1、新科技統一接入平臺產品白皮書 45/45統一接入平平臺產品品白皮書書廈門新科技技軟件股股份有限限公司TOC o 1-3 h z u HYPERLINK l _Toc256003305 1.現狀狀及需求求分析 PAGEREF _Toc256003305 h 4 HYPERLINK l _Toc256003306 1.1.現狀 PAGEREF _Toc256003306 h 4 HYPERLINK l _Toc256003307 1.2.問題 PAGEREF _Toc256003307 h 5 HYPERLINK l _Toc256003308 1.3.什么是是單點登登錄（SSSO）？ PAGER

2、EF _Toc256003308 h 5 HYPERLINK l _Toc256003309 1.4.什么是是4A? PAGEREF _Toc256003309 h 6 HYPERLINK l _Toc256003310 1.5.什么是是虛擬化化？ PAGEREF _Toc256003310 h 6 HYPERLINK l _Toc256003311 1.6.統一接接入平臺臺能為您您帶來什什么？ PAGEREF _Toc256003311 h 8 HYPERLINK l _Toc256003312 2.新科科技統一一接入平平臺簡介介 PAGEREF _Toc256003312 h 8 HYPE

3、RLINK l _Toc256003313 3.產品品特點 PAGEREF _Toc256003313 h 8 HYPERLINK l _Toc256003314 3.1.軟硬件件融合方方案 PAGEREF _Toc256003314 h 8 HYPERLINK l _Toc256003315 3.2.完備的的單點登登錄 PAGEREF _Toc256003315 h 9 HYPERLINK l _Toc256003316 3.3.統一資資源目錄錄的集中中授權 PAGEREF _Toc256003316 h 9 HYPERLINK l _Toc256003317 3.4.一站式式的信息息聚合處

4、處理 PAGEREF _Toc256003317 h 9 HYPERLINK l _Toc256003318 4.軟件件功能模模塊 PAGEREF _Toc256003318 h 9 HYPERLINK l _Toc256003319 4.1.個人控控制臺 PAGEREF _Toc256003319 h 10 HYPERLINK l _Toc2560033220 4.11.1.定制系系統 PAGEREF _Toc256003320 h 10 HYPERLINK l _Toc256003321 4.1.22.待辦管管理 PAGEREF _Toc256003321 h 11 HYPERLINK l

5、 _Toc256003322 4.1.33.密碼修修改 PAGEREF _Toc256003322 h 11 HYPERLINK l _Toc256003323 4.2.賬號管管理 PAGEREF _Toc256003323 h 11 HYPERLINK l _Toc256003324 4.2.11.組織機機構 PAGEREF _Toc256003324 h 11 HYPERLINK l _Toc256003325 4.2.22.應用角角色 PAGEREF _Toc256003325 h 12 HYPERLINK l _Toc256003326 4.2.33.用戶管管理 PAGEREF _To

6、c256003326 h 13 HYPERLINK l _Toc256003327 4.3.單點登登錄 PAGEREF _Toc256003327 h 14 HYPERLINK l _Toc256003328 4.3.11.認證策策略 PAGEREF _Toc256003328 h 15 HYPERLINK l _Toc256003329 4.3.22.登錄設設置 PAGEREF _Toc256003329 h 15 HYPERLINK l _Toc256003330 4.3.33.代理式式的業務務系統注注冊 PAGEREF _Toc256003330 h 16 HYPERLINK l _To

7、c256003331 4.3.44.適配式式的業務務系統注注冊 PAGEREF _Toc256003331 h 17 HYPERLINK l _Toc256003332 4.3.55.適配式式的業務務系統賬賬號配置置 PAGEREF _Toc256003332 h 18 HYPERLINK l _Toc256003333 4.4.權限管管理 PAGEREF _Toc256003333 h 18 HYPERLINK l _Toc256003334 4.4.11.統一資資源目錄錄 PAGEREF _Toc256003334 h 18 HYPERLINK l _Toc256003335 4.4.22

8、.分級授授權 PAGEREF _Toc256003335 h 19 HYPERLINK l _Toc2560033336 4.44.3.授權管管理 PAGEREF _Toc256003336 h 20 HYPERLINK l _Toc256003337 4.4.44.數據權權限 PAGEREF _Toc256003337 h 22 HYPERLINK l _Toc256003338 4.5.安全審審計 PAGEREF _Toc256003338 h 22 HYPERLINK l _Toc256003339 4.5.11.登錄日日志 PAGEREF _Toc256003339 h 22 HYPE

9、RLINK l _Toc256003340 4.5.22.操作日日志 PAGEREF _Toc256003340 h 22 HYPERLINK l _Toc256003341 4.6.信息集集成 PAGEREF _Toc256003341 h 22 HYPERLINK l _Toc256003342 4.7.集成接接口 PAGEREF _Toc256003342 h 23 HYPERLINK l _Toc256003343 4.7.11.組織機機構查詢詢 PAGEREF _Toc256003343 h 23 HYPERLINK l _Toc256003344 4.7.22.用戶信信息查詢詢 P

10、AGEREF _Toc256003344 h 23 HYPERLINK l _Toc256003345 4.7.33.用戶角角色查詢詢 PAGEREF _Toc256003345 h 24 HYPERLINK l _Toc256003346 4.7.44.代辦查查詢 PAGEREF _Toc256003346 h 24 HYPERLINK l _Toc256003347 4.7.55.權限查查詢 PAGEREF _Toc256003347 h 24 HYPERLINK l _Toc256003348 4.7.66.信息集集成 PAGEREF _Toc256003348 h 24 HYPERLI

11、NK l _Toc25600033449 4.77.7.日志接接口 PAGEREF _Toc256003349 h 24 HYPERLINK l _Toc256003350 4.8.集成組組件 PAGEREF _Toc256003350 h 24 HYPERLINK l _Toc256003351 5.硬件件部署說說明 PAGEREF _Toc256003351 h 25 HYPERLINK l _Toc256003352 5.1.虛擬機機 PAGEREF _Toc256003352 h 25 HYPERLINK l _Toc256003353 5.2.數據庫庫 PAGEREF _Toc256

12、003353 h 26 HYPERLINK l _Toc256003354 6.技術術體系結結構 PAGEREF _Toc256003354 h 26 HYPERLINK l _Toc256003355 7.產品品技術優優勢 PAGEREF _Toc256003355 h 27 HYPERLINK l _Toc256003356 7.1.先進與與成熟相相結合的的技術架架構 PAGEREF _Toc256003356 h 27 HYPERLINK l _Toc256003357 7.2.完善的的安全控控制機制制 PAGEREF _Toc256003357 h 27 HYPERLINK l _To

13、c256003358 7.3.高可靠靠性 PAGEREF _Toc256003358 h 27 HYPERLINK l _Toc256003359 7.4.平臺無無關性 PAGEREF _Toc256003359 h 27 HYPERLINK l _Toc256003360 8.典型型案例 PAGEREF _Toc256003360 h 28 HYPERLINK l _Toc256003361 9.推進進實施 PAGEREF _Toc256003361 h 28 HYPERLINK l _Toc256003362 9.1.策略建建議 PAGEREF _Toc256003362 h 28 HYP

14、ERLINK l _Toc256003363 9.2.4A代理理式的業業務系統統集成 PAGEREF _Toc256003363 h 28 HYPERLINK l _Toc256003364 9.3.適配式式的業務務系統集集成 PAGEREF _Toc256003364 h 29現狀及需求求分析現狀隨著市場競競爭的日日益激烈烈和企業業信息化化的迅猛猛發展，業務系統日漸完善和豐富，逐步實現企業的生產、市場、營銷、客服、管理等諸多業務的無紙化。企業期望借助信息化的平臺的不斷建設，提升企業效率，提高市場響應速度，保持企業的市場競爭力。但用戶要想想享受到到這些業業務系統統帶來的的諸多好好處，就就需要登

15、登錄到許許多不同同的業務務系統中中，而每每個系統統都要求求用戶遵遵循其獨獨立的身身份認證證安全策策略，比比如要求求輸入用用戶名和口令令。用戶戶所使用用的業務務系統越越多，登登錄所花費時時間越多多，登錄錄時出錯錯的可能能性就會會越大，受受到非法法截獲和和破壞的的可能性性也會大大大增加加，系統統的安全全性就會會相應降降低；而而如果用用戶忘記記了口令令，不能能正確的的登錄系系統，就就需要請請求管理理員的幫幫助，而而且只能能在重新新獲得口口令之前前等待，造造成了系系統和安安全管理理資源的的不必要要的開銷銷，降低低了系統統的使用用效率。有有時，用用戶為避避免這種種尷尬情情況的出出現，也也為記清清楚登錄錄

16、信息，通通常會采采用簡化化用戶名名、密碼碼，或者者在多個個系統中中使用相相同的口口令，并并且極少少進行定定期修改改，或者者干脆將將密碼記記錄在筆筆記本上上的做法法，給企企業的信信息安全全帶來嚴重重的安全全漏洞。下面是一些些著名的的調查公公司顯示示的統計計數據：用戶每天平平均166分鐘花花在身份份驗證任任務上 - 資資料來源源：IDDS頻繁的ITT用戶平平均有221個密密碼 - 資料料來源：NTAA Moonittor Passswoord Surrveyy49%的人人寫下了了其密碼碼，而667%的的人很少少改變它它們每79秒出出現一起起身份被被竊事件件 - 資料來來源：NNatiionaal

17、SSmalll BBusiinesss TTravvel Asssoc全球欺騙損損失每年年約122B - 資料料來源：Commm FFrauud CConttroll Asssocc另一方面，業務系統的增加，帶來不斷增長的軟硬件采購成本。按照通常的建設模式，為了避免應用間的互相干擾和方便故障定位，通常是一臺物理服務器運行單個應用，而且，為了確保一些重點業務系統的業務連續性，還采用雙機熱備的方式。隨著服務器數量的急劇增加，機房空間飽和、電力負荷幾近滿載日趨嚴重。同時服務器的總體利用率較低，可用性低，缺乏可管理性，兼容性差。大量服務器的存在使得中心機房的運行維護成本高。業務系統和服務器數量增多后，

18、給系統管理人員帶來日益沉重的系統維護壓力，管理難度也同時加大。問題A、建設成成本：既既增加財財務支出出，又帶帶來施工工進度的的時間成成本。每次建設一一套系統統，都需需要采購購相應的的軟硬件件，如數數據庫服服務器、應應用服務務器、應應用服務務器軟件件、數據據庫軟件件。系統所需硬硬件、網網絡、基基礎軟件件（操作作系統、數數據庫軟軟件、應應用服務務器軟件件）每次次均需要要安排施施工。每個系統都都需要的的系統維維護功能能，如組組織架構構、人員員管理和和系統日日志等功功能在不不斷的被被重復建建設。B、維護成成本：管理員需要要管理不不斷增多多的服務務器和網網絡設施施?；A架構的的不一致致（服務務器類型型、

19、基礎礎軟件類類型）帶帶來的系系統維護護的學習習成本。沒有統一的的用戶管管理：不不同的系系統在組組織架構構和用戶戶視圖上上不統一一，由于于員工上上崗、崗崗位變更更或者離離職等引引起的用用戶信息息管理任任務，管管理員需需要在不不同的業業務系統統中維護護同步相相關的用用戶身份份和存取取管理；不能夠夠自動監監控任何何關于身身份信息息的訪問問權限的的變更。對各個系統統缺乏集集中統一一的訪問問審計，無無法進行行綜合分分析，因因此不能能及時發發現入侵侵行為。C、使用成成本：業務人員應應用的困困難：要要面對多多個功能能各異的的IT系系統，需需要記憶憶多套登登錄賬號號和密碼碼，同時時，經常常有用戶戶忘記口口令而

20、要要求重置置，這也也加大了了管理員員的工作作負擔。不能形成作業需要的整體信息視圖，每個系統都有各自的登陸界面和操作界面，需要頻繁登陸和在不同的系統間來回切換。缺乏統一集集中的資資源訪問問授權機機制：各各個業務務系統具具有各自自的權限限管理機機制，造造成全網網權限管管理分散散的局面面；因不不同系統統的設計計和實施施策略不不同，導導致同一一機構存存在多種種權限管管理方式式，管理理成本高高。數據共享困困難：大大量的雷雷同數據據（通知知、交互互、提醒醒）分別別存放在在不同的的業務系系統中，數數據共享享度低。系統之間猶如孤島，信息不能共享和貫通，查找信息如同大海撈針，只能從每個系統得到某一方面的情況，缺

21、乏完整的業務視圖，往往需要在多個系統之間反復查找才能獲得需要的信息。什么是單點點登錄（SSOO）？單點登錄（Single Sign-On），簡稱為SSO，通常指一個用戶在使用多個應用時只需要同一個認證信息（如用戶名/密碼），并且只需要登錄一次就可使用所有的所有支持單點登錄的業務 HYPERLINK javascript:; 系統。 SKIPIF 1 0 用戶在訪問問任何業業務系統統之前，自自動定向向到統一一接入系系統進行行用戶登登錄，獲獲得安全全認證后后，系統統自動從從數據庫庫中取出出該用戶戶被授權權登錄的的系統信信息和過過程記錄錄進行登登記，完完成后自自動跳轉轉回業務務系統，無無需用戶戶再次

22、登登錄。什么是4AA?4A (認認證Auutheentiicattionn、賬號號Acccounnt、授授權Auuthoorizzatiion、審審計Auuditt)。 什么是虛擬擬化？虛擬化是一一種經過過驗證的的軟件技技術，它它正迅速速改變著著 ITT 的面面貌，并并從根本本上改變變著人們們的計算算方式。如如今，具具有強大大處理能能力的 x866 計算算機硬件件僅僅運運行了單單個操作作系統和和單個應應用程序序。這使使得大多多數計算算機遠未未得到充充分利用用。利用用虛擬化化，可以以在一臺臺物理機機上運行行多個虛虛擬機，因因而得以以在多個個環境間間共享這這一臺計計算機的的資源。不不同的虛虛擬機可

23、可以在同同一臺物物理機上上運行不不同的操操作系統統以及多多個應用用程序。虛擬機具備備以下四四個讓用用戶受益益的關鍵鍵特征：兼容性與物理計算算機一樣樣，虛擬擬機承載載著自身身的客戶戶操作系系統和應應用程序序，并具具有物理理計算機機上的所所有組件件（主板板、VGGA 卡卡、網卡卡控制器器等）。因因此，虛虛擬機與與所有標標準的 x866 操作作系統、應應用程序序和設備備驅動程程序完全全兼容，這這樣，您您就可以以使用虛虛擬機來來運行您您在 xx86 物理計計算機上上運行的的所有相相同軟件件。隔離雖然虛擬機機可以共共享一臺臺計算機機的物理理資源，但但它們彼彼此之間間仍然是是完全隔隔離的，就就像它們們是不

24、同同的物理理計算機機一樣。例例如，如如果在一一臺物理理服務器器上有四四個虛擬擬機，并并且其中中一個虛虛擬機崩崩潰，則則其他三三個虛擬擬機仍然然可用。在在可用性性和安全全性方面面，虛擬擬環境中中運行的的應用程程序之所所以遠優優于在傳傳統的非非虛擬化化系統中中運行的的應用程程序，隔隔離就是是一個重重要的原原因。封裝虛擬機實質質上是一一個軟件件容器，它它將一整整套虛擬擬硬件資資源與操操作系統統及其所所有應用用程序捆捆綁或“封封裝”在在一個軟軟件包內內。封裝裝使虛擬擬機具備備超乎尋尋常的可可移動性性并且易易于管理理。例如如，您可可以將虛虛擬機從從一個位位置移動動和復制制到另一一位置，就就像移動動和復制

25、制任何其其他軟件件文件一一樣；也也可以將將虛擬機機保存在在任何標標準的數數據存儲儲介質上上，從袖袖珍型的的 USSB 閃閃存卡到到企業存存儲區域域網絡 (SAAN)，皆皆可用于于保存。獨立于硬件件虛擬機完全全獨立于于其底層層物理硬硬件。例例如，您您可以為為虛擬機機配置與與底層硬硬件上存存在的物物理組件件完全不不同的虛虛擬組件件（例如如，CPPU、網網卡、SSCSII 控制制器）。同同一物理理服務器器上的各各個虛擬擬機甚至至可以運運行不同同類型的的操作系系統（WWinddowss、Liinuxx 等）。由由于虛擬擬機獨立立于硬件件，再加加上它具具備封裝裝和兼容容性這兩兩個特性性，因此此您可以以在

26、不同同類型的的 x886 計計算機之之間自由由地移動動它，而而無需對對設備驅驅動程序序、操作作系統或或應用程程序進行行任何更更改。獨獨立于硬硬件還意意味著，可可以在一一臺物理理計算機機上混合合運行不不同類型型的操作作系統和和應用程程序。采用虛擬化化軟件的的 5 大理由由1、提高現現有資源源的利用用程度：通過 HYPERLINK 服服務器整整合將共共用的基基礎架構構資源聚聚合在池池中，打打破原有有的“一一臺服務務器一個個應用程程序”模模式。2、通過縮縮減物理理基礎架架構和提提高服務務器/管管理員比比率，降降低數據據中心成成本：由由于服務務器及相相關 IIT 硬硬件更少少，因此此減少了了占地空空間

27、，也也 HYPERLINK 減少了了電力和和制冷需需求。采采用更出出色的管管理工具具可以提提高服務務器/管管理員比比率，因因此人員員需求也也得以減減少。3、提高硬硬件和 HYPERLINK 應應用程序序的可用用性，進進而提高高 HYPERLINK 業務連連續性：可安全全地備份份和遷移移整個虛虛擬環境境而不會會出現服服務中斷斷。消除除計劃內內停機，并并可從計計劃外故故障中立立即恢復復。4、實現了了運營靈靈活性：由于采采用動態態資源管管理、加加快了服服務器部部署并改改進了桌桌面和應應用程序序部署，因因此可響響應市場場的變化化。5、提高桌桌面的可可管理性性和安全全性：幾幾乎可在在所有標標準臺式式機、

28、筆筆記本電電腦或 Tabblett PCC 上部部署、管管理和監監視 HYPERLINK http:/ 安全全桌面環環境，無無論是否否能連接接到網絡絡，用戶戶都可以以在本地地或以遠遠程方式式對這種種環境進進行訪問問。統一接入平平臺能為為您帶來來什么？統一接入平平臺是信信息化建建設中所所有信息息系統用用戶管理理功能核核心系統統，通過過它可以以對所有有信息系系統中的的部門、人人員、角角色進行行管理，所所有業務務系統可可以使用用提供的的接口快快速取得得人員、部部門、角角色信息息，以作作為其他他業務系系統運行行基礎，這這樣一來來，被納納入統一一用戶管管理的業業務系統統就不需需要自己己管理部部門、用用戶

29、、角角色信息息，從而而達到公公司基礎礎的部門門、人員員、權限限數據的的統一管管理；所所有客戶戶端也通通過它進進行單點點登錄，以以一個統統一的身身份進入入到在權權限范圍圍內的所所有信息息系統中中，所有有業務系系統可以以直接使使用。實現統一身身份認證證及單點點登錄，同同時可以以為企業業各信息息子系統統提供統統一、權權威的部部門、人人員、角角色信息息，消除除各系統統中人員員信息的的數據冗冗余。從從用戶管管理和維維護的角角度來說說為企業業提供人人員、部部門信息息的統一一管理和和維護功功能，并并通過周周密的日日志管理理確保系系統的穩穩定運行行，提高高了數據據的統一一性、唯唯一性，提提高了系系統的響響應速

30、度度維護速速度，減減少了維維護工作作量，提提高了維維護效率率。通過虛擬化化技術進進行應用用整合，從從而重構構服務器器架構，減減少服務務器物理理數量，增增加應用用的部署署彈性，簡簡化ITT管理，降降低運維維成本。提升服務器利用率的同時，降低管理的復雜度，減少管理人員的工作量，實現更加靈活和簡便的管理。新科技統一一接入平平臺簡介介新科技統一一接入平平臺是44A統一一安全管管理平臺臺解決方方案，即即融合統統一用戶戶賬號管管理、統統一認證證管理、統統一授權權管理和和統一安安全審計計等四要素素后的解解決方案案，涵蓋單單點登錄錄（SSSO）等等安全功功能，既既能夠為為客戶提提供功能能完善的的、高安安全級別

31、別的4AA管理。建立統一的的基礎軟軟硬件平平臺，企企業級的的單點登登錄系統統和安全全防護系系統，為為企業用用戶提供供統一的的信息資資源認證證訪問入入口，集集中管理理組織架架構和用用戶信息息，建立立統一的的、基于于角色的的和個性性化的信信息訪問問、集成成平臺；通過實實施單點點登錄功功能，使使用戶只只需一次次登錄就就可以根根據相關關的規則則去訪問問不同的的業務系統統， 提提高信息息系統的的易用性性、安全全性、穩穩定性；在此基基礎上進進一步實實現企業業用戶高高速協同同辦公和和企業知知識管理理功能。產品特點軟硬件融合合方案基于虛擬機機的應用用服務器器資源共享享?；谟脩裘峙涞牡臄祿鞄旒泄芄芾?。

32、單點登錄和和真正4AA管理的的統一接接入平臺臺。完備的單點點登錄對于未來新新建系統統，提供供基于44A的代理式式單點登登錄，融融合程度度高。對于歷史遺遺留系統統，提供供具備自自動抓取取分析的的適配式式的單點登登錄，快快速整合合。只需部署一一套系統統，就能能同時支支持多個個隔離網網段的單單點登錄錄。協議的跨平平臺，預預置jaava、.nett、phhp等多多個客戶戶端單點點登錄組組件，能能夠擴展展支持各各種技術術路線。同時支持wweb和和wapp的單點點登錄。登錄到統一一接入平平臺后，當當前用戶戶只能看看到有權權限的業業務系統統，做到到信息隔隔離，降降低安全全風險。統一資源目目錄的集集中授權權樹

33、狀目錄分分級結構構的統一一資源目目錄，實實現異構構信息資資源的統統一接入入。同時支持基基于角色色、組織織結構、人人員的多多種授權權方式。提供分級授授權功能能，可方方便為各各個業務系統統配置管管理員，分散業務系統授權工作壓力；為各個部門配置部門管理員，避免日常的賬號等數據配置工作集中在系統管理員上。各個業務系系統可分分別配置置獨有的的角色，互互相隔離離。功能權限和和數據權權限的統統一模型型，方便便管理。一站式的信信息聚合合處理在門戶將分分散在各各個業務務系統的的在辦、待待辦、已已辦等信信息集中中顯示。委托式的代代辦支持持。軟件功能模模塊涵蓋單點登登錄（SSSO）等等安全功功能，能能夠為客客戶提供

34、供功能完完善的、高高安全級級別的44A管理理，4A包括括統一用用戶賬號號（Acccouunt）管管理、統統一認證證（Auutheentiicattionn） 管管理、統統一授權權（Auuthoorizzatiion）管管理和統統一安全全審計（AAudiit）四四要素。 SKIPIF 1 0 系統的核心心功能包包括：賬號管理：包括樹樹形的組組織機構構管理、角角色管理理和用戶戶管理；身份認證和和單點登登錄：在在各業務務系統間間統一用用戶認證證標志，用用戶登錄錄后可以以得到用用戶令牌牌，各業業務系統統認可統統一的用用戶令牌牌，實現現用戶登登錄到所所有系統統的單點點登錄功功能。單單點登錄錄（Siing

35、lle SSignn Onn），簡簡稱為 SSOO，是目目前比較較流行的的企業業業務整合合的解決決方案之之一。SSSO的的定義是是在多個個業務系系統中，用用戶只需需要登錄錄一次就就可以訪訪問所有有相互信信任的業業務系統統。授權管理：包括各各個業務務系統功功能模塊塊的授權權管理和和對結構構化數據據的權限限管理。信息集成：信息集集成就是是通過各各種有效效的手段段和工具具將已有有各個系系統中相相關的信信息集合合在一起起，生成成滿足不不同用戶戶需求的的新的信信息集合合體，在在已有信信息的基基礎上實實現信息息價值的的增值。安全審計：對所有有用戶的的操作都都進行詳詳細的日日志審計計，并支支持日志志完整性性

36、檢驗機機制。個人控制臺臺定制系統集成到統一一接入平平臺的業業務系統統按照系系統管理理員配置置的應用用類型在在首頁中中分塊顯示示。用戶可根據據自己的的需要在在快捷導導航區定定制有訪訪問權限限的多個個業務系系統。待辦管理系統提供人人員代辦辦功能，每每個人都都可以設設置代辦辦人員，將將工作交交給代辦辦人員處處理，當當到達代代辦時限限后，系系統將自自動取消消代辦人人處理工工作功能能，將工工作交予予原處理理人處理理。注意：代辦辦時間段段不能重重復，如如果當前前用戶在在一段時時間內已已經有設設置代辦辦人，再再重復設設置時會會出現“該段時時間內已已經設置置代辦人人員”的提示示。原處理人可可以隨時時取消代代辦

37、。密碼修改系統會定期期提醒登錄錄用戶，強強制要求求修改密密碼，系系統的提提醒周期期可由管管理員定定制。用戶成功登登錄系統統后，可可隨時變變更自己己的用戶戶名和密密碼。賬號管理組織機構以樹型的結結構來展展示，以以保持與與實際生生產組織織機構的的對應關關系，更更直觀更更方便維維護。系統管理員員可以分分配部門門管理員員，部門門管理員員可以管管理轄內內部門信信息，可可以修改改部門信信息，增增加、刪刪除子部部門。應用角色基于角色的的系統安安全控制制模型是是目前國國際上流流行的先先進的安安全管理理控制方方法。統統一接入入系統支支持通過過分配和和取消角角色來完完成用戶戶權限的的授予和和取消，并并且提供供了角

38、色色分配規規則和操操作檢查查規則。安安全管理理人員根根據需要要定義各各種角色色，并設設置合適適的訪問問權限，而而用戶根根據其責責任和資資歷再被被指派為為不同的的角色。這這樣，整整個訪問問控制過過程就分分成兩個個部分，即即訪問權權限與角角色相關關聯，角角色再與與用戶關關聯，從從而實現現了用戶戶與訪問問權限的的邏輯分分離，角角色可以以看成是是一個表表達訪問問控制策策略的語語義結構構，它可可以表示示承擔特特定工作作的資格格。由于實現了了用戶與與訪問權權限的邏邏輯分離離，基于于角色的的策略極極大的方方便了權權限管理理。例如如，如果果一個用用戶的職職位發生生變化，只只要將用用戶當前前的角色色去掉，加加入

39、代表表新職務務或新任任務的角角色即可可。研究究表明，角角色/權權限之間間的變化化比角色色/用戶戶關系之之間的變變化相對對要慢得得多，并并且委派派用戶到到角色不不需要很很多技術術，可以以由部門門管理人人員來執執行，而而配置權權限到角角色的工工作比較較復雜，可可以由更更高級的的管理人人員來承承擔，但但是不給給他們委委派用戶戶的權限限，這與與現實中中情況正正好一致致。除了了方便權權限管理理之外，基基于角色色的訪問問控制方方法還可可以很好好的地描描述角色色層次關關系，實實現最少少權限原原則和職職責分離離的原則則。角色是根據據業務系系統來劃劃分的，當當點擊具具體業務務系統時時，右側側列表就就顯示該該業務

40、系統統對應的的角色?？勺孕行陆ń?、修改改和刪除除角色。可批量導入入角色和和用戶的對對應關系系, 當用戶戶擁有業業務系統統對應的的角色后后，則該該用戶默默認能單單點登錄錄該業務務系統。能夠查看角角色的信信息、對對應的所所有用戶戶以及角角色被分分配的所所有權限限。用戶管理用戶管理包包括用戶戶的增，刪刪，改，密密碼管理理，用戶戶狀態管管理即賬賬戶注銷銷，賬戶戶停用，賬賬戶啟用用。部門管理員員管理轄轄內人員員信息，可可以增加加、刪除除和修改改人員信信息，可可以重置置人員密密碼。系系統增加加或者刪刪除一個個人員則則相應的的增加或或者刪除除一個用用戶的賬賬戶，每每新增一一個人員員賬戶，賦賦予該賬賬戶一個個

41、初始化化密碼。系統采用目目錄樹的的形式展展現部門門與人員員的隸屬屬關系。 用戶信息如如下圖所所示，每每個用戶戶可以配配置多個個應用角角色。用戶檢索：用戶可可以按部部門查詢詢人員信信息，查查詢輸入入條件主主要包括括：姓名名、工號號和賬號號狀態等等。初始化密碼碼：系統統管理員員和部門門管理員員都能夠夠批量初始始化其轄轄內的用用戶密碼碼。注銷賬號：對于不不再使用用的用戶戶，管理理員可以以選將其其注銷，注銷操作是不可恢復的。已注銷的用戶，在查詢時選擇狀態為“注銷”即可查詢到。賬號停用：對于暫暫時不使使用的用用戶，可可以選將將其停用用，與注注銷操作作不同的的是，停停用的用用戶是可可以通過過啟用來來恢復使

42、使用的。如如果用戶戶管理中中創建或或修改賬賬號時，指指定了賬賬號的有有效期，超超過有效效期后，該該賬號也也會自動動被停用用。已停停用的用用戶，在在查詢時時選擇狀狀態為“停用”即可查查詢到。賬號啟用：要恢復復停用的的賬號，只只需在列列表中將將其檢索索出來后后，選中中，然后后點擊“啟用”按鈕，確確認后即即可。對對于因為為超過有有效期而而停用的的賬號，除除了要將將其狀態態改為啟啟用外，還還需要修修改用戶戶信息，為為其重新新指定有有效的使使用時間間才能恢恢復使用用。單點登錄實現用戶對對系統訪訪問的身身份認證證和單點點登錄功功能。單點登錄系系統的實實現在各各業務系統統都采用用B/SS模式這這一前提提下進

43、行行。需要在各業業務系統統間統一一用戶認認證標志志，用戶戶登錄后后可以得得到用戶戶令牌，各各業務系系統認可可統一的的用戶令令牌。用戶令牌應應當是安安全加密密的，并并且要限限定時效效期。傳遞用戶信信息等敏敏感數據據使用SSSL（Secure Socket Layer）進行通信。各業務系統統可能屬屬于不同同的域，因因此要實實現跨域域的單點點登錄。已經上線運運行的業業務系統統需要進進行改造造來支持持單點登登錄，正正在開發發的業務務系統則則可以在在開發階階段增加加對單點點登錄的的支持，但但業務系系統之間間應該是是松耦合合。 認證策略只需通過配配置，就就能支持持基于數數據庫或或者LDDAP的的用戶認認證

44、。登錄設置設定webb登錄的的sesssioon超時時時間。設定wapp登錄：啟用手機號號碼登錄錄，選中中此項，選選擇手機機號碼所所要綁定定的賬號號，點擊擊“確定”按鈕，即即可保存存辦公輔輔助系統統WAPP登錄時時的設置置；啟用用手機登登錄后，用用戶登錄錄只需提提供登錄錄密碼即即可，密密碼驗證證通過后后，即完完成綁定定賬號的登登錄。代理式的業業務系統統注冊 SKIPIF 1 0 支持多個網網段的業務系系統訪問問，我們們只需要要將系統統的多個個網段地地址錄入入到對應應的位置置，當我我們從不不同網段段登錄到到統一接接入平臺臺中時，系系統會根根據訪問問的地址址，自適適應到對對應的網段進進行業務務系統

45、訪訪問。待集成子系系統需要要先注冊冊到統一一接入平平臺中。在在系統菜菜單選擇擇“單點登登錄應用用注冊”進入應應用注冊冊管理頁頁面，如如下圖所所示：在的應用注注冊列表表界面，可可以根據據應用名名稱、訪訪問類型型（WEEB和WWAP），支支撐廠商商及應用用類型來來檢索數數據，系系統支持持模糊查查找。點擊“應用用類型”按鈕能夠夠自定義義業務系系統的類類型。定義應用用類型用用于對業業務系統統進行分分類，在在用戶登登錄統一一接入平平臺后，會會自動按按照類型型顯示當當前用戶戶能夠訪訪問的業業務系統統?？蓪米⒆孕畔⑾⑦M行新新建、修修改和刪刪除操作作。適配式的業業務系統統注冊“適配式”單點登登錄是指指通

46、過被單單點登錄錄的業務務系統為已已在用系系統，存存在獨立立的用戶戶賬戶信信息和權限管管理，采采用4AA方式改改造工作作量大，在統一接入平臺建立當前用戶賬戶與被單點登錄業務系統賬號的對應關系。由管理員操操作。能夠根據被被集成的的業務系系統的首首頁登錄錄地址，自自動抓取取和分析析登錄參參數，無無需人工工錄入；在自動動抓取無無法成功功的情況況下，支支持人工工輸入的的方式。 SKIPIF 1 0 適配式的業業務系統統賬號配配置用戶選擇管管理員已已經注冊冊的適配配式的業務系系統，并并填入相相應的用用戶名和和密碼，為為保護用用戶的數數據安全全性，對對在數據據庫中保保存的用用戶名和和密碼進進行加密密處理。權

47、限管理權限管理體體現的是是“什么人人”可以對對“什么資資源”進行“哪些操操作”。在抽象層次次上，各各個業務務系統的的功能模模塊與被被保護數數據都是是資源，對對被保護護的資源源進行訪訪問時，將將要訪問問統一接接入系統統的權限限管理接接口判斷斷是否能能夠訪問問被保護護資源。統一接入平平臺能對對按照規規范整合合進來的的業務系系統功能能權限進進行統一一管理。統一資源目目錄統一資源目目錄是構構建企業業信息資資源整合合和管理理平臺的的基礎設設施，是是進行資資源整合合的主線線，統一一資源目目錄基于于統一的的封裝機機制，實實現異構構信息資資源的統統一接入入。為同于于提供的的信息源源導航，給給用戶提提供訪問問所

48、有應應用系統統的統一一入口。從用戶業務務的角度度出發，統統一所有有的信息息資源，包包括業務務應用邏邏輯組件件、結構構化數據據、非結結構化數數據(文文檔、圖圖片等)、WEEB鏈接接等。統一資源目目錄體現現為樹狀狀目錄分分級結構構(類似似于Wiindoow資源源管理器器)，一一般按照照各業務務系統的的業務范范圍進行行欄目劃劃分。授權控制管管理是建建立在統統一用戶戶目錄管管理的基基礎上，在在同一資資源目錄錄的管理理下對信信息資源源進行統統一的授授權?；诮y一資資源目錄錄，對不不同的資資源授權權，因統統一資源源目錄映映射到各各業務系系統的功功能模塊塊或者子子系統中中，從而而在授權權時，不不用關心心該應

49、用用在什么么位置，只只需根據據靈活的的授權策策略進行行授權即即可。支持自定義義用戶組組（如角角色）來來進行批批量的授授權管理理。業務系統注注冊完成成之后，需需將集成成的業務務系統的的功能按按樹型結結構組織織數據，配置業務系統的每個功能的操作屬性。如上圖所示示，統一一接入平平臺在業業務系統統注冊后后，會按按照業務務系統的的應用類類型展示示為樹形形結構，可可對業務務系統分分類組織織定義需需要設置置權限的的功能點點，并定定義功能能點的操操作類型型。分級授權與機構單位位實際組組織體系系和處理理模式相相適應，用用戶授權權管理通通常情況況下可能能需要實實現分級級管理，支支持多級級授權管管理體系系。系統管理

50、員員初始由由數據庫庫創建，系系統管理理員可以以指定新新的系統統管理員員和部門門管理員員。實現授權的的分級委委托管理理，系統統管理員員可以按按照不同同的部門門將管理理任務劃劃分并分分配給不不同的業業務部門門來分散散授權，而而下級的的業務部部門的管管理員也也可以根根據實際際需要繼繼續劃分分管理任任務從而而再次授授權更下下級的管管理員進進行身份份和授權權管理，這這樣大大大減輕了了管理員員的負擔擔。各級級管理員員只能管管理自己己被分派派的用戶戶，而不不能瀏覽覽或修改改其他管管理員所所管理的的用戶信信息和權權限信息息。授權管理系統的所有有功能都都有相應應的權限限控制，只只有系統統管理員員才能使使用系統統

51、的全部部功能，普普通用戶戶或應用用管理員員要使用用某功能能，可以以通過管管理員或或模塊權權限擁有有者授予予權限。實實際上，只只有系統統管理員員或被系系統管理理員賦予予“授權管管理”的人員員才有“授權管管理”的功能能。而授授權管理理就是設設定用戶戶進入系系統后可可以查看看哪些界界面，以以及可以以操作哪哪些功能能。以獎品管理理系統的的“中獎導導出”功能的的權限管管理為例例，左邊邊以樹形形羅列出出該系統統的所有有模塊（菜菜單），即即上文提提到的統統一目錄錄。右邊邊分別有有幾個ttab頁頁面，分分別為授授權記錄錄，詳細細信息及及授權。授權記錄顯顯示當前前功能已經經被授權權的情況況，如上上圖所示示把該功

52、功能的“瀏覽”操作權權限授給給兩個角角色，分分別是“項目經經理”和“管理員員”，把“導出”操作權權限同樣樣授給這這兩個角角色。可批量刪除除已授權權記錄。點擊“詳細細信息”的taab，可可以看到到具體哪哪些人員員擁有“中獎導導出”功能的的各種操操作權限限，如下下圖所示示。授權畫面能能夠對“中獎導導出”功能的的操作功功能授權權給用戶戶或者角角色。按人員，就就是直接接指定權權限擁有有者，可可以同時時選擇多多個人員員；按角色，則則擁有該該角色的的所有人人員都擁擁有分配配的權限限。數據權限數據信息條條目納入入統一的的信息資資源目錄錄體系，使使得用戶戶所看到到的信息息條目會會根據用用戶身份份的不同同實現個

53、個性化的的信息條條目展示示。能夠進行數數據權限限整合的的只能是是那些權權限通過過表數據據來保存存的模式式，對于于直接在在程序中中固化的的數據權權限不納納入整合合范圍。需要進行數數據權限限配置的的可采用用批量導導入的方方式，減減輕工作作量。安全審計精確地記錄錄用戶的的日志，可可按日期期、地址址、用戶戶、資源源等信息息對日志志進行查查詢、統統計和分分析。審審計結果果通過WWeb界界面以報報表的形形式展現現給管理理員。登錄日志檢索條件分分為日期期范圍、姓姓名、工工號、IIP地址址等等，檢檢索條件件可以根根據需要要自行選選擇輸入入或者都都不輸入入，輸入入檢索條條件后點點擊“檢索”按鈕即即可。用于分析用

54、用戶的登登錄情況況。操作日志用戶在操作作各個業業務系統統中形成成的操作作日志的的集中管管理。信息集成信息集成就就是通過過各種有有效的手手段和工工具將已已有信息息集合在在一起，生生成滿足足不同用用戶需求求的新的的信息集集合體，在在已有信信息的基基礎上實實現信息息價值的的增值?，F有業務系統現有業務系統界面業務邏輯和功能信息和數據門戶系統界面業務邏輯和功能信息和數據各種應用接口如：SOAP,API數據網關提供的界面直接抓取調用，包括主動和被動的方式實現內容合合并，內容合合并涉及及從完全全不同的的來源搜搜集內容容，然后后在單一一界面（門門戶）中中顯示該該內容。通通過使用用內容合合并功能能，門戶戶可顯示

55、示統一的的視圖，其其中的內內容可能能屬于不不同的所所有者、來來自不同同的生產產位置或或包含在在不同的的系統中中。集成接口在統一接入入平臺上線線后，各各業務系系統將不不再保存存組織機機構和人人員信息息，各業業務系統統的全部部功能菜菜單權限限和部分分數據權權限將由由統一接接入系統統管理。因因此統一一接入平平臺在與與各業務務系統集集成時將將需要向向各業務務系統提提供關于于組織機機構、人人員數據據和權限限判斷方方面的接接口。接口可以采采用兩種種方式進進行提供供：1、數據庫庫方式：通過提提供受限限的數據據庫訪問問用戶訪訪問開放放的視圖圖和存儲儲過程來來實現接接口提供供。這種種方式的的優點在在于響應應速度

56、快快。缺點點在于可可擴展性性比較差差，無法法承載邏邏輯比較較復雜的的業務；安全性性有所欠欠缺。2、通過WWeb Serrvicce接口口提供：通過基基于htttp協協議承載載的xmml文檔檔來實現現接口提提供。這這種方式式的優點點在于可可擴展性性強，定定義良好好的接口口在面臨臨業務邏邏輯變化化時可以以通過內內部的程程序實現現的切換換解決，此此外可以以利用一一些如緩緩存等機機制來提提高系統統響應速速度。缺缺點在于于xmll文檔的的生成和和解析的的效率相相對較低低。建議采用WWeb Serrvicce接口口提供。主要的接口口有以下下幾個：1、部門的的查詢接接口：提提供訪問問根部門門數據、訪訪問下級

57、級部門（直直接或者者迭代）列列表數據據，訪問問上級部門門數據，完完整部門門樹數據據、根據據id獲獲取部門門數據、部部門查詢詢等接口口。2、人員訪訪問接口口：提供供羅列部部門下所所有人員員數據、根根據idd獲取人人員數據據，人員員查詢等等接口。3、權限驗驗證接口口：提供供訪問人人員是否否有某個個資源的的特定操操作的接接口。具體接口的的協議詳詳見開發發手冊。組織機構查查詢獲取部門樹樹的根節節點，獲獲取指定定部門下下的下級級部門列列表等數數據。組織結構信信息表數數據，可可查詢部部門的編編號，名名稱，上上級部門門等信息息。用戶信息查查詢用戶基本信信息表，用用戶分組組信息表表，和組組織結構構信息表表中的

58、數數據，直直接通過過該視圖圖可直接接查詢人人員的角角色，部部門，所所在應用用系統，是是否管理理員等信信息。用戶角色查查詢用戶分組信信息表，角角色應用用配置表表中數據據，可直直接查詢詢到人員員的編號號，姓名名，角色色，所屬屬應用系系統等信信息。代辦查詢用于獲取當當前時間間內指定定人員可可為哪個個員工代代辦處理理工作。權限查詢用于判斷人人員對某某個業務務系統的的某個功功能點的的指定操操作是否否擁有權權限。信息集成用于各個業業務系統統把相關關需要集集成的數數據匯總總到統一一接入平平臺中。日志接口用于將業務務系統操操作的過過程數據據同步到到統一接接入平臺臺中，以以便管理理員維護護日常重重要數據據、監測

59、測系統使使用情況況、以及及定位系系統錯誤誤。集成組件為避免各個個業務系系統重復復開發，節節約項目目成本，統統一接入入平臺解解決人員員和部門門數據跨跨域傳輸輸問題，提供部門和人員選擇組件供各子系統調用，各業務系統對于人員和部門的選擇功能可直接使用統一接入平臺提供，不需再次開發。部門調用組組件詳見見上圖。硬件部署說說明虛擬機虛擬機是一一種嚴密密隔離的的軟件容容器，包包含基于于軟件實實現的虛虛擬處理理器（CCPU）、內存（RAM）、硬盤（DISK）和網卡 (NIC)，完全類似于一臺物理計算機，可以運行自己的操作系統和應用程序。虛擬機有以下幾個特性：兼容性：虛虛擬機與與所有標標準X886計算算機兼容容

60、，可以以使用虛虛擬機來來運行物物理計算算機上運運行的所所有相同同軟件隔離：虛擬擬機彼此此之間相相互隔離離，就像像它們是是不同的的物理機機，某個個虛擬機機的崩潰潰不會影影響宿主主機和其其他虛擬擬機的運運行；封裝：虛擬擬機將整整個計算算環境封封裝起來來，一整套套虛擬硬硬件資源源與操作作系統及及其所有有應用程程序捆綁綁或“封封裝”在在一個軟軟件包內內，使虛擬擬機易于于管理，并并且具備備了超乎尋尋常的可可移動性性，易于于移動、復復制和備備份；獨立于硬件件：虛擬擬機獨立立于底層層硬件運運行，可以為為虛擬機機配置與與底層硬硬件上存存在的物物理組件件完全不不同的虛虛擬組件件（例如如，CPPU、網網卡、SSC