1、在这份文档中,我们介绍了同统一信息平台集成所需要遵循的开发技术规范,作为今后新建的系统与统一信息平台集成时遵循的标准。1.2 术语定义术语术语解释Portal门户WebSphere Portal ServerIBM的企业门户产品的名称,基于WebSphere的应用服务器技术,实现应用的集成WPSWebSphere Portal Server的简写TAMTivoli Access Manager的缩写,IBM的电子商务安全产品,负责处理应用程序的认证和授权控制WebSEALTAM的产品组件,利用反向代理的技术实现对应用系统的统一访问TIMTivoli Identity Manager的缩写,IB
2、M帐号管理软件,可以实现对用户帐号的统一管理和用户的同步B/S浏览器/服务器模式1.3 版本控制1.3.1 文档信息文档准备人:刘英杰准备日期:20048审阅人:杨铎、宋刚、刘伟华、地里、徐正奎、姜德基、韩晓娣、杨新明、裴晶审阅日期:1.3.2 版本历史日期版本号作者说明2004831初始文档2004926初稿2 统一信息平台应用集成任务新疆移动统一信息平台作为新疆移动的内部门户,负责对集成的各应用系统提供统一的用户认证、目录服务、资源管理、策略管理和内容展示。统一信息平台目前已经完成了对OA、在线分析、电子运维、MIS综合统计、市场信息交流系统的集成工作,在后期的系统建设中,也会集成更多应用
3、系统。在这些系统的集成过程中,涉及了下面四部分的集成工作:实现信息系统与统一信息平台的单一认证单一认证,即SSO,是与统一信息平台集成工作中非常重要的一个环节,所要实现的任务就是:当用户输入用户名和密码,在统一信息平台成功登陆后,再去访问其他集成的应用系统时,就不需要再次提供用户名和密码,应用系统就可以认证当前的用户。实现信息系统在统一信息平台上的内容展示新疆移动统一信息平台是由IBM WebSphere Portal Server构建的,应用系统为了在统一信息平台提供内容展示或者提供访问的地址连接,需要将应用系统的内容提取出来,开发成Portlet、频道或链接的形式,部署在门户软件平台上,从
4、而完成在统一信息平台的内容展示。实现信息系统在统一信息平台上的策略管理作为新疆移动统一信息平台基础架构的组成部分,WebSEAL负责完成用户的统一认证和负责管理并保护基于 Web 的信息和资源,利用反向代理的技术实现对应用系统的统一访问。WebSEAL 是高性能、多线程的 Web 服务器,它将细粒度的安全策略应用到 Tivoli Access Manager 受保护 Web 对象空间。WebSEAL 还能提供单一注册解决方案,并将后端 Web 应用程序服务器资源合并到其安全策略中。实现信息系统的用户帐号与统一信息平台的统一用户管理集成统一信息平台包含有用户的完整信息,这些用户信息包括用户的姓名
5、,邮件,电话以及所在的部门名称等信息,新增的企业信息往往需要这些信息来实现系统的一些功能。通过与统一信息平台的用户管理系统集成,应用系统需要的这些用户属性信息可以从统一信息平台中心的目录服务器中复制到这些应用系统中。3 集成规范为保证新疆移动新建信息系统可以和内部门户进行无缝集成和在应用内容展示上产生最佳的显示效果,需要在应用的开发期间遵循必要的开发技术规范。规范的内容主要涉及下面四部分:用户认证、内容展示、策略管理、用户管理。我们在下面对这些规范进行详细介绍:3.1 用户认证应用系统与统一信息平台集成时,首先需要实现的就是SSO,即单点登陆,用户登录过统一信息平台后,不需要输入用户名和密码就
6、可以访问应用系统了。在目前的系统环境下,实现SSO必须要求应用系统是基于B/S架构开发。另外,为了保证应用系统和统一信息平台之间能够相互实现用户认证,应用系统在分配用户的帐号,应该保持与统一信息平台一致的命名(例如:在统一信息平台下用户王静的登陆名wangjing,那么要求应用系统也必须使用相同的用户名wangjing),这样两个系统之间完成SSO的时候,才能够自动获得相互的认证。在保证这两个前提下,我们实现应用程序与内部门户的集成有多种方案,我们推荐使用下面三种方案。1LTPA的方式这种方式适用于WebSphere和Domino平台下开发的应用系统。在这种方式下,需要应用系统使用IBM的WA
7、S作为应用部署的服务器或者是基于Domino服务器的应用。在这种方式下,应用服务器使用和内部门户相同的LTPA的Key,使用相同的用户认证名称,即用户登录系统都使用相同的登录名称。对于使用LTPA的方式,IBM的网站上提供了专门的文档,详细的配置过程请看附录中的参考资料。2凭证保险库的方式这种方式适用于通用的应用系统。在这种方式下,内部门户保存用户的登陆名和密码在凭证保险库中,用户在登陆门户系统后,内部门户自动从凭证保险库中取出用户名和密码进行验证,然后自动登陆进入相应系统,不需要用户再输入用户名和密码进行验证。3使用Cookie方式这种方式适用于Java开发的应用系统。在这种方式下,用户需要
8、扩展应用程序的认证,在原有的应用程序的认证基础上增加一段Portal的SSO认证代码(SSOSDK),从而判断用户是否成功登陆过Portal。这部分的程序流程图如下:对于SSOSDK的使用,请参考新疆移动SSO实施方案的文档。3.2 内容展示应用系统在实现与统一信息平台的SSO后,需要再实现其内容在统一信息平台上的展示。这些展示的是以Portlet、频道、链接等形式实现的。具体内容展示如下图:其中红色区域为一个Portlet。Portlet中展示的数据为应用系统提供的展示数据。为了保证Portlet可以同这些应用系统协作,应用系统的开发厂商必须提供开发必要的编程接口,这样Portlet就可以将
9、这些内容展示在统一信息平台上。目前应用开发厂商可以提供下列两种方式的接口构建Portlet或频道(如果只是“链接”则没有特殊要求):基于XML协议。在这种方式下,应用的开发厂商提供XML的访问结构,每个Portlet程序通过HTTP的方式请求数据,数据以XML的格式返回给Porlet,Portlet在根据得到的数据构建Portlet的显示界面,将结果显示在页面上,当用户点击深层的连接时,系统将连接到应用系统内部。基于IframePortlet构建。在这种方式下,应用系统的厂商直接提供Portlet的展示页面,应用厂商提供这个Portlet展示内容的URL。Portlet的开发人员使用Ifram
10、e的方式将这个URL的内容包装成一个Portlet,完成在统一信息平台展示。这种方式是目前比较推荐使用的集成方式,因为展示的内容数据直接来自应用的服务服务器,没有XML协议制定的问题,同时Portlet不需要等待应用回应数据就可以提供页面的显示,所以Portlet页面的响应速度更快。建议开发商使用此种方式。在这两种方式下,应用的厂商都需要提供专门为Portlet开发所提供访问的URL,并根据应用展示的复杂程度,提供用户可以调整的参数,例如在Portalet中显示多少行记录,需要显示那些信息,都可以作为URL的参数传送到应用的接受地址上,应用根据给定的参数,提供相一致的显示数据。3.3 策略管理
11、作为新疆移动统一信息平台基础架构的组成部分,WebSEAL负责完成用户的统一认证和负责管理并保护基于 Web 的信息和资源。WebSEAL 通常作为逆向 Web 代理,从 Web 浏览器接收 HTTPHTTPS 请求并交付来自其自己的 Web 服务器或来自联结的后端 Web 应用程序服务器的内容,有关WebSEAL的更多内容可以参考IBM的网站。3.3.1 WebSEAL的原理从后端服务器的应用程序返回给浏览器的页面最常包含的是到位于这些应用程序服务器上的资源的 URL 链接。在非 WebSEAL 环境下,客户机输入的在某个应用程序服务器上的资源 URL 如下所示:而使用WebSEAL 作为前
12、端逆向代理,通过 WebSEAL 的联结功能为后端应用程序服务器提供安全服务。此功能导致通过不同的 URL 表达式访问资源。同一资源的 URL 必须如下所示的方式进行访问: 的联结功能更改了必须用来访问联结的后端系统上的资源的服务器和路径信息。只有当 URL 包含联结的标识时,到后端联结的服务器上的资源的链接才会成功。3.3.2 应用系统同WebSEAL集成时应该遵守的开发特性任何 HTML 页面都有可能包含到后端服务器或其它地方的其它资源的 URL(链接)。 URL 表达式一般使用以下格式显示:相对相对于服务器绝对WebSeal对相对格式URL 的的链接不做改写的处理。缺省情况下,浏览器通过
13、在相对 URL 前添加正确的模式、服务器和目录信息(包括联结)来处理链接中的相对 URL。相对 URL 表达式示例: ./ ./ sales/然而,WebSEAL在对相对于服务器和绝对路径格式处理时会产生困难。仅当 WebSEAL 能够修改 URL 路径表达式并包含联结信息时,以绝对或相对于服务器的格式表示的到后端资源的链接才会成功。相对于服务器 URL 表达式示例: / /accounts/绝对 URL 表达式示例:3.3.3 结论为了保证需要集成信息系统能够正确的同WebSEAL配合完成工作,所有 Web 脚本的程序员为动态生成的 URL(JavaScript) 应使用相对链接(不是绝对或
14、相对于服务器的)。在生成的网页中,应使用相对的URL连接,不要当前网页的地址作为HTTP URL的参数传递到后段服务器上用来定位资源。在统一信息平台中其他应用服务的程序都是作为子应用存在的,这时如果子应用程序用Javascript的类似于这种方式来取值,那么得到将是统一信息平台中的值,这样会引起子应用程序中不可预知的错误。所以,在被集成的系统中不应使用Javascript中的类似于的代码形式,建议采用的形式。3.4 用户管理每个应用系统都会有自己的用户管理子模块,用来为系统新增帐号和管理帐号。新疆移动统一信息平台包含了IBM Tivoli Identify Manager 的统一用户管理模块,
15、实现了企业内部各个系统之间的用户信息的自动同步和统一管理,为今后建立人力资源管理和专业系统用户管理的自动关联打下了良好的基础。3.4.1 统一信息平台TIM用户管理架构新疆移动统一信息平台针对移动公司目前现状的了解以及针对IBM Tivoli的软件和产品,提出了以下架构:考虑到MIS-HR的应用和数据还在不断完善中,系统目前将Domino系统中的(OA系统的人员信息库)暂时作为企业的用户数据来源库。利用IBM 的IDI通过扫描Domino的LDAP将Domino的用户数据同步到TIM的身份管理库。在TIM中实现对各个系统的用户帐户管理、用户信息同步、应用权限管理。通过IBM提供的AGENT或者
16、利用IDI自己开发AGENT,实现TIM和其他各个系统的连接。构架如下图:系统描述:在TIM中,人员是指企业员工实体。一个企业员工对应一个人员实体。帐户是对应于各个应用系统的权限,(即某企业员工拥有了某个应用系统的帐户,那么该员工便可以使用该帐户访问该应用系统)。一个企业员工可以拥有多个应用系统的访问权限。故该企业员工可以拥有多个帐户。企业员工拥有的帐户名称可以相同,也可以不同。但都属于该人员实体。3.4.2 应用集成规范统一用户管理对于应用集成规范主要包含以下几个方面:用户规范权限规范管理规范集成规范3.4.2.1 用户规范对于要集成的系统来说,主要包括两类系统:厂家产品对于厂家产品,比如u
17、nix操作系统,它属于特定的厂家产品,它有自己的用户系统(增加用户useradd),对于这样的系统,如果新疆移动门户平台(WPS)提供这样的Agent,那么就可以自动完成它们之间的同步。自主开发对于自主开发系统来说,目前用户数据源主要包含两种方式关系性数据库在关系性数据库中,对于用户的基本信息表的设计,建议采用单个的表结构方式。用户名与组织架构应与统一信息平台的用户名与组织架构一致。目录服务(LDAP)在目录服务中,对于基本的用户信息,建议采用扁平化的设计(即所有的用户都存在于一个节点下面)。举例(集成A系统用户)在A系统中,采用的是IBM的Directory Server,用户采用扁平化的设
18、计(即所有用户都存放在cn=users节点下,便于用户的维护).3.4.2.2 权限规范对于权限的集成,由于各个系统的权限千差万别,所以对权限的集成也是难度最大的,同样,我们对权限的集成也包含两个方面:对于厂家标准产品来说,同样,如果新疆移动门户平台(WPS)能提供对标准产品权限的支持,则我们可以对其进行集成对于自主开发系统来说,目前采用角色或组的授权方式比较通用,我们也建议对于自主开发系统采用这种授权方式.即:权限授予组用户与组对应举例(集成A系统的权限)在与A系统的集成中,A系统使用的是IBM Directory Server,它的权限是利用组的方式,即将权限分配给组,在把用户加入这个组,
19、这样子,该用户就具有了这个组的权限.3.4.2.3 管理规范对于集成后的系统的用户的日常维护工作,由统一的管理员维护集成系统的用户帐号。3.4.2.4 集成规范对于与其他应用系统的集成,这种集成包含两个方面:集成数据源对其他系统的集成,是集成其他系统的用户存储源,即需要知道用户存放的介质.(DB/LDAP)和相对应的具体的表以及对该表有操作权限的权限的用户集成标准用户存储的地址权限用户(有权限对相应的表或LDAP进行操作的用户)数据结构(数据库的机构或LDAP SCHEMA)部分测试数据4 其他对统一信息平台的体系结构中涉及到的门户产品可以在附录中找到相关的资源。5 附录I-参看文档序号参考文档1.新疆移动SSO实施方案.doc用于指导与统一信息平台的具体集成。2.IBM Tivoli Access Manager的参考文档3. WebSphere Portal Server的参考文档4. Tivoli Identify Manager的参考文档5. 的LDAP入门教程6. / Lotus Domino 与 WebSphere Portal: 单点登录
