财政管理一体化-统一门户管理系统建设方案

1、统一门户管理系统建设方案目录1 统一门户管理 31.1 功能描述 31.2 统一门户架构 31.3 功能需求与初步设计 41.3.1 统一用户及权限管理 41.3.2 统一单点登录管理 41.3.3 统一待办事项管理 51.3.4 集中部署配置管理 51.3.5 衔接业务模块的接口服务 51.4 统一门户与 CA 的服务 7CA 系统组成 71.4.2 统一门户与 CA 的服务需求 81.5 统一门户对项目相关业务的支持和准备 81 统一门户管理1.1 功能描述随着财政办公信息化水平不断提高，业务系统也越来越多，一个用户可能要使用多个 系统， 办公过程中需要在不同系统之间切换， 而且每个系统都

2、有自己的用户名和密码， 这样 势必给工作带来不便。 基于平台的统一门户管理， 要对纳入一体化系统的各业务子系统的账 户和权限实行统一分配、 分级管理； 实现单点登录，系统内的每个操作人员，采用统一的登 录方式和界面进入各业务子系统，并且实现统一的业务事务提醒功能，门户要有CA 认证接口，能够方便与财政部统一研发的 CA 系统进行衔接。1.2 统一门户架构通过门户实现单点登录和待办事项提醒，用户只需要一次登录门户，就可以访问自己 拥有权限操作的业务模块， 从而解决用户之前使用多个模块需要在不同模块之间切换时多次 登陆，而且每个模块都有自己的用户名和密码，从而给工作带来操作不便的问题。统一门户管理

3、总体架构如下：省、设区市、县、乡各级财政及预算单位等用户图 1.2-1 ：门户管理总体构架1.3 功能需求与初步设计1.3.1 统一用户及权限管理统一用户及权限管理的建设是应用整合中的基础， 可以说决定了应用整合建设的成败， 是应用整合建设关键的一步。 目前业务系统建设不是统一的技术平台， 用户管理、 系统登录 等自成体系，每套系统都有独立的用户管理，带来了系统使用和管理的复杂度和成本增加。 统一用户管理作为用户的认证、 用户信息统一修改、用户密码修改的入口， 包含用户、 应用 分配、 同步等管理。 首先要对一个人员在不同业务系统中的的账号进行统一和合并， 统一合 并后的用户表存放在平台， 日

4、常中的用户维护由平台管理， 业务系统根据平台同步用户。 平 台用户数据只维护各业务系统的共有属性，业务系统的用户特殊属性有业务系统维护。目前如员工岗位变更，业务系统就要做很多用户及用户权限的重建和调整等繁琐的工 作，解决这个问题的办法就是使员工账号和岗位分离， 岗位调整时只需要修改员工和岗位的 关系就可以了， 改变的只是岗位上的人员信息， 岗位信息是相对固定的。 用户维护时要建立 门户用户， 建立岗位，建立门户用户和岗位的关系，建立岗位和业务系统的关系， 这样员工 和岗位的关系就可以脱离绑定。 门户用户可以理解为人员， 岗位可以理解为统一后的业务系 统账号。 同时还需要用户的版本管理， 什么时

5、间段哪个员工和哪个岗位绑定。 业务系统需要 同步岗位信息， 以及当前岗位的员工有效在岗时间段， 岗位对于业务系统即为用户。 一个人 员在同一个业务系统拥有多个岗位时， 业务系统在自身系统做标识处理， 这种情况登录系统 时登录页面除了年度 、账套、数据库外还需要用户的岗位角色供选择。具体功能要求如下：? 统一用户维护；? 统一岗位管理；? 用户版本管理；? 用户业务模块维护：新建，去除用户有权限访问的业务系统。1.3.2 统一单点登录管理构建统一用户管理和单点登录是一个信息化建设必不可少的重大举措。通过建设统一 的信息门户， 并把各种业务系统进行统一授权进入， 可以降低风险， 降低使用和管理的复

6、杂 度。单点登录在多个应用系统中， 用户只需要登录一次就可以访问所有拥有权限， 相互信任 的应用系统，是业务整合的解决方案之一。登录流程：用户通过浏览器登录门户，登录成功后根据用户获得待办事项和业务系统。启动业务 系统后，业务系统弹出供用户选择的参数信息页面，如账套、年度、数据库信息等等，用户 选择这些参数后进入到业务系统操作区。1.3.3 统一待办事项管理业务系统实时向平台待办任务表中更新待办事项，当成功登录门户后，可以看到自己 的待办事项， 可以清楚的了解要处理的工作， 然后登录业务系统进行处理。 待办事项类别即 为业务系统名称。待办事项状态：待审核，待打印等。待办事项显示信息样式如：待审

7、核 2 条，待打印 3 条，点击待办事项业务系统名称进 入到业务系统登录界面；对于 B/S 系统点击待办事项进入到业务系统相应的操作界面， C/S 系统点击待办事项进入到业务系统首页面。1.3.4 集中部署配置管理业务系统配置：增加 / 删除集成的业务系统，配置业务系统信息，便于日后的扩展。 可配置的业务系统信息： 系统名称、 编码、架构类型、 B/S 应用的 URL，显示先后顺序。 待办事项配置：待办事项状态定义。 业务系统参数配置：如当前年度。系统的套账参数，系统的数据库参数等。1.3.5 衔接业务模块的接口服务门户向业务模块提供的接口包括：判断用户是否登录门户的接口：表格 1.3-1 ：

8、定义应用系统接口接口名称判断用户是否登录门户的接口简能功述判断用户是否登录门户传输协议Web service访问URL如： http:/ 域名：端口 /security/authservlet?uid=100&sid输入定义#名称类型说明1UidString应用系统识别的用户 ID3SidString用户登录门户后门户产生的会话编号输出定义验证 Session 是否存在验证正确返回 0验证失败返回 1B/S 应用系统需要实现的接口：表格 1.3-2 ：实现接口接称口名BS应用系统用户登录接口简能功述门户在页面上提供应用系统的登录链接。用户在门户登录后可点击链接，直接进入应用系统传输协议

9、HTTP访问URL如： http:/ 域名：端口 /web/servlet?uid=1000& sid=输入定义#名称类型说明1UidString登录用户的唯一标识2SidString用户登录门户后门户产生的会话编号输出定义用户点击门户上的应用系统链接后，门户将用户浏览器重定向到应用登录入口，应用系统判断登录有效后，返回用户在应用系统登录后的首页C/S 应用系统需要实现的接口：表格 1.3-3 ：实现接口接口名称CS应用系统用户登录接口简能功述epp 户件门文协输传议问访 RLU如称 名类型说Uid1gS识 标 一Sid2gS号义 定 出 输CS 登 按登 统断 系判 用统 应系 的用

10、 户上 应1.4 统一门户与 CA 的服务CA 系统组成CA 系统由以下部分组成：USB 智能卡：负责客户端的数字签名和加解密，也是用户数字证书和私钥的载体，同 时私钥不出卡，不可复制。客户端安全认证组件：负责提供客户端应用程序接口，完成对 USB 智能卡的驱动和访 问，从而产生客户端用户认证请求。对于B/S 结构的应用系统，提供浏览器安全插件，与浏览器无缝结合；对于 C/S 结构的应用系统，提供 COM 组件。认证服务器：负责提供服务器端应用程序接口，并对客户端提交的用户认证请求进行 认证，鉴别用户身份，控制用户对应用系统的访问。管理服务器：包括用户管理、证书管理和USB 智能卡管理等模块，

11、完成用户授权、证书申请和 USBKey 制作，并提供全面的系统管理和审计功能。1.4.2 统一门户与 CA 的服务需求一体化项目通过财政部统推的 CA 系统，加强对系统的安全性控制，保证数据安全访 问。平台与 CA 之间要有两类接口：第一类是访问用户的身份认证。用户在通过门户登录时， 利用插在计算机上的密钥盘， 访问 CA服务器， 取得身份 认证后，系统再向门户检查用户的权限等事项。该接口涉及的处理流程如下：1) 用户在计算机 USB接口上插入包含自己证书和私钥的SecurSecureKey ，访问系统登录页面 ；2) 服务器接受登录请求，并产生一个临时随机数，发送到客户端；3) 用户输入 S

12、ecurSecureKey 访问口令，点击 “登录 ” 按钮；4) 客户端对服务器发来的随机数以及用户的身份信息利用 SecurSecureKey 硬件进行加密，并对加密结果做数字签名，将结果发送到服务器；5) 应用服务器接收到客户端发来的数据后，执行如下验证过程：a) 验证用户的数字证书的有效性，包括签发者证书链、时间期限等；b) 证书验证通过后，调用认证服务器验证接收数据的数字签名信息；c) 再调用认证服务器加解密功能模块对接收的数据进行解密, 得到随机数和用户身份信息；d) 验证用户身份信息，并比较随机数是否与开始发送时相同；e) 根据以上验证步骤，决定是否验证成功；6) 应用服务器根据认证服务器的返回结果决定登录是否成功。第二类使用数字证书对关键操作的数据进行数字签名。这些关键操作包括： 直接支付凭证、 授权支付凭证等， 可在具体实施根据业务系统 的需要来确定。数字签名主要的功能是保证信息传输的完整性、发送者的身份认证、防止交易中 的抵赖发生。如在支付系统中，可调用 CA 提供的数字签名接口程序对支付凭证进行数 字签名，发送银行后，银行再调用 CA 提供的数字签名验证接口程序对支付凭证进行签 名验证。1.5 统一门户对项目相关业务的支持和准备统一门户建立了统一的用户管理、权限处理、单点登录和待办事项提