DB32T 2166-2012 区县电子政务综合平台建设技术规范

省地DB32TechnicalSpecification江苏省质量技术监督局发布 IV V 3 3 3 3 4 4 5 5 5 6 7 7 7 7 7 7 7 7 7 7 7 9 9 9 9 C.5获取User数组对资源数组是 F.1增加待办任务接口规范的服务定义 F.2待办任务处理结果接口规范的服务定义 本规范适用于江苏省区县电子政务综合平台建设和应用集成。对于本本规范主要起草人：戴航、宗仁、邵爱菊、郭兴德、廖志强、崔晓荫、徐旭、孙立华、陈晔V引言随着区县政府电子政务建设的不断发展和应用系统逐步增加，工应用系统的访问路径、用户名和口令等信息，使用麻烦，工作效率低，同时为信息安全带来隐患。通过电子政务综合平台建设，将各种应用系统通过标准规范集成到平台中，实现统一用户管理、统一认证与访问控制，不仅能够有效解决多系统登录等问题，而且便于对多个应用系统涉及的组织机构和用户进行统一管理，在组织机构和用户发生变化时，只要在一个地方进行更新，便可以同步到多1区县电子政务综合平台建设技术规范本规范适用于区县电子政务综合平台建设和应用集成。各区县政府进行电子政务综合平台建设下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。指政府工作人员使用的综合性政务工作平台。该平台将各种应用系统、数据资源和互联网资源集成到一起，并以统一的用户界面提供给用户，方便用户快速建立信息通道，获取集中在一起的各类信指将多个同构或异构的应用系统的界面、数据和功能集成到电子政务综合平台中，使这些系统像a）应用导向原则：在分析应用现状与未来发展的基础上，采用统一的标准设计电子政务综合平台2b)服务重用原则：采用面向服务的架构(S0A)进行设计，对相关服务进行统一管理，包括服务c)松散耦合原则：综合平台与应用系统之间采用订阅方式、通过企业服务总线进行服务的动态调d)因地制宜原则：根据应用需要和技术条件进行应用集成，对于已经建成综合平台的单位，可以2.2功能结构电子政务综合平台(简称综合平台)由Web门户、统一用户管理、统一认证与访问控制、即时通讯电子政务综合平台统一用户管理访问控制单点登录用户认证统一认证与访问控制即时通讯即时通讯a)Web门户：面向用户提供服务，将所集成的应用系统的功能和信息进行聚合展现，提供信息发布与内容管理功能，支持用户个性化定制，并且对用户行为与信息内b)统一用户管理：对所有用户和综合门户所集成的应用系统的用户身份信息进行统一管理，可对c)统一认证与访问控制：对用户身份进行认证，实现单点登录；并且基于统一的组织身份模型对d)即时通讯：提供即时通讯服务，实现工作上的即时消息对话和文件传输等功能，并且与综合平e)应用集成接口：向应用系统提供服务接口，包括但不限于单点登录接口、数据同步接口、访问控制接口、目录访问接口、系统审计接口和统一待办接口。其中数据同步接口所同步的具体信息包括3Web门户界面集成a)用户导向原则：界面设计美观，内容丰富明确，体现区域特点，提供适用的功能，采用良好的3b）简洁易用原则：简化交互和用户操作，操作方式符合常规的使用习惯，采用直接、形象和易于理解的界面，提供适度的用户指导和支持，可快速响应用c）风格统一原则：综合平台首页各项内容以及应用系统聚合在首页的界面采用统一的风格进行设电子政务综合平台首页聚合了多个应用系统的信息和功能，宜包括政府标志区、业务功能区、功b）业务功能区：包括聚合的应用系统的用户操作和信宜采用1024*768的屏幕分辨率，页面纵向长度宜控制在2屏以内，宜支持用户自定义业务功能综合平台首页提供所聚合的应用系统的链接，以弹出窗口形式打开链接，保持综合门户与应用系a）法人单位：指在社会生活中，人们为实现某种职能所建立的、由人财物和信息等若干因素有序地联结起来的、相对稳定的社会实体单位的抽象，通常指机关、团体或其他法人b）内设部门：指根据行政划分而实际存在的法人单位的内设机d）角色：指在处理特定业务时设定的具有特定工作范围或工作职责，用于解决特定业务问题的实e）用户组：指为满足特定业务需求而组建的、不受机构或部门限制的人员集合的抽象，包括临时a）法人单位包含内设部门、人员、角色、岗位、用户组，与这些实体是一对a）用户名由英文半角字母和数字组成，长度必须大于3个字符，小于20个字符，不45b）法人单位与内设部门：在目录树使用扁平架构存储，实体之用户目录访问和操作规范参见“7.4目录统一认证宜使用“数字证书认证”方式，根据数字证书中心发布的接口规范实现用户身份的认单点登录宜使用“基于第三方代理模式”，即在访问客户端和访问服务端时引入第三方代理，代理方通过辨别访问令牌的方式来进行每一次访问认证，常用令牌传递方式有httpheader，httpcookie，url参数等方式。单点登单点登录流程Web门户统一认证与访问控制无效无效访问Web门户访问应用系统转发认证请求判断票据是否判断票据是否效判断用户是否判断用户是否有有有效需要进行权限控制的对象包括系统权限、功能菜单权限、操作按钮权限、数据权限，综合平台对宜使用基于角色的访问控制（RBAC）模型进行权限控制，该（PA）（PA）b)权限继承：权限的继承通过对象的父子关联实现，如果设置为可继承，则执行者子对象自动继d)权限回收：系统回收已经分配给用户的权限。通过权限继承得到的子权限应被回收；通过再授权得到的权限，根据设置不同规则，可规定父权限被回收，保留e)权限等效：如果设置用户B等效于用户A，则用户B拥有用户A的所有权限。A称为被权限等效对通过对用户访问日志和权限日志进行分析，检查某一时间顺序的用户访问过程和授权过程，对其对指定条件下的访问记录或者权限纪录进行统计，获得统计信息，宜通过列表方式或者图表方式7宜集成成熟的即时通讯工具，与综合平台实现单点登录和统一身份认证，除提供即时通讯的通用综合平台应为应用系统提供数据同步接口，实现综合平台与应用系统的数据同步，数据同步的内b）应用系统需要同步到综合平台的重要提示信息，如a）界面集成：测试集成到综合平台首页的应用系统界面是否符合界面集成规b）单点登录：测试集成的应用系统与综合平台是否实现了单点登录；e）统一待办：测试是否可以在综合平台查看所集成a）测试准备：相关方确定和准备测试方案，包括测试环境、测试步骤、测试内容、测试用例、备b）集成测试：应首先在非生产环境中进行集成测试，然后在不影响系统正常使用的前提下在生产环境中进行测试。测试未通过的，应将相关系统恢复至测c）测试总结：完成测试后，应提交测试报告，对集成d）回归测试：当综合平台或应用系统的相关接口部分进行调整或版本更新时应9单点登录接口SSOAgentBaseService.authent应用系统向单点登录服务代理请求认证指定用户.SSOAuthenticateFailedEx应用系统根据客户端的票据标识向单点登录服务代理请求TicketExpiredExceptString类型，返回被认证通过后为SSOAgentBaseService.l消除用户的票据，并通知各应用系统注销该用户.SSOAuthenticateFailedEx无SSOAgentBaseService.authen用户在通过单点登录服务代理认证后，应用系统需要实现的本地系统认证接无boolean类型，如果认证成功返回true，如果认证失败则返回falSSOAgentBaseService.l无无TicketExpiredExceptSSOAuthenticateFailedEx<?xmlversion="1.0"encoding="UTF-8"standa<xs:schemaxmlns:xs="/2001/XMLSchema"elementFormDefault=<xs:restrictionbase<xs:restrictionbase<xs:restrictionbase<xs:restrictionbase<xs:restrictionbasWeb服务请求包定义了服务请求方向中心发出的请求包，中心根据包中Service节点信息路由到实际服务，实际服务读取Body节点信息进行逻辑处理，用于发送结构化的数据。服务的相关信息通过查询服务目录获取。请求方名称，即RequestApp节点的Name属性取值范围由平台统一定义，Web服务请求<?xmlversion="1.0"encodin<xs:schemaxmlns:xs="/2001/XMLSchema"attributeFormDefault="unqua<xs:documentation>请求消息头</xs:doc<xs:elementname="R<xs:elementname="Summary"type="<xs:documentation>请求消息体</xs:doc<xs:elementref="Data"maxOccurs="u<xs:elementname="Cell"maxOccurs="<xs:attributename="Value"type="xs:string"<xs:attributename="DataType"use=type="xs:string"use解，用中文说明数据单元含义</xs:documentati<xs:attributename="Name"type="xs:string"use="<xs:attributename="Method"type="xs:string"use="Web服务响应包定义了服务提供方响应平台的信息，并由中心返回给服务请求方。DataSet节点是可选的，用于返回结果集，用于查询类的服务。Web服务响应<?xmlversion="1.0"encodin<xs:schemaxmlns:xs="/2001/XMLSchema"elattributeFormDefault="unqua<xs:documentation>所有服务响应的信息包</xs:docu<xs:elementref="DataSet"minO<xs:attributename="ErrMsg"<xs:elementref="Data"maxOccurs="u<xs:elementname="Cell"maxOccurs="<xs:attributename="Value"type=<xs:attributename="DataType"use=<xs:attributename="Annotation"type="xs:string"use解，用中文说明数据单元含义</xs:documentati访问控制接口表7判断User对Resource是否有制定操作权AccessControl.hasPermission()String类型，指定执行者的唯一标识，如String类型，指定资源对象唯一标识，如String类型，指定操作类型关键字，如add、update等如果operationKey为nul抛出IllegalArgumentExceptiAccessControlException如果无法正常返回结果，则抛出此异常，NoSuchElementExceptionuserUID无法得到相应的User对表8获得User对象对Resource的操作AccessControl.getOperations()String类型，指定执行者的唯一标识，如String类型，指定资源对象唯一标识，如如果无法正常返回结果，则抛出此异常，NoSuchElementException如果参数非法或参数类型不正确，则抛出此异常。如果对象不存在，则抛出此异常，如通过userUID无法得到相应的UseString数组，返回包含符合条件的operationKey数组，如果是负权限，在表9获得User对象能以指定操作类型访问的资AccessControl.getResources()String类型，指定执行者的唯一标识，如果IllegalArgumentExceptioString类型，指定查询资源的范围，包括其所如果参数非法或参数类型不正确，则抛出此异NoSuchElementException如果对象不存在，则抛出此异常，如通过userUID无法得到相应的User对String数组，返回符合条件的resourceUI表10获得User对象能以指定操作类型访问的资源的AccessControl.getActors()String类型，指定资源对象唯一标识，如果String类型，指定操作类型关键字，如add、IllegalArgumentException如果参数非法或参数类型不正确，则抛出此异NoSuchElementException如果参数非法或参数类型不正确，则抛出此异常。如果对象不存在，则抛出此异常，如通过resourceUID无法得到相应的Resource对象表11获取User数组对资源数组是否具有指定的操作的通过传入User、Resource、Operation的唯一标识数组，判断每一User对象对每一Resource对象是否具有指定的操作String数组，指定资源对象唯一标识的数boolean类型，是否包含通过继承、等效获得的权限，如果为true则包含，否则只包含直接operationKeys数组为nulNoSuchElementExceptionboolean三维数组，分别对应actorUIDs、resourceUIDs、operationKeys是目录访问接口UserDictionaryService.addPerson()如果参数不符合约定用户信息格式，则抛出此Boolean类型，如果增加成功返回true，如果增加失败则返回falseUserDictionaryService.deletePerson()如果参数不符合约定用户信息格式，则抛出此boolean类型，如果删除成功返回true，如果删除失败则返回falseUserDictionaryService.updatePerson()如果参数不符合约定用户信息格式，则抛出此boolean类型，如果更新成功返回true，如果更新失败则返回falUserDictionaryService.addDepartment如果参数不符合约定部门信息格式，则抛出此boolean类型，如果增加成功返回true，如果增加失败则返回fal把部门信息从用户目录接口中删除，必须先删除其下用户如果参数不符合约定部门信息格式，则抛出此UserNotEmptyException部门下如果还有用户信息，则不能删除该部boolean类型，如果删除成功返回true，如果删除失败则返回fal如果参数不符合约定部门信息格式，则抛出此Boolean类型，如果更新成功返回true，如果更新失败则返回false<?xmlversion="1.0"encodin<ServiceMethod="XXXX"Nam<CellName="epPersonID"Value=<CellName="employeeNumber"Value="A11011"Annotation="用户编码"<CellName="epUserName"Value="张三"Annotation="用户帐号别名"<CellName="userPassword"Value=""Anno<CellName="telephoneNumber"Value="66696033"Annotation="办公电<CellName="mobile"Value=Annotation="移动电话号码"<CellName="epSex"Value="St<CellName="epIdentityNumber"Value="420Annotation="身份证号"DataType="string"/><CellName="epIP"Value="1"Annotation="IP地址"<CellName="epRemark"Value="<?xmlversion="1.0"encodin<ServiceMethod="XXXX"Nam<CellName="edNam<CellName="edDisp<CellName="postalAddress"Value=""Annotatio<CellName="telephoneNumber"Value=""Annotation="部门办公电话"<CellName="facsimileTelephoneNumber"Value=""Annotation="部门传<CellName="edSuperDepartment"Value=""Annotation="上级部门ID"Annotation="注态""系统审计接口ApplictionAuditLog.getApplicationLogInfo()应用系统统一从门户获取该系统的用户操作、违规操作及“伪登录”等审计信ApplicaionID如果ApplicaionID为nullApplictionAuditLogInfo系统审计信息，具体信息约定见附录D。<?xmlversion="1.0"encodin<Requestxmlns:xsi="/2001/XMLSchema-instance"xsi:noNamespaceSchemaLocation="Request<ServiceMethod="updateTaskStatus"Name="<CellName="Operator"VaName="Description"Value=""AnnotaName="WorkObject"Value=""Annotation="操作对象" Name="DataOper"Value=""Annotation="数据操作描述"Name="IsPseudo"Value=""Annotation="是否伪登录"Name="RealUser"Value=""Annotation="真实用户账号"Name="DeviceName"Value=""Annotation="机器名称"Name="Mac"Value=""Annotation="Mac地址"Name="IP"Value=""Annotation="IP地址"DataType="string"/>统一待办接口ApplictionTaskCeter.addTaskInfo()门户系统为用户提供统一的待办任务办理入口，用户不再需要进入各个应用系String类型，待办任务信息，具体格式约如果待办任务信息不符合待办任务格式约Boolean类型，如果增加成功返回true，如果增加失败则返回falseApplicti