企业门户实施关键技术及解决方案上篇

1 .1   统一用户

使用 LDAP 作为统一用户管理的产品实现有很多种，例如： IBM Directory Server 、微软的 AD 等。本章以微软的 AD 为例，介绍统一用户设计。 AD （ Active Directory ）服务是 Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。 Active Directory 不仅可以用来管理计算机、网络，还可以用来管理用户。 Active Directory 的架构（ Schema ）是一组定义，它对能够存储在 Active Directory 中的各种对象以及有关这些对象的各种信息进行了定义。标准的 Active Directory 属性不满足目前企业系统特性要求，需要对其进行扩展，对用户微缩图像、汇报关系及岗位等。

Active Directory 作为企业统一用户数据存储的主要形式，门户和支持 Active Directory 的系统将用户源直接连接至 Active Directory 服务器，或者直接通过 Active Directory 获取用户、群组、角色数据。在企业通常使用的账号命名规则基础上，制定更加规范和标准的账号命名规则。门户中用户账号作为企业主账号，遵照新的命名规则进行命名，已在其他系统中使用的账号如果与主账号不一致，则采用账号映射的方式在单点登录时使用。

企业门户系统通过专有的账号连接 Active Directory 服务器，一般为管理员账号。为了保证数据的安全，企业门户系统和 Active Directory 之间的数据经过加密后传输。 Active Directory 服务器以树形目录的形式存储用户、组织、角色的数据，如图 1- 1 所示。这些数据可以在 Active Directory 自带的控制台上进行修改，也可以在企业门户系统用户管理模块中进行维护。只要一方进行了修改，另一方即可马上体现。

图 1- 1  Active Directory 服务器以树形目录的形式管理用户和企业组织机构

统 一用户的数据来源于 HR 系统，由 HR 提供人员和组织的读取数据接口与增量变化的数据接口。由 Portal 采用系统定时轮询的方式和人工手动触发程序。之所以采用 LDAP 用户通过 HR 系统同步，是因为一般来说， HR 部门负责最新的人员信息更新，从业务角度讲，这是 HR 部门的职责， LDAP 系统通常由 IT 部门负责维护，而 IT 部门是没有更新最新人员信息这个职责的。

1 .2   个性化

个性化是门户系统的重要特性，个性化功能主要体现在三个方面，即分别根据用户角色、业务规则、用户定制来体现，实现为不同用户呈现合适的内容。

1 .2.1   基于角色的个性化

当用户访问某一页面时，系统管理员可以在后台为不同的角色建立不同的应用页面，内容加载时自动加载所在角色的页面，如图 1- 2 所示。针对同一路径的页面，系统管理员按不同角色配置该角色需要使用的门户 Portlet 。用户登录后，系统在安全上下文中获取角色类别，当用户访问某一路径的资源时，由门户系统的导航规则引擎，根据用户角色自动定位到相应的页面。 图 1- 2  Portal服务器根据不同的角色加载不同页面的个性化原理

根据不同的角色展示不同的内容，针对同一页面资源，可以通过授权方式实现，即对页面中 Portlet 访问权限进行配置，按角色进行授权。当用户访问页面时，系统将屏蔽没有访问权限的资源。

1 .2.2   基于业务规则的个性化

根据用户属性、系统会话属性、环境上下文设定判断规则，根据条件进行组合运算，得出结果。门户页面在渲染时，根据结果决定进行一定的业务处理。比如某一 Portlet 进行可视规则的应用，即不通过权限，而是根据用户访问的时间段或网络位置，决定当用户访问该页面时是否呈现该 Portlet 。

1 .2.3   用户内容定制

门户提供了用户个性化定制功能，用户可以根据个人喜好设置参数。只要给用户授权某一页面的编辑权限，用户即可修改页面的界面风格、增加和删除 Portlet 、对 Portlet 进行位置变更。如果 Portlet 具有让用户定制私人参数的功能，用户可以通过配置参数，根据个人喜好和习惯展示风格和内容。用户个人的定制不影响其他用户使用，如图 1- 3 所示。

图 1- 3  用户内容定制

1 .3   单点登录

实现 Windows 域认证，经过 Windows 桌面认证后，进入门户无须再输入账号和密码。用户进入门户后，在首页提供已进行单点登录集成并且用户具有访问权限的系统列表，用户点击后可以弹出新窗口，直接进入业务系统而无须输入账号和密码。

Active Directory 中账号命名规则尽可能采用各个业务系统都遵循的通用命名规则，与通用规则不一致的，需要对账号进行映射，对于特殊的系统，如 Lotus Domino 在单点登录时，需要保存用户的凭证。

实现 Portal 与 Windows 域的集成认证，主要通过 SPNEGO （ Simple and Protected GSS-API Negotiation ，是微软提供的一种使用 GSS-API 认证机制的安全协议）协议实现。 Portal 与桌面操作系统使用同一个 Active Directory 服务器。在 IE 浏览器中，将 Portal 的访问地址加入到信任站点，同时启用 Windows 集成认证。只要用户通过域认证的方式成功登录桌面操作系统，在 IE 浏览器中输入 Portal 的访问地址，就会自动实现系统的登录，如图 1- 4 所示。

Portal 支持单点登录集成，支持 J2EE 、 .NET 、 Domino 系统。 Portal 单点登录的核心功能为身份认证服务（ IDP ），采用 SAML 作为单点登录过程中的数据交换标准。 SAML （ Security Assertion Markup Language ，安全断言标记语言）是一个基于 XML 的标准，用于在不同的安全域（ Security Domain ）之间交换认证和授权数据，是用于表示和交换用户身份、身份验证和属性信息的 OASIS 开放标准。 SAML 已经成为单点登录（ SSO ）解决方案的常用技术和公认标准，并已经成为中华人民共和国通信行业标准。

图 1- 4  Portal登录

Portal 支持多种 SAML 绑定方式，如 HTTP-POST 、 SOAP 、 HTTP-Redirect 等，主要采用 SAML HTTP-POST 和 HTTP-Artifact 两种方式。

SAML HTTP-POST 单点登录方式以用户（浏览器）为中介，实现认证系统（ IDP ）和业务系统（ SP ）之间的信息交换。从用户到 IDP 和 SP 可以使用 HTTP 安全通道（ HTTPS/TLS ）保证传输过程安全。 SAML HTTP-POST 单点登录实现流程如图 1- 5 所示。

图 1- 5  SAML HTTP-POST 单点登录实现流程

HTTP-Artifact 单点登录方式使用了两种绑定（ HTTP 重定向 /POST 和 SOAP ）搭配完成登录过程。使用 HTTP 重定向 /POST 绑定来实现用户（浏览器）自动转向和传递 Artifact ，使用 SOAP 绑定实现 IDP 和 SP 之间的安全通信。 IDP 和 SP 通过用户中介传递令牌（ Artifact ），而不是最终的响应结果。令牌（ Artifact ）实现用户会话与其身份认证响应的关联，它不具有实际的意义，也不能重复利用，就是令牌被窃取了，也不会对认证系统构成安全威胁， IDP 和 SP 之间的 SOAP 通信是安全的。 HTTP-Artifact 单点登录实现流程如图 1- 6 所示。

图 1- 6  HTTP Artifact 单点登录实现流程

无论采用上述哪种方式实现单点登录，都需要对业务系统（ SP ）进行必要的改造。 Portal 提供了单点登录接入参考实现及相关开发包、 IDP 的 SAML 元数据描述文件。同时业务系统也向 IDP 提供了 SAML 元数据描述文件，并且到单点登录模块的业务系统管理中注册。业务系统基于 Portal 提供的开发包对本系统的登录程序进行改造。

对于 .NET 系统，如果用户源为同一个 Active Directory 服务器，建议改造为与 Windows 域集成认证。如果无法改造，则通过解析 Portal IDP 提供的数据或 Portal 产生安全令牌，从中获取当前用户的信息，对系统的认证程序进行改造，实现单点登录。

对于 Domino 系统，需要在 Portal 中保存用户的凭证，采用轻量级第三方认证（ LTPA ）的认证机制， LTPA 定义了存储在客户端上的令牌格式。 Portal 登录后通过 DIIOP （ Domino Internet Inter-ORB Protocol ，互联网内部对象请求代理协议），利用 Domino 提供的标准接口，创建 LTPA 令牌，当用户访问 Domino 系统时，系统检测到本地具有合法的 LTPA 令牌即自动实现登录。

1 .4   内容管理

随着 IT 应用的深入普及，该企业集团积累了大量的信息资源，内容数据已成为关键性资产。科学管理和合理开发这些信息资源已经成为企业正确决策、增强竞争力的关键。企业内容管理系统是一种管理、集成和访问各种格式的内容数据的应用软件，它的主要目标是使用一系列策略、方法和工具来组织和存储涉及企业流程的内容文档，处理的对象范围包括所有的结构化数据和非结构化文档。

Portal Web 内容管理器（ WCM ）是用来创建和管理发布于互联网、企业内部网以及企业门户网站上的网页内容的管理系统，它提供了一系列工具来管理网站内容的创建、审批以及最终的发布。这一系列工具所组成的复杂而又精密的内容管理系统使网站的建设不再仅仅是专业技术人员的领域，使非技术人员也能参与其中。

Portal 提供了基于 JSR 283 规范的 Web 内容管理。采用模板驱动、数据录入和展示分离原则，用户可以按自己需求定义内容编写模板，系统提供了富文本、日期、数字、字符、文件等常用的属性字段。基于编写模板提供的元数据，用户可以定义内容展示的风格，只需要有 HTML 基础便可自行设计内容展示形式。 WCM 还提供了版本控制、细粒度的权限控制、数据统计功能，同时也内置了丰富的展示组件，如图片、视频、标签云等开箱即用的 Portlet ，可以轻松构建信息站点。

WCM 的模板分为编写模板和演示模板，编写模板为录入内容的表单，用户可以按企业的需求进行定制。 WCM 提供了常见的信息录入字段，如数字、文字、日期、图片、附件等，每种类型的字段都提供了数据录入的人机交互 UI ，并且可以对字段进行约束和校验。演示模板为内容展示格式，定义演示模板可以基于某一编写模板提供的用户自定义和系统自动生成的字段随机组合而成。演示模板中的数据采用 JSP 标签进行封装，通过标签的属性定义内容展示格式。编写模板和演示模板都可以进行重复使用。

WCM 可以对内容站点进行管理。可以设定多个内容站点进行独立管理，彼此隔离。每个站点可以设定不同的内容区域，针对每个区域指定专门的管理员和内容查阅权限，指定专门的内容编写模板等，针对内容可以进行是否可以评论、阅读回执等设定。 WCM 提供了内容数据分析统计功能，如对访问量、数据录入、评论等进行分析统计。 WCM 中内置了简单的流程管理，同时也与第三方工作流系统进行集成。

1 .4.1   站点管理

站点管理就是对站点内容以树形的方式进行归类和存放。可以设定站点管理员进行委托管理（见图 1- 7 ）。

图 1- 7   创建站点

站点区域是对站点内容的细分，站点区域里可以包含子站点区域，可以指定信息发布者、管理员以及访问者（见图 1- 8 ）。

图 1- 8   新建站点区域

1 .4.2   网站模板

Portal 内容管理基于模板驱动，内容录入和展示均无须开发，只需要对模板进行配置，即可对内容进行入输入和展示操作。

1 ．编写模板

编写模板指的是用户发布新闻时所采用的新闻字段类型，如：新闻标题、新闻发布者、新闻发布时间等。可以指定内容录入的数据属性的类型和格式，支持数字、日期、图片、附件、文本等。每种属性都可以指定不同的人机交互界面，如图 1- 9 所示。

完成编写模板后，系统会自动按模板生成内容录入和编辑界面。管理员还可以对生成的界面进行美化和调整。编写模板也可以以 HTML 代码的形式展现，并使用不同的标签，比如， IBM WebSphere Portal 使用的是 IBM Lotus Web Content Management 标签，其他产品分别使用了自己的标签。这些标签分别代表不同的字段值，允许用户直接调用，并以 Java 代码处理其中的逻辑。用户可以在代码显示模式下直接编辑，原理同 DreamWeaver 中的可视化视图、代码视图，如图 1- 10 所示。

图 1- 9   编辑编写模板

图 1- 10   以代码的模式编辑编写模板

2 ．演示模板

演示模板用于显示发布的内容格式，通过 HTML 和门户的标签封装内容显示。在页面上配置的信息展示 Portlet 根据演示模板调取新闻条目的各个字段，并以演示模板中定义的显示方式展现。在新建演示模板时可以基于某一编写模板。在对演示模板进行编排时，可以选择编写模板提供的属性，也可以提供内容的公共基础属性，如编辑者、内容时间、内容路径等。同时 Portal WCM 也提供了相关的组件，如评论、访问量等扩展组件，基于这些组件可以组建更加丰富的页面。

演示模板通过 HTML 和 JSP 标签代码实现，按自己的需求进行定制开发。可以通过第三方网页编辑软件，如 Frontpage 、 Dreamwaver 等工具先将页面编写好，将 HTML 代码导入演示模板代码编辑器中，再将内容的属性填充到 HTML 中（见图 1- 11 ）。

WCM 提供了标记与评级功能，旨在让用户方便地对网站内容进行标记和评级，以及查看标记和评级情况，更方便地整理、查找网站内容以及进行内容分类。

1 .4.3   展示组件

WCM 同时还提供了丰富的可以重用的展示组件，例如菜单组件、蓄文本编辑组件等，并且可以以可扩展的形式用 Portlet 发布。

图 1- 11   以代码的模式编辑演示模板

1 .4.4   多媒体支持

企业对内容管理不限于文字和文档，还包括大量的音频、视频、图片。 WCM 提供了视频和图片的特点支持，针对图片 WCM 提供了图片库功能，将上传的图片共享，可以在多个内容之间引用；针对视频支持多种格式的文件，提供了视频组件。利用 WCM 的多媒体功能，为用户呈现多彩、有声有色的信息浏览和交互界面（见图 1- 12 和图 1- 13 ）。

图 1- 12   多媒体支持（图片）

图 1- 13   多媒体支持（视频）

1 .4.5   内容搜索

WCM 通常都会提供基于全文检索的内容搜索功能，可以对 HTML 、 XML 、 TXT 、 PDF 、 Word 进行搜索。 WCM 的搜索功能提供了通用的词库，供建立索引时进行分词，可以自行加入特殊的词汇，提高搜索的准确性。

1 .4.6   内容标签

内容标签是 Web 2.0 的重要特性，可以对内容进行横行、多维度的分类。内容标签分为标准化和自由式两种。标准化标签是专业或专有的术语词汇，由管理员统一维护；而自由式标签则根据内容文章的重要词汇出现的频率和内容所表述的主要意义，录入人员在录入内容时，加入一个或多个标签。

标签一般按照字典排序，按照热门程度确定字体的大小和颜色，这样按照字典或者热门程度来寻找信息便成为可能。点击标签时，可以打开与标签相关的内容词汇。

1 .4.7   版本控制

WCM 提供了版本控制功能，当对内容进行编辑时，可以保留原来的版本，当需要时可以从原来的版本中恢复（见图 1- 14 ）。在创建新版本时，可以对版本的变化进行批注。

图 1- 14   版本控制

1 .4.8   内容统计

WCM 不仅提供了功能强大的内容发布和展示功能，还提供了多维度的统计功能，从多个角度进行统计和分析（包括 工作量统计、文章统计、模板统计、访问量统计以及评论量统计） ，对内容管理进行持续改善，达到更好的效果（见图 1- 15 ） 。

图 1- 15  内容统计

1 .4.9  WCM 应用

综合利用 WCM 的功能，通过内容规划和模板定制，可以快速搭建内部企业网站，以新闻为主，包括通知公告。以文字、图片、视频多种方式，构建内容新颖、版面信息丰富、生动多彩的网页吸引更多的用户关注企业发布的新闻，通过新闻发布平台，传达最新的新闻资讯和宣扬企业文化。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/9116427/viewspace-2219572/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/9116427/viewspace-2219572/