)站。

2.5.2.1 母版頁

母版頁包含要在網(wǎng)站的多個(gè)頁面上重復(fù)的頁面設(shè)計(jì)和布局元素。例如下圖一個(gè)母版頁，該母版頁定義了構(gòu)成該團(tuán)隊(duì)內(nèi)部員工網(wǎng)站通用品牌的元素，如配色方案、徽標(biāo)和導(dǎo)航。

1）配色方案 2）徽標(biāo) 3）導(dǎo)航

通過將母版頁用于這些通用元素，可讓網(wǎng)站擁有更加統(tǒng)一的外觀。母版頁還允許在一個(gè)位置創(chuàng)建和更新這些元素，而不是在每個(gè)網(wǎng)頁上更改它們。

母版頁存儲(chǔ)在母版頁庫中，母版頁庫是在安裝 SharePoint 2010 時(shí)創(chuàng)建的文檔庫。endprint

默認(rèn)情況下，每個(gè) SharePoint 網(wǎng)站都有一個(gè)母版頁?？梢栽谀赴骓搸熘写鎯?chǔ)任意數(shù)量的母版頁，但只能選擇一個(gè)母版頁作為網(wǎng)站的默認(rèn)母版頁。

母版頁控制 SharePoint 網(wǎng)站上一組頁面的外觀，而頁面布局則控制單個(gè)網(wǎng)頁并指定可在網(wǎng)頁上顯示的信息類型。

2.5.2.2 頁面布局

可以將頁面布局看作內(nèi)容網(wǎng)頁的模板。在與母版頁結(jié)合使用時(shí)，頁面布局定義網(wǎng)站內(nèi)網(wǎng)頁的布局和品牌定位。

SharePoint 2010 包括一組適合“歡迎頁面”和“文章頁面”內(nèi)容類型的頁面布局。“歡迎頁面”和“文章頁面”內(nèi)容類型非常普遍，可以應(yīng)用于很多種情況。網(wǎng)頁上顯示的字段的類型由頁面的內(nèi)容類型決定。在創(chuàng)建網(wǎng)頁時(shí)，必須準(zhǔn)確地將內(nèi)容類型與一種頁面布局聯(lián)系起來。

網(wǎng)頁的內(nèi)容存儲(chǔ)在內(nèi)容網(wǎng)頁上的字段內(nèi)。當(dāng)請(qǐng)求一個(gè)網(wǎng)頁時(shí)，母版頁和頁面布局合并形成整體設(shè)計(jì)。之后，內(nèi)容從內(nèi)容網(wǎng)頁中提取出來并顯示在網(wǎng)頁的最終設(shè)計(jì)內(nèi)。

可以修改現(xiàn)有的頁面布局或者創(chuàng)建新的頁面布局。創(chuàng)建頁面布局時(shí)，使用 Microsoft Office SharePoint Designer 2010 Web 創(chuàng)作工具添加字段控件。頁面布局與母版頁一起存儲(chǔ)在母版頁庫中。

通過使用母版頁和頁面布局，可以更加高效地控制和管理您的頂級(jí)網(wǎng)站，并在顯示網(wǎng)站的各個(gè)網(wǎng)頁時(shí)保證一致性。

3 結(jié)論

集團(tuán)企業(yè)門戶系統(tǒng)建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，需要解決多級(jí)門戶、統(tǒng)一用戶管理、身份驗(yàn)證、單點(diǎn)登錄和業(yè)務(wù)系統(tǒng)數(shù)據(jù)集成等問題，該文采用AD域控、單點(diǎn)登錄、Webservice接口等技術(shù)較好的解決了這些問題。采用 Microsoft Office SharePoint Designer 2010開發(fā)平臺(tái)設(shè)計(jì)出合理的系統(tǒng)架構(gòu)，人性化的系統(tǒng)功能，使門戶系統(tǒng)成為滿足用戶訪問各級(jí)門戶、協(xié)同辦公、統(tǒng)一搜索等需求的一個(gè)集中信息發(fā)布、展現(xiàn)所有業(yè)務(wù)數(shù)據(jù)的平臺(tái)。該文對(duì)于使用Microsoft Office SharePoint Designer 2010開發(fā)企業(yè)門戶系統(tǒng)的讀者具有一定的借鑒作用。

參考文獻(xiàn)：

[1] 屠立剛，吳翠鳳.Microsoft Office SharePoint Server 2007管理大全[M].北京：電子工業(yè)出版社，2008.

[2] （美）Tom Rizzo.SharePoint 2010開發(fā)高級(jí)教程[M].北京：清華大學(xué)出版社，2012.

[3] 劉曉輝，王淑江.Windows Server 2003活動(dòng)目錄實(shí)戰(zhàn)指南[M].北京：人民郵電出版社，2007.

[4] Stan Reimer，Conan Kezema ，Mike Mulcare . WindowsServer2008活動(dòng)目錄應(yīng)用指南[M]. 薛賽男，等，譯.北京：人民郵電出版社，2010.

[5] 于紅霞.數(shù)字化校園中統(tǒng)一身份驗(yàn)證關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].浙江：浙江大學(xué)，2005.

[6] 微軟統(tǒng)一身份認(rèn)證服務(wù)[EB/OL].http：//www.passport.net.

[7] 譚立球，費(fèi)耀平，李建華.企業(yè)信息門戶單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2005（9）：102-104.

[8] 牛炎.基于Web Service的單點(diǎn)登錄功能設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2010（29）：8241-8242.endprint

母版頁控制 SharePoint 網(wǎng)站上一組頁面的外觀，而頁面布局則控制單個(gè)網(wǎng)頁并指定可在網(wǎng)頁上顯示的信息類型。

2.5.2.2 頁面布局

可以將頁面布局看作內(nèi)容網(wǎng)頁的模板。在與母版頁結(jié)合使用時(shí)，頁面布局定義網(wǎng)站內(nèi)網(wǎng)頁的布局和品牌定位。

SharePoint 2010 包括一組適合“歡迎頁面”和“文章頁面”內(nèi)容類型的頁面布局?！皻g迎頁面”和“文章頁面”內(nèi)容類型非常普遍，可以應(yīng)用于很多種情況。網(wǎng)頁上顯示的字段的類型由頁面的內(nèi)容類型決定。在創(chuàng)建網(wǎng)頁時(shí)，必須準(zhǔn)確地將內(nèi)容類型與一種頁面布局聯(lián)系起來。