统一信息门户建设方案

统一信息门户建设方案为了解决因信息系统建设数量众多而出现的“多账号密码”问题，整合现有分散的异构应用系统，通过统一的信息门户，解决用户认证、单点登录、应用管控等问题，在不影响各应用系统业务逻辑的前提下，构建统一信息门户，实现各个应用系统的无缝集成，使用户在跨系统使用资源和处理业务时感觉是在一个系统上进行操作，搭建开放的、支持快速的应用配置，提升统一信息门户的管理效率和用户体验。1.建设内容1.1建设范围根据相关需求的理解和规划，统一信息门户开发建设包括：用户数据中心、用户认证中心、用户管理中心、系统服务中心、系统消息中心和应用管控中心。1)用户数据中心用户数据中心一方面实现对纳税人用户、缴费人用户、税务人员用户、特殊用户、第三方用户等所有用户进行统一管理，另一方面实现对用户、主从账号、组织结构、安全认证以及用户全生命周期的管理。用户数据中心是统一信息门户的基础，它是对各类业务系统数据收集、整理、存储和展现的重要基础平台，是实现统一身份认证、统一授权管理、统一使用效劳的前提和基础。用户数据中心通过同步抽取各业务系统的用户数据，对抽取的用户数据进行数据清洗，按照统一的数据格式和定义好的数据模型对用户数据进行字段合并、重塑、移除、格式转换，装载至统一信息门户的用户信息数据库，按照效劳对象分为内网用户中心、外网用户中心两大区域，后续使用按照需求从用户数据中心调取用户数据。2)用户认证中心用户认证中心提供统一用户管理功能以及为第三方使用提供用户拜候认证的开放效劳，为系统以及之上构建的使用提供统一账号信息、统一认证、用户材料信息等效劳，实现用户登录、认证、授权、安全设置等功能。用户中心提供美满的安全防护和审计机制，保证用户材料和系统的安全。统一身份认证是为了保证用户登录的统一入口所采取的的技术手段，他可以实现统一信息门户用户在众多业务系统中只使用一套用户名和密码，并能够实现用户拜候权限的集中控制和管理。提供用户身份组合认证方式，提供单点登录、会话保持、单点登出效劳，并在传统CAS效劳的功能上增加用户角色权限控制，同时建设目录效劳，实现用户一次登录，可以拜候权限内部所有的使用系统。3)用户管理中心用户管理中心，提供用户信息、用户角色、用户使用、用户授权的统一管理。统一用户管理使用统一身份认证平台的所有业务应用系统的全部用户，用户身份支持LDAP和数据库的同时存储。统一角色管理管理统一身份认证平台本身宁静台所有使用系统中所需要的使用到的角色信息，系统通过用户、角色、权限机制、以及角色、用户权限批量处理机制，加大中央便用户权限分配。统一应用管理管理纳入统一身份认证平台的各使用系统的应勤奋能点和使用权限。统一授权管理实现用户与角色、角色与功能的对应管理，实现菜单权限、数据权限、资源权限等多权限分类管理。同时，实现权限策略的定制和调用，便于实现与应用流程的紧密结合。4)系统效劳中心效劳中心采用“平台+使用”、“数据+效劳”的设计理念，为统一信息门户集成各业务系统提供效劳的发布、管理、调取等全流程管理，匡助用户快速构建出基于使用，贯通平台、使用开辟者与目标用户的生态链，建立真正开放、稳定、良性的统一门户生态系统。以用户信息为基础，提供统一平台登录界面，提供个人门户功能，将个人的日常工作任务和所需的信息统一集成到门户中，使得门户成为个人工作和享用效劳的电子桌面，用户可以根据需要自己定义自己的工作台的使用效劳系统和风格。5)系统消息中心消息中心是税务局和税务服务对象之间、税务与政府各部门之间的信息交流与协同的工作平台。通过消息中心提供基于社会化的协作与共享能力，主要包括用户之间的交流与互动、基于应用的业务协作、知识的分享、信息的主动推送等。基于平台的协作与共享服务可提供在线社区、即时通讯、消息推送等多种服务，相关部门可以利用该功能在线展开互动和交流，提高日常协同办公效率。协作服务提供开放的接口，可以在应用系统中嵌入协作服务能力，提升用户应用体验。6)应用管控中心根据业务系统现状，与统一信息门户的规划与设计，实现业务应用的集成管控，系统支持页面前端集成（基于页面内容集成），业务模块化集成（基于应用接口、业务功能模块的整合）、业务过程集成、数据集成展现等多种应用集成方式，按照统一的数据标准格式，明确应用接口，集成业务系统数据与应用。通事背景界面，分角色权限对各使用系统的接入、审核、发布、版本、上下架进行管理，提供系统版本管理和控制，提供内容、角色、权限、资源的统一展现，提供效劳管理接口、统计分析接口、使用监控接口效劳。1.2.建设功能本次建设功能根据功能归类分为：通用功能、系统管理员功能。1.2.1通用功能1)个人中心定义和管理个人的URL资源，包括个人收藏夹中URL资源的添加、保护和管理。为每个用户开辟网络个人存储空间，用于个人文件的上传、下载、检索、目录管理等，用户可以自行管理。2)快速功能用户可以其他整合到统一信息门户中的功能模块定义到个人工作台上，实现统一的个人工作界面。3)单点登录提供统一信息门户平台登录界面，实现对多种类型的应用系统的单点登录访问。单点登录缺省支持用户名、口令、数字证书、动态令牌、税控装备和人脸、指纹等生物特征等登录方式，提供灵活可扩展的认证接口。支持AD、LDAP、数据库等标准身份认证技术，用户信息存放在统一部署的LDAP中，LADAP用户身份认证成功则用户登录成功，否则拒绝用户登录，统一信息门户需支持多种登录方式的复合登录。4)身份认证建设统一身份认证中心，用户在通过认证请求受保护资源时，拜候CAS（中央认证效劳）中心，用户输入登录信息进行身份认证，CAS身份认证通过，效劳器向用户发送登录证据，登录证据存储在统一信息门户的Cookie中，登录证占有效时，用户无需重新登录可间接进入使用系统，实现通过信息门户进行单点登录集成使用系统，如果登录证据无效则退出系统重新登录。5)会话保持统一信息门户用户登录成功之后，系统需要在当前用户有访问请求时（在线状态）每间隔一段时间向用户中心服务系统提交用户在线状态信息。保证CAS（中央认证服务中心）能够感知到用户当前的活动状态，认证服务中心在一定时间内没有检测到用户的活动信息则判定用户状态为下线。将注销用户登录状态，并通知所有业务系统注销该用户的登录状态。6)单点退出与单点登录相对应，单点退出功能可以解决“单点登录”功能在方便用户的同时留下的安全隐患，用户在统一信息门户或业务系统中主动下线或超时下线时，统一身份认证平台会向业务系统发起用户下线通知，告知业务系统，某用户已经下线，销毁相关Session会话。7)日记查询查询用户自己的访问日志。8)个人设置修改个人的姓名、邮箱、手机号、使用系统的勾选确认等。9)修改密码修改个人密码。输入原密码、新密码、确认新密码，提交便可。10)通知消息查看其他人员发送给自己的消息。有些消息会根据当前人员的身份自动进行过滤。查看系统发送的通知公告。1.2.2系统管理员1)用户管理建立集中的用户目录体系，用户覆盖各个子系统的用户，所有的用户信息都存储在LDAP目录效劳中心，既便于管理，又可提供一个统一的接口，便于其他使用调用，该LDAP和子业务系统现有的用户管理功能做接口，实现当子业务系统注册和删除用户时，主动在LDAP中注册用户和删除用户。实现将所有子使用系统的用户管理集中，通过UMS适配器与各类使用系统进行用户信息、机构信息以及用户相关属性信息的同步，支持用户信息查询效劳、同步效劳、适配器效劳。2)统一注册用户在统一信息门户注册时，注册数据通过接口保存到用户中心，提供全量同步和实时增量同步两种用户注册信息同步方式。用户中心支持用户注册信息全量同步方式，提供给实时性要求不太高的子系统使用；在用户注册、信息变更、服务申请状态变化、删除等操作之后用户中心支持主动通知各个子系统变更的用户数据，提供给实时性要求高的子系统使用；3)统一账号目前业务系统中国普遍存在账号分散管理、账号共用、简单账号口令或相同账号口令等安全问题，这些都危害到系统的安全性，并降低了管理的工作效率，使用集中账号管理，区分主从账号，将各种应用和设备的账号进行统一管理，通过授权管理使得一个自然人下的账号相互关联，并可以采用强口令对资源进行统一设置保证资源的安全。4)角色管理管理员使用统一信息门户管理各个子系统的角色列表，角色信息包含角色名称、角色编码和角色描述等信息。并能够配置每个角色拥有的菜单权限、数据权限、资源权限。统一信息门户管理员可以给用户授与指定角色，角色权限由管理员使用权限管理功能保护，通过用户、角色、权限批量处理机制，极大中央便用户权限分配。5)集中授权集中授权是确定认证通过后的用户是否有权对系统资源进行访问或操作，集中授权是通过集中的授权中心，采用统一的策略管理进行用户授权。通过角色来获得对象或对象组的访问权限，根据功能性属性的不同将用户组织定义为不同的角色，如从属关系、访问模式或等级标志等。在指定访问控制规则时，采用访问控制列表（ACL）。ACL是由所有访问允许规则组成的集合，应用于单一对象。可根据用户所在部门或角色对其可访问范围进行管理，集中授权/撤销授权，做到一次配置，全局生效。6)应用管控对于需要接入统一信息门户的在建和未建系统指定统一的接入规格说明，提供规范接口，保证各系统可按照规范自行开发后实现对统一信息门户的自动接入和单点登录，同时对接已有Web应用、移动应用、桌面应用以及IoT设备等，为用户提供集访问控制、单点登录和应用门户的一体化服务，实现统一信息门户对各接入系统的统一管理。管理纳入统一信息门户的各应用系统的应用功能点和应用权限。7)通知消息监听消息服务器中的消息数据，将各个子系统通过消息中心发出的通知消息汇集到统一信息门户中进行集中展示，运用消息中间件解决异步通信、多对多通信等问题，为管理员提供消息的定时发送功能。同时支持JMS的消息模型，提供可靠消息传输、事务和消息过滤等机制。同时支持手机短讯、电子邮件等扩展消息通讯方式，方便用户获取即时任务提醒、即时消息传递等。8)日志审计详细记录用户所有行为及管理员操作，并形成可视化报表，让管理员随时掌握各大应用子系统数字资产的使用情况。整合不同应用的登录日志，让管理员切实掌握整个统一信息门户的数字资产使用情况，同时实现用户在多个系统上行为的统合观察，帮助管理者进行快速的判断和决策9)并发优化为统一信息门户需建设单独的WEB效劳器，并增加一台高IO的前置效劳器，在后端使用过于忙碌时阻止用户拜候，并给出友好提示；在拜候高峰期运用云技术主动将资源集中攻击高峰使用，关闭或限定一些不急用的或少人用的系统；增加对拜候率高的数据索引，优化查询视图，同时使用CDN网络使用WEB效劳器忙碌情况，降低主效劳器负载；优化网页机构，减少JS代码使用，减少图片数量和大小。10)安全防护制定统一信息门户入网安全规范，要求所有应用接入统一信息门户前必须进行严格的安全入网测试，并通过安全入网验收，在统一信息门户运维过程中使用不同的专业WEB扫描软件对各业务子系统进行统一检查，进行定期安全检查、网站安全监控、教育培训，对发现的隐患需要及时出具整改协调函，对于退网的业务系统，要求严格按照安全运维规章进行退网流程操作并消除敏感信息。2.系统架构2.1系统架构图接入层XXX统一信息门户应用聚合层后端服务层纳税人统一门户服务功能单点登录用户中心统一门户管理功能业务子系统1角色管理使用管控缴费人会话保持授权管理数据权限菜单权限单点退出资源权限日志审计通知消息自然人身份认证现有系统集成管控业务子系统1业务子系统1个人中心安全防护使用管控统一注册并发优化税务人业务子系统1用户身份信息内网用户中心特殊用户用户认证中心外网用户中心用户目录第三方基础设施WEB\客户端\APP统一信息门户系统在逻辑上分为三层，接入层、引用聚合层和后台服务层。2.1.1接入层最前端是系统接入层，他提供个性化的接入，基于不同的角色（如：纳税人、缴费人、税务人、自然人、第三方人员等）展现不同的整合后的工作界面，在安全条件允许的情况下，这一层可以应用扩展到不同的移动终端设备上。2.1.2应用聚合层中间是聚合层，基于XXXPortal产品进行构建，提供两类主要的服务，一类是基本的Portal服务如单点登录、会话保持、单点退出、身份认证、应用管控服务等，另一类是对现有系统整合后形成的服务如：日志审计、统一待办等按不同粒度整合的服务。IBMPortal提供了多种的整合方法有很多开箱即用的Portlet可以快速的完成。2.1.3后台服务层后台服务层横跨整个系统的各个环节，包括集中的访问认证，集中的用户管理，集中度的用户信息存储，通过用户身份管理系统建立统一认证中心，为门户系统提供了用户身份管理，是整个统一信息门户的基础架构。2.2业务逻辑即功能描述2.2.1身份认证用户想要通过认证请求受保护资源时，首先是通过浏览器访问CAS（中央认证服务）客户端，检查是否有session（会话），如果没有，则返回浏览器，重定向到CAS服务器端，发送认证请求，然后弹出登录页面，由用户输入用户名和密码请求认证，如果认证成功，则返回ST参数给浏览器，然后浏览器将ST参数传给CAS客户端，CAS客户端请求CAS服务器端进行验证，并给CAS客户端返回确认信息，此时CAS客户端会创建session，重定向到浏览器登录成功，用户可以访问受保护的资源了。对于yoghurt来说，上述认证过程体验如图1所示，用于信息存放在统一部署的LDAP中，当用户登录信息门户时，门户将用户身份信息通过LDAP进行认证，如果认证通过，则允许登录，否则拒绝用户登录。2.2.2单点登录单点登录的前提是首先有一个统一的访问入口，即统一信息门互。该信息门户能够对集成的各应用的信息进行重新整理，将所有的信息汇总到一个界面上为用户发布统一的信息，以便用户更高效地得到和使用这些信息，解决了用户一个一个的访问应用系统查看信息的繁杂问题。用户在浏览所需要的信息或者进行业务操作的时候，不再需要重复多次输入账号密码登陆业务系统，而是直接通过统一信息门户单点登录进入不同的应用系统来完成用户的工作，获得用户所需的资源。其单点登录的工作原理如下图所示：用户登录门户检查初次登录？否是认证通过登录证据客户端Cookie登录证占有效？否退出是应用系统图2单点登录工作原理图用户在登录门户时，首先检查是否初次登录，如果用户初次登录门户，则进行用户身份认证，认证成功地完成后，用户会得到服务器给用户发出的登录证据，该登录证据会存储在客户端Cookie中；如果用户不是初次登录门户时，门户服务器会把客户端的请求以及存储的登录证据一起发送出去；被请求登录的应用系统对登录证据进行验证，以便检查该登录证据是否有效，如果登录证据有效，则无需用户重新登录直接进入应用系统，即用户就完成了系统间的身份认证，实现了通过信息门户进行单点登录集成的应用系统；如果登录证据无效则退出。2.2.3会话保持基于Cookie模式下的负载均衡器负责插入Cookie，后端服务器无需做出任何修改，当客户端进行第一次请求时，客户端的HTTPRequest（不带Cookie）进入负载均衡器，根据负载均衡算法策略选择后端一台服务器，并将请求发送至服务器；后端服务器的HttpResponse（不带Cookie）被发回给负载均衡器。接下来负载均衡器将向该后端服务器插入Cookie并将HttpResponse返回到客户端。当客户请求再次发生时，客户HttpResponse(带有上次负载均衡器插入的Cookie)进入负载均衡器，然后负载均衡器独处Cookie里的会话保持数值，将HttpResponse（带有与上面一样的Cookie）发到指定的效劳器，然后后端效劳器进行请求回复；由于效劳器并不写入Cookie，HttpResponse将不带Cookie，该HttpResponse再次经过CLB时，CLB将写入更新的会话保持Cookie2.2.4单点退出与单点登陆相对应，单点退出功能可以解决“单点登录”功能在方便用户的同时留下的安全隐患，用户在平台中主动下线或超时下线时，统一身份认证平台会向业务系统发起用户下线通知，告知业务系统，某用户已经下线，请销毁相关Session会话。2.2.5用户管理提供用户管理功能，用户管理内外网用户和账号权限信息，管理员可以主动新增账号，并未每个子账号分配不同的权限，用户管理采用左边组织架构树，右边用户表格列表形式展现，点击左侧部门右边表格显示组织架构所属用户信息，左侧组织架构树没有选中项时右侧默认展示所有用户信息，删除用户时删除用户与组织架构的关联数据，保留用户的基本信息，用户账号状态为禁用，以保证历史业务不受影响，管理员账号不允许删除。2.2.6角色管理管理各个系统的角色列表，角色列表用于用户授权，表示管理员拥有的最大权限，角色信息包含角色名称、角色编码和角色描述等信息，并能够配置每个菜单拥有的菜单权限、数据权限、资源权限。角色关联菜单页面用于保护角色所拥有的菜单权限，使用弹出界面展现，菜单内容使用树形组件展现，拥有权限的菜单使用复选框选中状态展现；角色关联数据页面用于保护角色所拥有的数据权限，使用弹出界面展现，数据内容使用表格展现，同一数据编码的数据合并为一行，使用复选框标识拥有的数据权限；角色关联资源页面用于保护角色所拥有的资源权限，使用弹出界面展现，资源内容使用表格展现，同一类别的数据合并为一行，使用复选框标识拥有的资源权限。2.2.7账号管理集中对后台应用系统的主从账号和用户信息进行管理，由用户账号管理服务、数据库和账号同步服务组成，可以进行账号的策略定制、密码变更、账号同步、账号发布等功能，并通过账号终端管理与不同的身份标识建立联系，如PKI/CA等，通过中间的适配层可以针对后台不同的业务资源定制适配器，账号的动态发现、同步的操作均通过适配层进行处理，针对不同类别资源的从账号信息将对应不同适配器进行采集和同步，并能够与主账号进行关联。2.2.8集中授权集中授权管理，主要是指在一点，集中对用户使用信息系统资源的具体情况进行合理分配，实现不同用户对系统不同部分资源的访问控制。具体来说，就是集中实现对各用户（主体）能够以什么样的方式（谓词）访问哪些资源（客体）的管理。集中授权采用基于岗位和资源的方式为主账号授权，所谓岗位就是资源角色的集合，这些资源角色可以是来自不同的资源，当用户属于一个角色后，系统可以自动为该用户在各个资源创建对应的资源账号，并和资源角色相关联，最大限度的方便管理员的操作。当某个岗位的资源角色发生变化后，管理员可以按照系统提示主动为资源添加或删除对应的账号。统一授权不仅能将资源的拜候权限赋予用户，而且还能对拜候的时间和拜候源机器的IP地点、MAC地点进行限定，关于哪些基于命令行操纵的资源，还能指定哪些命令可以使用哪些命令无权使用。由于有些用户无法准确定义某个岗位的具体权限，因此系统提供了针对单个资源的授权功能，这个方式也可以和岗位授权相联合，互为补充。当勾销某个授权时，系统将讯问管理员是否要删除资源上对应的账号，如果确实需要删除，那么系统将主动将这些不需要的账号从资源中删除。2.2.9菜单权限统一信息门户用户权限的数据中新增菜单权限列表，业务子系统可以遍历用户拥有的菜单项的code字段对应上表给用户提供响应的菜单选项，业务子系统以Filter的方式监听所有菜单的URL，如果用户拥有对应菜单的权限则可以响应对应页面，如果没有权限则响应无响应权限提示，对请求阻拦过滤，进行对应菜单的权限控制。2.2.10数据权限统一信息门户用户权限的数据中包含有数据权限