《统一信息门户建设方案》由会员分享,可在线阅读,更多相关《统一信息门户建设方案(16页珍藏版)》请在金锄头文库上搜索。
1、统一信息门户建设方案为了解决因信息系统建设数量众多而出现的“多账号密码”问题,整合现有 分散的异构应用系统,通过统一的信息门户,解决用户认证、单点登录、应用管 控等问题,在不影响各应用系统业务逻辑的前提下,构建统一信息门户,实现各 个应用系统的无缝集成,使用户在跨系统使用资源和处理业务时感觉是在一个系 统上进行操作,搭建开放的、支持快速的应用配置,大大提升统一信息门户的管 理效率和用户体验。1. 建设内容1.1建设范围根据相关需求的理解和规划,统一信息门户开发建设包括:用户数据中心、 用户认证中心、用户管理中心、系统服务中心、系统消息中心和应用管控中心。1)用户数据中心用户数据中心一方面实现对
2、纳税人用户、缴费人用户、税务人员用户、特殊 用户、第三方用户等所有用户进行统一管理,另一方面实现对用户、主从账号、 组织结构、安全认证以及用户全生命周期的管理。用户数据中心是统一信息门户的基础,它是对各种业务系统数据收集、整理、 存储和展示的重要基础平台,是实现统一身份认证、统一授权管理、统一应用服 务的前提和基础。用户数据中心通过同步抽取各业务系统的用户数据,对抽取的 用户数据进行数据清洗,按照统一的数据格式和定义好的数据模型对用户数据进 行字段合并、重塑、移除、格式转换,装载至统一信息门户的用户信息数据库, 按照服务对象分为内网用户中心、外网用户中心两大区域,后续应用按照需求从 用户数据中
3、心调取用户数据。2)用户认证中心用户认证中心提供统一用户管理功能以及为第三方应用提供用户访问认证 的开放服务,为系统以及之上构建的应用提供统一账号信息、统一认证、用户资 料信息等服务,实现用户登录、认证、授权、安全设置等功能。用户中心提供完 善的安全防护和审计机制,保证用户资料和系统的安全。统一身份认证是为了保证用户登录的统一入口所采取的的技术手段,他可以 实现统一信息门户用户在众多业务系统中只使用一套用户名和密码,并能够实现 用户访问权限的集中控制和管理。提供用户身份组合认证方式,提供单点登录、 会话保持、单点登出服务,并在传统CAS服务的功能上增加用户角色权限控制, 同时建设目录服务,实现
4、用户一次登录,可以访问权限内部所有的应用系统。3)用户管理中心用户管理中心,提供用户信息、用户角色、用户应用、用户授权的统一管理。统一用户管理使用统一身份认证平台的所有业务应用系统的全部用户,用户身份支持 LDAP和数据库的同时存储。 统一角色管理管理统一身份认证平台本身和平台所有应用系统中所需要的使用到的角色 信息,系统通过用户、角色、权限机制、以及角色、用户权限批量处理机制,加 大地方便用户权限分配。 统一应用管理管理纳入统一身份认证平台的各应用系统的应用功能点和应用权限。 统一授权管理实现用户与角色、角色与功能的对应管理,实现菜单权限、数据权限、资源 权限等多权限分类管理。同时,实现权限
5、策略的定制和调用,便于实现与应用流 程的紧密结合。4)系统服务中心服务中心采用“平台+应用”、数据+服务”的设计理念,为统一信息门户集 成各业务系统提供服务的发布、管理、调取等全流程管理,帮助用户快速构建出 基于应用,贯通平台、应用开发者与目标用户的生态链,建立真正开放、稳定、 良性的统一门户生态系统。以用户信息为基础,提供统一平台登录界面,提供个人门户功能,将个人的 日常工作任务和所需的信息统一集成到门户中,使得门户成为个人工作和享受服 务的电子桌面,用户可以根据需要自己定义自己的工作台的应用服务系统和风格。5)系统消息中心消息中心是税务局和税务服务对象之间、税务与政府各部门之间的信息交流与
6、协同的工作平台。通过消息中心提供基于社会化的协作与共享能力,主要包括用户之间的交流 与互动、基于应用的业务协作、知识的分享、信息的主动推送等。基于平台的协 作与共享服务可提供在线社区、即时通讯、消息推送等多种服务,相关部门可以 利用该功能在线展开互动和交流,提高日常协同办公效率。协作服务提供开放的 接口,可以在应用系统中嵌入协作服务能力,提升用户应用体验。6)应用管控中心根据业务系统现状,与统一信息门户的规划与设计,实现业务应用的集成管 控,系统支持页面前端集成(基于页面内容集成),业务模块化集成(基于应用 接口、业务功能模块的整合)、业务过程集成、数据集成展现等多种应用集成方 式,按照统一的
7、数据标准格式,明确应用接口,集成业务系统数据与应用。通过后台界面,分角色权限对各应用系统的接入、审核、发布、版本、上下 架进行管理,提供系统版本管理和控制,提供内容、角色、权限、资源的统一展 现,提供服务管理接口、统计分析接口、应用监控接口服务。1.2.建设功能本次建设功能根据功能归类分为:通用功能、系统管理员功能。1.2.1通用功能1)个人中心定义和管理个人的URL资源,包括个人收藏夹中URL资源的添加、维护和管 理。为每个用户开辟网络个人存储空间,用于个人文件的上传、下载、检索、目 录管理等,用户可以自行管理。2)快捷功能用户可以其他整合到统一信息门户中的功能模块定义到个人工作台上,实现
8、统一的个人工作界面。3)单点登录提供统一信息门户平台登录界面,实现对多种类型的应用系统的单点登录访 问。单点登录缺省支持用户名、口令、数字证书、动态令牌、税控装备和人脸、 指纹等生物特征等登录方式,提供灵活可扩展的认证接口。支持AD、LDAP、数据 库等标准身份认证技术,用户信息存放在统一部署的LDAP中,LADAP用户身份 认证成功则用户登录成功,否则拒绝用户登录,统一信息门户需支持多种登录方 式的复合登录。4)身份认证建设统一身份认证中心,用户在通过认证请求受保护资源时,访问CAS(中 央认证服务)中心,用户输入登录信息进行身份认证,CAS身份认证通过,服务 器向用户发送登录证据,登录证据
9、存储在统一信息门户的Cookie中,登录证据 有效时,用户无需重新登录可直接进入应用系统,实现通过信息门户进行单点登 录集成应用系统,如果登录证据无效则退出系统重新登录。5)会话保持统一信息门户用户登录成功之后,系统需要在当前用户有访问请求时(在线 状态)每间隔一段时间向用户中心服务系统提交用户在线状态信息。保证CAS(中 央认证服务中心)能够感知到用户当前的活动状态,认证服务中心在一定时间内 没有检测到用户的活动信息则判定用户状态为下线。将注销用户登录状态,并通 知所有业务系统注销该用户的登录状态。6)单点退出与单点登录相对应,单点退出功能可以解决“单点登录”功能在方便用户的 同时留下的安全
10、隐患,用户在统一信息门户或业务系统中主动下线或超时下线时, 统一身份认证平台会向业务系统发起用户下线通知,告知业务系统,某用户已经 下线,销毁相关Session会话。7)日志查询查询用户自己的访问日志。8)个人设置修改个人的姓名、邮箱、手机号、应用系统的勾选确认等。9)修改密码修改个人密码。输入原密码、新密码、确认新密码,提交即可。10)通知消息查看其他人员发送给自己的消息。有些消息会根据当前人员的身份自动进行 过滤。查看系统发送的通知公告。1.2.2系统管理员1)用户管理建立集中的用户目录体系,用户覆盖各个子系统的用户,所有的用户信息都 存储在LDAP目录服务中心,既便于管理,又可提供一个统
11、一的接口,便于其他 应用调用,该LDAP和子业务系统现有的用户管理功能做接口,实现当子业务系 统注册和删除用户时,自动在LDAP中注册用户和删除用户。实现将所有子应用 系统的用户管理集中,通过UMS适配器与各种应用系统进行用户信息、机构信息 以及用户相关属性信息的同步,支持用户信息查询服务、同步服务、适配器服务。2)统一注册用户在统一信息门户注册时,注册数据通过接口保存到用户中心,提供全量 同步和实时增量同步两种用户注册信息同步方式。用户中心支持用户注册信息全 量同步方式,提供给实时性要求不太高的子系统使用;在用户注册、信息变更、 服务申请状态变化、删除等操作之后用户中心支持主动通知各个子系统
12、变更的用 户数据,提供给实时性要求高的子系统使用;3)统一账号目前业务系统中国普遍存在账号分散管理、账号共用、简单账号口令或相同 账号口令等安全问题,这些都危害到系统的安全性,并降低了管理的工作效率, 使用集中账号管理,区分主从账号,将各种应用和设备的账号进行统一管理,通 过授权管理使得一个自然人下的账号相互关联,并可以采用强口令对资源进行统 一设置保证资源的安全。4)角色管理管理员使用统一信息门户管理各个子系统的角色列表,角色信息包含角色名 称、角色编码和角色描述等信息。并能够配置每个角色拥有的菜单权限、数据权 限、资源权限。统一信息门户管理员可以给用户授予指定角色,角色权限由管理 员使用权
13、限管理功能维护,通过用户、角色、权限批量处理机制,极大地方便用 户权限分配。5)集中授权集中授权是确定认证通过后的用户是否有权对系统资源进行访问或操作,集 中授权是通过集中的授权中心,采用统一的策略管理进行用户授权。通过角色来 获得对象或对象组的访问权限,根据功能性属性的不同将用户组织定义为不同的 角色,如从属关系、访问模式或等级标志等。在指定访问控制规则时,采用访问 控制列表(ACL)。ACL是由所有访问允许规则组成的集合,应用于单一对象。可 根据用户所在部门或角色对其可访问范围进行管理,集中授权/撤销授权,做到 一次配置,全局生效。6)应用管控对于需要接入统一信息门户的在建和未建系统指定统
14、一的接入规格说明,提 供规范接口,保证各系统可按照规范自行开发后实现对统一信息门户的自动接入 和单点登录,同时对接已有Web应用、移动应用、桌面应用以及IoT设备等,为 用户提供集访问控制、单点登录和应用门户的一体化服务,实现统一信息门户对 各接入系统的统一管理。管理纳入统一信息门户的各应用系统的应用功能点和应 用权限。7)通知消息监听消息服务器中的消息数据,将各个子系统通过消息中心发出的通知消息 汇集到统一信息门户中进行集中展示,运用消息中间件解决异步通信、多对多通 信等问题,为管理员提供消息的定时发送功能。同时支持JMS的消息模型,提供 可靠消息传输、事务和消息过滤等机制。同时支持手机短讯
15、、电子邮件等扩展消 息通讯方式,方便用户获取即时任务提醒、即时消息传递等。8)日志审计详细记录用户所有行为及管理员操作,并形成可视化报表,让管理员随时掌 握各大应用子系统数字资产的使用情况。整合不同应用的登录日志,让管理员切 实掌握整个统一信息门户的数字资产使用情况,同时实现用户在多个系统上行为 的统合观察,帮助管理者进行快速的判断和决策9)并发优化为统一信息门户需建设单独的WEB服务器,并增加一台高IO的前置服务器, 在后端应用过于繁忙时阻止用户访问,并给出友好提示;在访问高峰期运用云技 术自动将资源集中攻击高峰应用,关闭或限制一些不急用的或少人用的系统;增 加对访问率高的数据索引,优化查询
16、视图,同时使用CDN网络应用WEB服务器繁 忙情况,降低主服务器负载;优化网页机构,减少JS代码使用,减少图片数量和大小。10)安全防护制定统一信息门户入网安全规范,要求所有应用接入统一信息门户前必须进 行严格的安全入网测试,并通过安全入网验收,在统一信息门户运维过程中使用 不同的专业WEB扫描软件对各业务子系统进行统一检查,进行定期安全检查、网 站安全监控、教育培训,对发现的隐患需要及时出具整改协调函,对于退网的业 务系统,要求严格按照安全运维规章进行退网流程操作并消除敏感信息。2. 系统架构2.1系统架构图统一信息门户系统在逻辑上分为三层,接入层、引用聚合层和后台服务层。基础设施用户身份信息内网用户中心外网用户
