周洋

摘要：企業(yè)門戶系統(tǒng)為員工提供綜合信息服務(wù)的同時，內(nèi)部需要與各業(yè)務(wù)系統(tǒng)對接，其目的旨在通過統(tǒng)一的系統(tǒng)入口，實現(xiàn)單點登錄、統(tǒng)一待辦等功能，為企業(yè)員工提供一站式的信息訪問服務(wù)。本文旨在通過前端向?qū)渲?，以最小的代價完成對異構(gòu)系統(tǒng)的接入。

關(guān)鍵詞：門戶；單點登錄；統(tǒng)一待辦

中圖分類號：TP3ll 文獻標識碼：A 文章編號：1007-9416（2018）02-0134-03

1背景

隨著信息化在企業(yè)中的持續(xù)深入推進，企業(yè)逐步實施PLM（產(chǎn)品全生命周期管理系統(tǒng)）、OA（協(xié)同辦公系統(tǒng)）、QMS（質(zhì)量信息系統(tǒng)）等業(yè)務(wù)信息系統(tǒng)，這些系統(tǒng)對企業(yè)生產(chǎn)經(jīng)營活動中的支撐作用及成效越來越突出。隨著企業(yè)信息化建設(shè)的不斷深入，業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)的數(shù)量也在持續(xù)不斷增加，從技術(shù)層面看，也帶來了以下突出問題：

（1）早期信息系統(tǒng)的建設(shè)以滿足企業(yè)業(yè)務(wù)需求為主，且系統(tǒng)在架構(gòu)上零散獨立，有國內(nèi)外成熟軟件，也有定制開發(fā)軟件，缺少整體協(xié)同性。（2）隨著應(yīng)用系統(tǒng)的不斷增多，員工在開展工作過程中需要頻繁進行系統(tǒng)切換與登錄，而且還需記憶不同系統(tǒng)的登錄地址、用戶名、密碼，嚴重影響工作效率。（3）從信息化管理者角度出發(fā)，各系統(tǒng)中用戶和部門數(shù)據(jù)差異較大，且均不完整，且一旦公司有人員或部門的調(diào)整，信息中心每個系統(tǒng)管理員就需要耗費大量的時間和精力來維護這些數(shù)據(jù)，工作內(nèi)容重復(fù)。（4）密碼安全隱患越來越明顯，由于各系統(tǒng)都保存有用戶的密碼，員工一般都會將各系統(tǒng)密碼都會設(shè)為相同，各系統(tǒng)管理員、實施顧問甚至單位內(nèi)部人員都可以獲得該密碼。

目前，企業(yè)通過門戶系統(tǒng)建設(shè)，構(gòu)建一體化的信息平臺。除實現(xiàn)綜合信息展示外，快捷、低成本完成對業(yè)務(wù)系統(tǒng)的接入，實現(xiàn)各系統(tǒng)統(tǒng)一用戶管理、統(tǒng)一認證、單點登錄、統(tǒng)一待辦等功能，成為系統(tǒng)建設(shè)的基礎(chǔ)性內(nèi)容，也是重點內(nèi)容之一。

2 企業(yè)門戶集成架構(gòu)的設(shè)計

企業(yè)信息門戶的集成架構(gòu)見圖1，分為如下五大模塊：

（1）統(tǒng)一用戶管理。統(tǒng)一用戶管理是一體化信息平臺建設(shè)的基礎(chǔ)，也是約束系統(tǒng)數(shù)據(jù)統(tǒng)一標準的重要手段。本文中所指的用戶信息，包括與用戶相關(guān)的信息及組織機構(gòu)信息。統(tǒng)一的用戶管理模塊中，不僅實現(xiàn)與人力資源系統(tǒng)對接，完成對用戶信息進行集中的、全生命周期的管理，還包括用戶對接入系統(tǒng)訪問權(quán)限的管理。（2）身份認證。指對員工在登錄業(yè)務(wù)系統(tǒng)時，對用戶名、密碼及其它認證憑據(jù)信息正確性驗證進行統(tǒng)一的管理。在企業(yè)中，因歷史原因、產(chǎn)品選型等原因，不僅需要考慮未來的統(tǒng)一集中認證，還需結(jié)合企業(yè)業(yè)務(wù)應(yīng)用現(xiàn)狀，考慮系統(tǒng)應(yīng)用本身等認證機制。（3）單點登錄。單點登錄是指員工通過登錄門戶系統(tǒng)這個“單點”后，不再還需要繼續(xù)輸入用戶名與密碼等憑據(jù)信息，就可以直接進入其他信息系統(tǒng)，進行業(yè)務(wù)處理。（4）統(tǒng)一待辦。統(tǒng)一待辦是指將各個業(yè)務(wù)系統(tǒng)分散的、需要一個員工處理的事項集中在一起，進行集中展現(xiàn)與處理。（5）消息隊列推送。是指通過消息隊列，將用戶和組織機構(gòu)變更信息推送給各業(yè)務(wù)系統(tǒng)，由各業(yè)務(wù)系統(tǒng)根據(jù)變化情況自行進行業(yè)務(wù)調(diào)整。

3 企業(yè)門戶“業(yè)務(wù)系統(tǒng)接入”模塊的設(shè)計

業(yè)務(wù)接入模塊為企業(yè)門戶中的核心，其目的是搜集業(yè)務(wù)接入信息，形成核心配置參數(shù)庫，用于指揮其他模塊的輸出。

本模塊的設(shè)計原則：盡可能提供靈活的配置，增強設(shè)計柔性，以適配不同類型系統(tǒng)、不同接口、不同的接入方式。

本模塊的總體設(shè)計思路為：前端向門戶管理員提供向?qū)?，通過每個步驟的配置，獲取接入系統(tǒng)與門戶系統(tǒng)集成配置信息，并以該配置信息作為其他模塊與業(yè)務(wù)系統(tǒng)集成的基礎(chǔ)信息。如圖2所示。

在總體設(shè)計中，系統(tǒng)接入模塊包括接入系統(tǒng)登記、用戶信息推送配置、認證接入配置、單點登錄接入配置及待辦接入配置五大部分。其中：

（1）接入系統(tǒng)登記。主要實現(xiàn)對接入系統(tǒng)基本信息的登記，主要內(nèi)容如表1所示。（2）用戶信息推送配置。主要完成向業(yè)務(wù)系統(tǒng)推送用戶、組織機構(gòu)等信息的登記，主要內(nèi)容如表2所示。（3）認證接入配置。對業(yè)務(wù)系統(tǒng)接入門戶的認證方式進行登記，為單點登錄、接入系統(tǒng)獨立登錄方式進行信息登記（后續(xù)可用于擴展，如短信認證、證書認證等），主要內(nèi)容如表3所示。（4）單點登錄接入配置。對通過企業(yè)門戶單點進入各業(yè)務(wù)系統(tǒng)的相關(guān)配置信息進行登記，主要內(nèi)容如表4所示。（5）待辦接入配置。對通過企業(yè)門戶單點進入各業(yè)務(wù)系統(tǒng)的相關(guān)配置信息進行登記，主要內(nèi)容如表5所示。

4 系統(tǒng)接入模塊在系統(tǒng)單點登錄中的應(yīng)用

本節(jié)將通過中間件方式，對系統(tǒng)接入模塊單點登錄中的運行機制進行深入介紹。單點登錄機制見圖3所示。

用戶通過門戶前端，發(fā)出單點請求，在請求過程中，門戶系統(tǒng)從Token發(fā)放與認證中心中發(fā)放Token，并將該Token傳遞接入系統(tǒng)單點登錄代理，由該代理再次對該Token進行認證，認證成功后則進入接入系統(tǒng)。

為保障系統(tǒng)安全性，對Token的發(fā)放、認證至關(guān)重要。Token生成與認證經(jīng)由復(fù)雜的加密、解密算法構(gòu)成，加解密內(nèi)容除包括必須的目標地址、用戶名等信息外，還注入了時間戳、動態(tài)加密碼、訪問隨機碼等信息。為防止時間誤差，該機制中還需引入時鐘同步，確保時間戳在單點登錄過程中的有效性。單點登錄不但防止非法分子對傳輸數(shù)據(jù)的篡改，阻止非法登錄訪問，而且避免了采用HTTPS及其他方式帶來的證書應(yīng)用問題。提高了認證的便捷性。關(guān)于Token的生成，筆者所在企業(yè)已申請了專利《一種采用中間件實現(xiàn)單點登錄的方法和系統(tǒng)》。

在該機制中，系統(tǒng)接入模塊對Token的生成至關(guān)重要，當因系統(tǒng)調(diào)整，需對認證方式修改時，可通過對接入配置信息的修改，快速實現(xiàn)單點登錄過程的自動調(diào)整，滿足企業(yè)靈活多變的需要。

5 企業(yè)門戶“業(yè)務(wù)系統(tǒng)接入”模塊的實現(xiàn)

根據(jù)上述設(shè)計，作者在所屬企業(yè)的門戶項目實施中，在微軟SharePoint的門戶系統(tǒng)基礎(chǔ)上，完成系統(tǒng)接入模塊的實現(xiàn)。一方面，利用SharePoint實現(xiàn)對業(yè)務(wù)信息的聚合，向員工提供綜合信息前端展示服務(wù)，另一方面，在門戶系統(tǒng)后端，采用定制開發(fā)方式，實現(xiàn)業(yè)務(wù)系統(tǒng)接入配置，實現(xiàn)與SharePoint的無縫集成。

目前，企業(yè)門戶系統(tǒng)運行穩(wěn)定，已完成了24個不同架構(gòu)系統(tǒng)的接入。從架構(gòu)上看，包括了BS及CS的系統(tǒng)，不僅包括了國內(nèi)軟件、定制軟件，而且也包括了國外WindChillPLM、DominoOA。

從單點登錄上看，如圖4所示，目前，每月發(fā)生近5萬次的單點登錄請求，運行穩(wěn)定安全。

總體上看，該設(shè)計實現(xiàn)從對系統(tǒng)的接入采用向?qū)浇尤?，不僅方便快捷，而且因系統(tǒng)做了不同技術(shù)類型的對接方式，接入成本低，滿足企業(yè)靈活多變的業(yè)務(wù)需要。

6 結(jié)語

本文從企業(yè)實際出發(fā)，為企業(yè)門戶提出了一種簡單、方便快捷、低成本的系統(tǒng)接入模式，大大降低了系統(tǒng)接入門戶系統(tǒng)的對接難度。

除對企業(yè)門戶系統(tǒng)采取技術(shù)手段外，還應(yīng)配備相應(yīng)的管理措施，從接入系統(tǒng)的產(chǎn)品選型、招標開始，就將與門戶對接作為技術(shù)要求之一，進而保障企業(yè)一體化信息平臺的構(gòu)建。