门户平台withTivoli方案建议IBM

1、ABC公司安全门户平台方案建议IBM公司上海分公司软件部2005年6月 U内 容TU1.UTTU需求分析UT2TU1.1业务概况UT2TU1.2 现有的问题UT2TU1.3 项目需求UT3TU2.UTTU解决方案UT4TU2.1方案设计原则（Project Description）UT4TU2.2 方案系统结构（System Context）UT5TU2.3 系统结构简介（Service Architecture Overview）：UT1TU客户端UT8TU防火墙UT8TU安全层（DMZ）UT8TU应用层（Internal）UT9TU用户管理考虑UT14TU方案优势UT21TU2.5方案实体

2、架构及概述UT22TU2.4应用平台开发环境考虑UT23TU3.UTTU问题解答UT25TU4.UTTU软件配置UT281. 需求分析本项目的目的在于帮助ABC公司建立一套完整的公司安全门户平台，利用公司已有的IT基础和应用，对内提升企业营运绩效，并对外提供客户优质服务。此平台可由基本的模式开始架构，依照业务需求有效的迅速扩展，同时考虑到系统开发维护的合理性与投资的回报率(ROI);并能协助迅速实现具有优势的新兴业务，从而带给公司更佳的经济效益。1.1业务概况经过多年的IT建设，ABC已经建成或者在建多个应用系统。其中，有基于C/S方式开发的传统应用； B/S方式开发的Web应用，公司使用多年

3、的Lotus邮件和OA系统，以及公司购买的成熟应用（例如SAP的ERP系统，CRM系统，国内某公司的财务系统等）1.2 现有的问题ABC公司在IT部门的技术支持下，多年来，在业务上取得了极大的发展，但是，随着公司的业务的增加，市场竞争的加剧，IT部门遇到了越来越多难以解决的问题：l 难以迅速响应业务部门的新需求。在激烈的竞争环境下，业务部门经常提出新的业务需求，可是由于开发的Web应用往往是“牵一发，动全身”，造成技术部门无法及时实现业务需求，失去了宝贵的市场机遇l 应用功能重复建设。在各个开发的Web应用中，往往花费大量的时间在构建安全模块，管理模块，展现功能模块，应用连接模块等，这极大的影

4、响了项目的进展，同时也给项目质量的控制和未来的应用管理带来不必要的问题l 各个系统用户管理独立。用户需要记得大量的口令，管理员需要使用多种用户管理工具来对用户信息和账号信息进行管理，权限管理分散，企业无法集中管理用户信息l 企业信息交流不畅。公司员工和客户无法利用网络迅速得到相关的信息和知识。极大影响了企业的目标实现1.3 项目需求ABC公司经过和IBM公司软件部技术专家的沟通后，希望通过建设一个安全门户平台来帮助ABC公司解决遇到的问题。通过本项目的实施，希望实现以下的目标l 系统能切实满足工作的需要，解决业务问题。l 系统能够建设并成为单一业务工作平台，成为企业未来发展的基准Web平台。l

5、 工作平台支持插件化的应用部件方式，提供基础功能，帮助迅速实现业务需求。l 客户端采用单一的浏览器，无需安装其它客户端程序，简化IT部门管理。l 能够通过工作群组的运作，使公司各部门、分公司、总部相互交流信息，以达到文件的有效沟通及应用程序、网络资源共享的目的，进而实现无纸化办公并进入知识工作的领域。l 实现集中统一的用户控制，并具有SSO (Single Sign On)功能，以减少用户需要记忆的密码数量l 统一用户信息，集成现有系统的用户管理方式。l 提供授权管理，基于用户角色进行访问的控制。2. 解决方案2.1方案设计原则（Project Description）l T可扩展性T：优良的

6、体系结构设计对于系统是否能够适应将来新业务的发展至关重要。在满足现有ABC项目的需求基础上，此方案应考虑到系统充分的可扩展性，以满足原有业务未来的扩展性及新业务的发展。因此，在本方案设计中，所有推荐的产品均考虑到应用及系统不断扩展的要求，以形成一个易于管理、可持续发展的体系结构。未来业务的扩展只须在现有机制的基础上，增加新的应用与服务模块。l T经济性：T本方案严格地从经济成本与效益角度考虑，能简单快速地建设平台，充分利用现有的应用系统和IT投资，从而尽快为ABC提供回报;本方案也考虑到如何对投资进行保护,随着平台业务的发展与扩充，增值平台的任何一部分均可相对独立地扩充。本系统未来应用的扩展将

7、是叠加式的，而不是取代式的。l T先进性T：设计方案中采用市场领先的技术，使项目居于国内外同业领先的地位。特别是安全门户平台设计方面，推荐采用IBM先进的TAM（Tivoli Access Manager）、TIM（Tivoli Identity Manager）、WPS（WebSphere Portal Server）的解决方案。l T标准性和开放性T：本项目中建议的产品包括IBM公司以及第三方厂商的产品，从网络协议到操作系统，全部遵循通用的国际或行业标准。l T系统安全性T：基于国际通用安全标准BS7799，全面考虑系统安全性。采用防火墙技术，防范Internet上的非法用户侵入，防止合法

8、用户对重要不宜公开资料的侵入。重要资料的通讯采用SSL（Secure Socket Layer）进行传输加密。l T多语言支持：T系统全面支持多语言处理，包括资料格式、应用平台与开发工具等。l 多终端设备支持：由于ABC公司的核心业务会涉及到不同的使用者终端设备，本系统除了对客户端作最低限度的要求，并由服务器端提供不同的终端设备“一次处理，多方展示”的功能。l T用户集中管理支持：T系统希望帮助ABC公司实现用户集中管理，基于现有应用背景实现集中认证和授权管理2.2 方案系统结构（System Context）本系统的建立，将基于ABC公司现有的IT应用和基础，并以此为背景，进行建设。从而希望

9、对于ABC已有的IT投资进行保护，在尽量小影响ABC日常工作的前提下完成项目的实施。2.3 系统结构简介（Service Architecture Overview）：本次项目中，ABC公司的新建系统，在系统结构上，将为用户提供多种不同的服务。2.4 系统逻辑结构（System Topology Picture）：本方案的逻辑架构如下：l 客户端：这包括各种不同类型的终端设备以及无线电话接入设备。同时支持ABC公司的合作伙伴的数据交换和信息交互。l 防火墙：此方案建议ABC公司至少考虑有一个防火墙(图中第一道"防火墙")。图中的第二道"防火墙2"是为了方

10、便逻辑上解释流程。它和“防火墙1”可以是同一个物理防火墙。l 安全层：此层面是提供与设备接入有关的服务，如负载均衡功能，高速缓冲功能，TAM认证反向代理服务（WebSEAL），内部网域名服务等。此层面将不涉及到应用逻辑，更不涉及到ABC公司核心业务逻辑。l 应用层：这一层面包含了门户网站逻辑，用户管理以及各种业务系统，其中，根据ABC公司现有的应用状态，可以由Web应用服务器和门户服务器来形成新的门户服务。l 公司内部资源：这一层包括ABC公司的Intranet，包括各种已经存在的应用系统，形成ABC公司的IT资源，也是安全门户需要访问和利用的资源。以下我们就每一部分做详细的解释：2.4.1客

11、户端我们考虑到此应用将会被很多不同层次的用户，在不同的环境之下所使用，很多终端设备是不允许或不可能安装特殊client软件，因此，本方案对客户端的要求是最低的。从ABC的角度考虑，客户端越简单，就越容易管理和维护，且有利于降低成本及新业务的快速扩展，从而提高ABC运营的经济效益。我们对客户端的要求和设想如下：1. PC + Browser2. WAP手机 3. PDA+手机模块2.4.2防火墙外网防火墙是网站中将系统平台与外部网络隔离开的防火墙，用于建立安全的网络运行环境，形成对平台服务器的保护，防止外网方面的攻击。其主要功能如下：1. 基本的IP包过滤2. 屏蔽访问所不需要的端口，基本上只是

12、开通负载均衡服务器或WPS服务器的端口3. 可以通过配置实行防病毒检测4. 允许合法用户的请求通过2.4.3安全层（DMZ）安全层只负责接入，迅速地分发请求，并传给后台的门户网站服务器。这一层面提供工作负载均衡、分配功能以及信息缓冲功能。当ABC公司应用服务平台需要多台门户网站服务器(WPS)时，负载均衡服务器的必要性就显示出来了。传统和常见的负载均衡服务器并不能彻底解决负载瓶颈问题，因为请求和反馈的资料包均通过同一负载均衡服务器。实际上瓶颈问题并没有彻底解决，只是把问题前置了。而IBM的负载均衡方案是应用IBM的独特技术，使得请求从负载均衡服务器进来，而反馈直接从门户网站服务器传递到clie

13、nt端或客户端的代理服务器。这不但使负载均衡机制本身不会变成瓶颈，而且大大强化了传输效率。因为通常情况下，请求的数据量是很小的，而应答的数据量是较大的。另外，IBM的负载均衡服务器可将被它均衡的后台服务器隐藏起来。也就是说只有负载均衡服务器本身需要一个公用网络的IP地址，后面所有的应用门户服务器只需有内部Intranet的IP地址即可。这种做法让外界无法知道ABC公司内部网络的拓扑结构，无形中为ABC公司应用平台带来额外的安全保障。最后，IBM的负载均衡机制是可避免用户"绕道而行"的。传统的负载均衡机制除了本身有公用网络的IP地址外，被均衡的服务器也要有公用网络的地址。这意

14、味着客户端只有第一次访问时必须要通过负载均衡服务器，一旦访问成功，客户端便会知道后台系统的IP地址。客户端可直接输入门户网站服务器的IP地址进行访问，而失去负载均衡服务器的功能。注明：在一开始时，如果业务量不大，您可先不考虑负载均衡机制。也就是说，系统只有一台门户网站服务器。在这种情况下，只有这台服务器需有一个公用网络的IP地址。在接入管理层中，还提供了认证方向代理的服务，它和负载均衡服务器配合，得到用户对于内部资源访问的每一个请求。对于客户的请求，认证代理服务器将和认证/授权服务器进行联系，做出用户访问是否合法的判断，接受或者拒绝用户的访问。2.4.4应用层（Internal）安全门户应用层

15、是门户服务器(WebSphere Portal Server)、认证服务器（Tivoli Access Manager）和用户管理服务器（Tivoli Identity Manager）。我们认为，所有外界对业务系统的沟通和访问都建议通过门户服务器。这样做的好处如下：1. 提供统一的应用操作渠道和平台。用户不应该直接与任何后台业务系统打交道。客户端直接与后台系统打交道既不安全，且效率又低。而且在三层架构系统下，一定要避免客户端与服务器端（Client/Server）直接连接的模式。2. 由于客户端间接接触业务系统， ABC公司可高度的控制和管理门户服务器。3. WPS 可提供统一的用户管理机制

16、(通过WPS与TAM的合作)。管理员可随时更新对后台系统操作的控制。4. 这样的做法是根据在Internet或电子商务应用中所涉及的设计方法论 (Design Pattern) ，这个方法论叫Adapter Pattern，是经由多年来IT业界经验产生的：如果一个旧的系统与一个新的系统需要沟通，或者两种不同技术所开发的系统需要沟通时，最佳的解决方法就是在旧系统前建置一个"前置机制"。在ABC公司的项目中，一方面是基于Internet及电子商务渠道的应用(如Browser)，另一方面是现有的基于不同技术的ABC业务系统需要沟通，最好的解决方案就是架构门户服务器 (WPS)。I

17、BM 的WPS解决方案能确保ABC公司主要Web业务的稳健：² WPS的运行是应用MVC (Model-View-Controller) 模式。MVC是另外一个著名的设计方法论，此方法论提供了将接口、逻辑和资料分开的最佳解决方法。使用WPS开发应用时，开发人员不需要知道特殊的理论或MVC的开发技巧，WPS会指引您遵循MVC的原则去开发。为什么我们建议ABC公司此项目要使用MVC的原理呢? 因为您的核心业务工作人员要针对不同的终端，提供不同的接口服务。最理想的方式，就是构建一套资料源，一套应用逻辑，开发者只需在不同的显示层面上做少量工作。ABC公司可针对不同的新终端设备提供服务，从而降

18、低开发和运营成本。WPS支持使用JSP (Java Server Page) 或Style Sheet及XSLT技术，以提供不同的接口，并提供现成的逻辑让您在Portlet中调用JSP或Style Sheet。² WPS全面支持Apache Open Source组织的Portal Framework (即是 JetSpeed)。实际上，超过80% Portal Framework标准的实施是IBM贡献的。这个业界标准的好处是它提供一个标准接口和部署应用组件的机制，使您可与不同应用系统或资料源连接和整合，再把整合好的结果个性化地展现给终端用户。由于使用WPS开发的应用都变成组件化了，

19、您可以动态地部署到应用服务平台上，而且您可控制这些组件的可操作性 (读、写、更新及控制等)。由于您希望您提供的防伪认证服务是 7 x 24 不间断的，组件式的应用使您能动态地部署新的或更新现有的应用模块。² WPS内含支持WAP协议所涉及的标准，您可以很容易的支持基于WAP协议的浏览器，而不需要另一套支持WAP的逻辑。这种支持是经由WPS内部机制所提供的，您所需要做的工作只是开发不同的Portlet，如下图所示：ABC公司的重点在开发不同的Portlet (图中间众多的小方块)以及Portlet所涉及的资源 (如HTML、JSP、Java classes、XSL及应用程序等)。由于W

20、PS是运行在Web Application Server 之上，Portlet 可享受到所有application server所提供的机制性服务，如Data Pooling、J2EE的所有功能、平台管理、性能调节、及底层的各种与外界连接的方式。² 我们认为个性化服务是本系统里一个核心的必要功能。本系统有必要针对不同的用户提供不同的服务内容与接口，而这种个性化服务不是简单的内容过滤，它是要在应用层面实行个性化。WPS除了具有可根据业务规则、个人信息及权限作个性化处理之外，还提供规则引擎(Rule Engine) 和建议引擎(Recommendation Engine)。随着您业务的扩

21、展及资料的累积，建议引擎将为您提供一个挖掘新信息和新业务机会的机制，并提供交互销售的功能。² IBM的WPS解决方案为您提供了一个统一的client端操作接口。对于ABC公司系统来讲，除了处理外部电子商务，还有很多内部系统需要处理，WPS可以为这些应用系统提供一个统一的客户端平台，各个系统不需有自己的特定客户端。传统的Client/Server结构，各系统有自己的特定客户端，会产生下列弊病：² 开发和维护成本高。IT的经验告诉我们，大部分以Client/Server结构开发的应用系统，均有一部分逻辑放在客户端 (这是因为所有开发Client/Server结构应用的工具都是用

22、这种哲理提供的)，业务逻辑或流程的改变会引起客户端的改变。而客户端的改变会影响工作效率，同时，在很多情况下需要应用提供商亲自出马进行程序更新，您的服务支持中心更需要大量资源来支持每次的升级。² 很多种现代式终端是不允许第三方安装特殊程序的，所有的客户端逻辑都应该从服务器端处理，如果您的系统还是按照Client/Server结构去做的话，那就大大限制了业务扩展。² 由众多的不同客户端来操作不同的后台应用系统，已经证明是很不方便的，特别是对不懂计算机的用户而言，要学的东西过多，他们应将时间用在业务与服务客户(即您的收入来源)上。传统的Client/Server应用模式告诉我们，

23、太多的人花费太多不必要的时间在操作IT系统和应用上。² 不同应用是经由不同的平台来整合，它们之间的沟通不是最佳化的，因为它们并没有一个共同接触点。而通过WPS这样的门户服务器，它们之间的沟通只是调用它们之间功能的步骤之一，从而大大简化了企业应用整合 (Enterprise Application Integration)的处理。² 一个很重要的问题，是从门户服务器如何与后台不同的业务系统连接和作交互式工作。我们分为几个情况来解释：² WPS与Domino连接：与Domino/Notes 连接可使用不同的方式。WPS 提供一些现成的Portlet，以与Domino

24、的功能连接，如e-mail、To-Do、Calendar、Team Room、Lotus SameTime、Lotus QuickPlace 等现成的OA Database功能。另外，WPS 可与二次开发的Domino程序经由 Java API 来连接。Domino 主要是用来处理工作流程，在开发Domino 应用时，我们建议用Java来开发，这样经由 Java 的 RMI 机制就可与WPS连接。WPS如果需要与Domino文件资料相连接，WPS的 Portlet可直接经由Domino JDBC或ODBC连接撷取资料，或经由WebSphere中的EJB功能去连接Domino文件资料。²

25、; WPS与本地内容连接：与本地内容连接包括静态和动态信息。WPS可与文件系统里的HTML、JSP等直接连接，也可通过现成的JSP或Style Sheet Portlet 来调用静态文件，这和传统的Web信息发布没有区别。对于动态信息的连接，您可通过WPS的Portlet来调用。我们建议您采用MVC的模式来开发Java Portlet 程序，Model 在这里是资料源的定义或连接方式，View在这里是指接口。如果信息是通过 Java 程序来撷取，用Java Server Page (JSP)来显示；如果信息是从XML方式得来的，则用Style Sheet (XSL或XSLT)方式显示。Cont

26、roller在这里是用Portlet 或 Servlet写的控制程序，它好象一个"交通警察"一样，指挥在应用门户上运行的逻辑步骤。一个简单的MVC流程是这样的：客户端请求(调用Servlet或Portlet)->Servlet或Portlet 决定下一步做什么->譬如通过Access JavaBean或EJB或JDBC机制，从数据库撷取资料 -> 把资料存放在一个叫DataBean的对象里-> 假如，下一步是要展现内容，Controller Servlet可直接调用JSP，或者可直接利用Portal Framework调用JSP Portlet把内容

27、放在一个Response对象里，传递给客户端。WPS的优势在于提供调用JSP的机制也就是Runtime支持MVC的体现。² WPS与异地内容连接：这里我们利用Adapter Pattern方法论。异地的内容一般是包含在一个资料包裹，我们建议资料的定义应尽量使用XML技术，再经由某种讯息队列机制传递到中心系统平台。Portlet或Servlet可调用讯息队列API来取得资料，由于WPS直接支持XML，它可调用Style Sheet的Portlet来显示或经由XSLT转换成另外一种格式。假如异地信息只是一个URL，WPS可直接使用超连接的方式。ABC公司可基于Web Services相关

28、的协议，动态地寻找和集成现有的应用功能。譬如，ABC系统管理员可通过浏览器在网上通过UDDI Registry 搜索异地的Portlet，如果这些Portlet的功能或内容能满足您的要求，开发人员在设计时便可把这些功能集成进来。在运作时，不需改变任何程序或代码。这意味着，ABC可把一些通用和可共享的功能放在一个内部的UDDI Portlet Registry，不同的应用即可经由WPS，动态的提供共享应用功能。如下图所示：n WPS与后台数据库连接：在新一代的电子商务应用中，与数据库的连接一般都是通过某种类型的连接池。如果数据库是在Intranet或WAN上，可从WPS的Portlet，使用程序

29、调用相关API连接不同的数据库，如EJB、Connection Manager API及Access Bean API等。n 如果数据库是通Internet连接的话，我们建议经由某种数据库所在系统上的前制机制也就是利用Adapter Pattern的方法论，使用前制程序把资料撷取出来，经过封装，再通过讯息队列机制传给WPS所在系统，再由WPS上运行的Access Bean或其它程序从本地队列里提取资料，提取资料之后的处理方法则与WPS与本地内容连接的方式是类似的。n WPS与其它系统连接：无论是与在同一平台或其它平台上的其它系统连接，都可遵循一些基本原则：ü 如果对方系统支持Java

30、，您可经由Java RMI或直接调用API来连接。ü 如果对方系统不支持Java，而可生成XML资料，Portlet可经由XML分析器 (Parser) 来处理，然后再进行正常处理，类似WPS与本地内容连接方式。ü 如果得到的XML信息可直接交给客户端（有可能是另外一个模块），程序可直接调用现成的Style Sheet Portlet进行页面组合。n WPS与现有Client/Server系统连接：WPS的优势之一就是经由统一的平台把信息显示给用户，也就是用户可经由一个统一的接口操作所有的应用系统。我们分析一下现有的Client/Server应用模式，将它的接口、逻辑和资料

31、归类和分开，一般而言，资料层是不需作大改造的。原来存在于客户端的逻辑须要移到服务器端，也就是WPS上。原来的前端接口一般是不可用的，因为无论是那种Client/Server开发工具，都是利用某种客户端操作系统本身的接口机制，这些都不是以公开标准为基础。因此，必须参考现有接口，用JSP或Style Sheets从新撰写。以上我们基本上描述了如何通过WPS和不同类型的应用系统连接，基本上它们包含了与资料层沟通和与应用层沟通两方面。在不久的将来，新的应用与应用之间的沟通会更简单，更方便。新的应用标准正不断趋于完善和成熟，WPS提供了一个极佳的平台和坚实的基础，让您应用新的技术和标准。用户管理考虑用户

32、管理是ABC公司在现有系统建设中，急需考虑的问题。在以前的应用开发和项目部署中，ABC公司发现： 现有安全系统遇到的问题：IT部门和业务应用开发人员在独立项目中不得不手工实施安全策略。在IT运行部门中，管理人员就只能手工取得批准，然后针对每个手工配置的资源建立和设置用户身份和权限。虽然这种方式已经广泛使用达数十年之久，但却给IT运行部门带来三大问题：1. 用户联机的周期长。由于管理员不得不为每个用户手工取得批准、配置资源和建立多个账户，让新用户联机操作需要相当长的时间。2. 用户管理成本高。让每个用户具有多个账户可能造成企业帮助台收到的关于忘记密码和其他常见管理任务的大量电话。3

33、. 用户管理总体拥有成本高。让新用户能够联机作业的过程需要大量人工介入，导致运行成本过高。 开发部门的其它难题：另一个方面，业务应用开发人员不得不在每个应用和门户中编写安全代码。这就为业务开发部门造成三个问题：1. 应用的部署周期长。由于开发人员不得不在每个应用和门户中编写安全代码，开发测试及部署方案的时间有可能相当长。这对于部署上市周期是成功关键的电子商务方案来说尤其容易造成问题。2. 应用开发成本高。编制用户定义和安全规则通常会增加必须为每个应用编写的代码量。在当今严峻的经济形势下，不超出每项应用的开发预算业已成为一个重要因素，而定制的安全代码有可能显著加大超出预算的风险。3

34、. 应用开发的总拥有成本高。由于每个应用或门户通常与定制的用户定义和安全规则一起部署，每项关系变更均必须人工编写到每个应用和定制安全模式中。这就增加了管理开支；并且此开支可能随着所部署应用和门户的数目成正比增长。 TAM（Tivoli Access Manager）简介：所以，在本次项目的开发中，ABC希望在IBM的帮助下实现认证的统一管理。同时结合现有应用，也实现授权的统一管理。经过认真的比较和考虑，ABC公司选择IBM公司的Tivoli Access Manager（TAM）作为统一的认证和授权中心。 TAM是T. Rowe Price、Shell Canada Ltd.以及

35、数百家其他公司，为了避免应用开发人员需要在每个应用中编写定制安全规则而采用的访问管理解决方案。如此就有助于缩短开发时间和降低新电子商务应用的成本。这个用于电子商务、企业和传统应用的访问管理解决方案，可支持电子商务的两大关键技术要求：支持几乎任何类型的用户认证的能力，以及控制经过认证的用户对几乎任何类型资源的访问。Tivoli Access Manager支持用户标识和密码、令牌卡、数字证书（支持绝大多数主要公用、秘钥基础设施提供商）及其他控制用户访问的认证机制，以及通过对Web服务器和Java、J2EE、JAAS技术的支持，保护对绝大多数常见应用和门户的访问。它也通过基于标准的认证应用程序接口

36、支持许多其它认证方式。要求：支持几乎任何类型的用户认证的能力，以及控制经过认证的用户对几乎任何类型资源的访问。Tivoli Access Manager支持用户标识和密码、令牌卡、数字证书（支持绝大多数主要公用、秘钥基础设施提供商 用户信息的集中管理：在ABC公司的IT系统中，经过多年的项目实施，各个独立的应用系统往往拥有自己的用户信息存储和管理机制。这为IT部门和业务部门带来了极大的员工和用户管理的麻烦。所以，在和IBM公司安全专家进行沟通后，在本次项目中，实现ABC公司用户信息的统一LDAP目录服务器存储，形成统一的用户目录服务器。基于ABC公司的应用现状，如果直接建立一个集

37、中的LDAP服务器，如何从各个应用系统中集中用户信息，如何不影响现有应用系统的工作，如何实现未来用户添加，减少，改动的管理，这都会是IT部门难以解决的问题。所以，针对于ABC公司的具体情况，我们建议：1：建立公司统一的目录服务器（Tivoli Directory Server）, 作为ABC公司创建用户信息的统一管理和存储2：对于现有应用系统，暂且不做用户信息管理的大改动，各个应用系统继续使用原来存储的用户信息3：利用TIM（Tivoli Identity Manager）的强大功能，实现各个应用系统中用户信息的集中（数据库，独立LDAP服务器 等）以及和公司目录服务器的信息同步4：未来的用户

38、信息管理，集中在公司的LDAP服务器上完成，对于公司目录管理服务器的改动，通过TIM同步到相应的各个应用系统，实现用户信息的更改。5：未来应用的开发，建议ABC用户直接使用公司目录服务器的信息存储 用户认证方式：在本次项目的实施中，ABC公司将建立统一的认证中心，用户对于公司内部的应用，将通过认证中心进行来进行身份的认证，如下图所示：所以，TAM需要提供和现有几类应用的认证连接方式。其中：1. Web应用的认证连接方式：对于Web应用系统的SSO,TAM提供了多种的认证连接方式，例如：² iv-user HTTP Header² basicauth HTTP

39、Header² Forms-based SSO² Lightweight Third-Party Authentication (LTPA)² Trust Association Interceptor Solution² GSO Junction² Desktop SSO with initial sign-on to MS NTLM/Kerberos² Federated Identity InterfaceTAM提供的丰富的认证结合方式（基于开放标准），为未来Web系统的认证设计提供了丰富的选择。同时，对于已经建设的Web应用，

40、我们也有几种实现方法建议：² 利用系统平台的认证机制实现（例如，Websphere 平台的LTPA token来实现SSO）系统级别的认证。无需改动任何代码。（比如Websphere Portal平台和TAM的结合）² 不改变现有的应用代码，采用TAM提供的多种认证方式进行穿透。传统的Web应用方式，有Form-based 和Basic集中，在TAM中，提供了对于该认证方式的直接支持，对于在TAM认证的用户，生成相应的标示，直接进入现有应用。² TAM提供了标准的JSP/Java代码，可以帮助开发人员嵌入现有代码系统，简单的实现认证的结合。2. 传统C/S结构下应

41、用的连接方式在传统的C/S结构上的应用，用户的认证往往是由应用代码实现的，在TAM中，提供了丰富的API，用户可以根据编程语言，进行选用（对于已存在的C/S应用，ABC公司可以根据改动的工作量进行选择）。 C/S和Web方式下的应用将不要求实现SSO3. Lotus系统的认证方式Lotus系统提供了成熟的Web访问接口，Lotus内嵌的Web应用服务器可以和TAM简单的实现系统平台级的SSO和认证统一，同样，如果ABC公司未来要在Lotus中进行Java程序开发，也可以利用TAM提供的API接口，实现统一认证的功能。4. 现有成熟系统的认证实现方式对于现有系统，TAM有提供一些认证方式，可以利

42、用直接实现认证。5. 对于多种认证方式的支持TAM提供了多种认证方式的支持，支持用户使用各种方式进入ABC公司系统。这为ABC公司未来的扩展提供了许多的选择。² Basic authentication² Forms-based authentication² X.509 Certificate² Kerberos ticket² RSA SecurID Token² Mobile device² Others via Pluggable Authentication TAM的授权和使用方式：基于ABC公司的

43、现有应用状态，在本项目中，ABC公司的授权管理将由两个部分来完成。对于现有应用系统，由于已经拥有独立的授权控制和管理系统，我们建议不必对于现有系统进行过度的改动，继续使用现有系统的授权控制和管理。然而独立的应用系统也需要和公司统一的用户管理系统进行集成。所以，当我们有用户的信息改动的时候，我们建议通过使用TAM的目录服务器和TIM的结合来完成相应的工作。比如，现在有一个新的员工进入ABC公司，员工属于技术部门，员工信息进入公司目录服务器后，激活TIM，进行员工信息在各个独立应用系统中的注册，同时，由于员工属于某个特定的用户部门（例如Group）,员工信息在注册到各个应用系统时候，也可以进行一些

44、简单的用户权限注册。对于每个用户的精确的权限管理，还是可以利用现有系统的授权管理来完成。这个过程的模块关系如下：T对于未来开发的应用系统，ABC公司可以利用TAM提供的集中资源管理来提供Web访问资源的权限控制，也可以利用TAM中的多种机制（例如动态工作引擎）来实现灵活的权限管理。TAM提供了丰富的API来支持在应用实现授权的控制。T2.2.6方案优势ü 此方案充分考虑到业务的经营、业务的发展、时间的紧迫性和技术应用与配置的合理性.ü 将前端使用者展现接口、业务逻辑及格内容管理分开，对于任何一层的改动、更新不会影响其它部分。ü 方案提供统一的用户信息管理，集中用户

45、认证，授权，为ABC公司的安全管理提供了平台ü 系统将不同网站维护人员所属维护的模块分开：内容编辑只需在内容管理层中更新资料；应用开发人员扩展及维护业务逻辑层；页面创意人员在展现层设计各个移动设备上展现的页面。ü 系统能在各个层面集成其它信息提供商的资料。ü 能方便地支持目前的各种行动设备，并能快速的纳入新的行动设。ü 沿用成熟的网络开发模式，系统应用的开发及维护对开发人员没有新的要求。ü 集成Louts产品强大的协同功能，为ABC公司提供新一代的办公协作门户平台。ü 此方案为将来的业务和服务的扩展奠定了一个强大灵活的基础，特别是使用

46、IBM WPS的门户网站解决方案，ABC的管理平台可不断增加新的服务内容与范围。例如利用Portlet、Web Services及新的动态电子商务等技术，提供真正的针对个人或企业的个性化服务以及商业智能的处理。2.5方案实体架构及概述上图展示了本方案的实体架构运行布局这张系统运行图是和系统逻辑图是相辅相成的，本图不包括已有的系统并且与新系统无直接关系的系统:l 防火墙和防火墙在物理上可是同一防火墙只是不同的用户和渠道访问走不同的端口。l 负载均衡服务器可架在一台Windows 2000服务器上，以后为增加它的可靠性，系统可以添加另外一部负载均衡服务器，一个做主要的，一个做热备份的。负载均衡服务

47、器的扩展可通过加大服务器性能或升级到小型机 Unix 平台。l 每一个被负载的Windows 2000服务器上可跑一个WPS服务器。在业务开展初期，可不考虑负载均衡，一台有足够配置的Windows 2000服务器即可执行WPS。WPS服务器的扩展，可以新增多台服务器并建议置负载均衡服务器；提高现有服务器的性能；或把平台升级到小型主机的方式达成。WPS上执行的和开发的所有应用都可无缝隙地移植到 Unix平台上，同时，若有必要提高性能，您可考虑放置高速缓冲服务机制。l 由于我们建议用LDAP目录服务机制进行用户登入和安全管理，LDAP服务器应建置在独立的一台Windows 2000服务器上。l T

48、AM（Tivoli Access Manager）服务器可置于Windows 2000服务器。l TIM（Tivoli Identity Manager）服务器可置于Windows 2000服务器。l 数据库可以建置在既有的服务器上。2.4应用平台开发环境考虑下面列表提供可在WPS上开发所需要的工具：l Java程序开发工具，如IBM WebSphere Studio Application Developer，它提供良好的Portlet 开发环境。l JSP开发工具，如IBM WebSphere Studio Application Developer，它用来开发和发布JSP、image和其

49、它Portlet应用所需要的组件。l XML 开发工具。如IBM WebSphere Studio Application Developer的XML Development Environment和XML & Web Services Toolkit。下图列举应用开发工具的组合：3. 问题解答l 是否能接受用Java技术来开发？现今的Java Virtual Machine速度完全可和传统语言环境比拟。特别是IBM所提供的JDK已经和C语言的Runtime环境基本一样，甚至在某种条件下比C还快，另外，一个系统的性能，特别是像ABC公司这样的网络应用系统，其它的因素远大于所用语言的运行速度。l 有那些应用适合用Domino/Notes开发，有那些应用适合用Web Application Server模式以 N-tier架构开发？我们建议如下:凡涉及到工作流程、OA应用及多类型内容处理时，用Domino/Notes开发;其它类型的网络应用，特别是涉及到交易处理（这不一定涉及到买卖）、个性化应用处理、典型的请求回报模式的应用（Request/Response）、应用需与其它应用或系统沟通、基于XML/XSLT技术处理资料的应用、安全机制的运用与处理、应用整合、多终端多渠道服务应