北控水务信息门户系统建设方案V1.2

北控水务信息门户系统建设方案用友软件股份有限公司二○一三年四月此文档为保密文档，未经用友软件股份有限公司书面同意，不得向任何单位或个人提供、转让本文档中的任何内容，用友软件股份有限公司将保留对泄漏文档内容的起诉权利。北控水务信息门户系统建设方案文件状态：[]草稿[]正在修改[√]正式发布文件标识：当前版本：作者：完成日期： 版本历史 版本作者参与者起止日期备注1.0陈辉20130412新作成审核记录版本姓名职位审阅日期备注 目录TOC\o"1-4"\h\z\u第一章动因与价值 1第二章总体方案 2第三章建设内容 53.1统一企业门户 53.2统一消息中心 53.3统一待办中心 63.4统一用户中心 73.5统一认证中心 7第四章建设步骤 104.1第一阶段：快速建设、体现价值 104.1.1工作内容与价值 10统一用户认证，提升信息化体验 10统一消息待办，提高工作效率 11统一信息发布，促进信息共享 12信息分层管理，服务不同岗位 134.1.2工作计划与工作量 134.2第二阶段：全面建设，全面整合 144.2.1工作内容与价值 14持续优化改进，量变促成质变 14移动办公 144.2.2工作计划与工作量 16动因与价值北控水务经过1年的信息化建设已经建立完成财务、BI、人力资源、协同OA、报表中心等五个信息系统，信息化建设取得了初步成果。由于前期建设主要集中在具体业务模块之上，五个信息系统之间没有体现出很好的协同效果，没有做到1+1大于2的局面。为了顽固一期建设成果，同时为二期建设做好基础，急需一个平台把现有信息系统进行整合，并为后续建设提供规范要求。虽然北控水务信息化建设起步较晚，但是会有一些后发优势，目前建设的五个系统采用技术均较先进，财务、人力、报表中心采用统一的平台，此时启动集成平台建设起点高、收效大。信息化建设的三个阶段集成平台主要包括：界面集成、数据集成、流程集成、服务集成等几部分，根据北控水务的实际情况先建设界面集成门户收效最大，待门户建设取得阶段性成果再建设其它集成功能。总体方案集成层分为四个集成平台（信息门户、应用集成、分析决策、数据交换），总体架构如下图：总体架构图总体架构采用纵向三列、横向五层的设计方式，纵向包括安全体系、和运维保障体系，横向上有用户层、集成层、应用层、数据层和基础层。1、用户层 为各层次、各类别人员提供针对性的访问界面。2、集成层该层由四个集成平台（信息门户、应用集成、分析决策、数据交换）构成。形成统一的用户交互、统一用户管理及授权、统一用户身份认证、应用功能提供、数据交换、数据分析利用、业务流程协同能力，灵活适应业务发展带来的信息化需求变化，实现集成共享能力，为融合支撑、价值创新奠定坚实的基础。3、应用层该层主要包括综合经营管理、科研生产管理、知识管理、财务管理、人力与组织管理、综合行政管理等六大类业务应用系统。业务应用系统的用户涉及北控水务所有职能部门（领导机构、处室及研究室）的各级领导、管理人员、业务执行人员。4、数据层该层以数据库和LDAP存储和管理系统基层过程中需要的数据资源，通过对系统集成的需求的整体分析，将系统集成数据资源划分为配置监控库、服务注册库、门户信息库、BI资源库以及用户目录数据。5、基础层整合利用现有的软硬件设施，为系统集成提供基础运行环境。6、安全体系和运维保障体系制定一套信息安全与系统运维设计方案，确保系统、数据等的安全，同时保证系统上线后能稳定运行。为公司系统使用者提供系统培训、技术支持等全程贴身服务，保障系统高质量运行。安全管控是集统一认证、身份管理、单点登录、访问管理、安全管理于一身的基础技术平台,主要包括如下三方面。1、 统一用户中心，UUC(UnifiedUserCenter)，负责管理用户账号的全生命周期管理与权限管理。包括用户账号的新建、生效、实效、暂停、注销、映射、分发、同步、授权、支持认证方式、访问互斥策略等。。2、统一认证中心，UIA(UnifiedIdentityAuthentication)，负责负责统一管理与认证相关工作，例如认证协议、逻辑、方式等，支持普通的用户名/密码认证方式，以及支持CA证书、USBKEY等多种身份认证方式。3、统一审计管理，UAA(UnifiedAuditAdministration)，负责对用户的访问日志进行实时监控、访问操作行为进行合规监管统计。统一用户认证中心产品架构图建设内容统一企业门户门户作为所有信息系统的访问入口和展现平台，通过用户集成、界面集成、消息集成提供系统单点登录入口、统一消息待办、统一用户身份认证、统一访问操作审计、统一信息发布、综合报表展现等功能，从而全面提高信息系统的安全性与便捷性，提高领导获取信息，决策判断的便捷性，提高员工的工作效率。门户的三大集成统一消息中心统一消息中心提供系统与系统之间、系统与用户之间、用户与用户之间的消息发送、接收、提醒、反馈管理，支持多种消息传输展现模式（门户消息展现、语音电话、手机短信、电子邮件等）。消息中心统一待办中心统一待办中心提供待办工作的集中管理、查询功能，根据各类工作的紧急程度进行排序，到时自动进行催办管理；待办工作管理中把与该项工作相关的一系列信息（包括：工作来源、完成时限、工作目的）表现出来，同时容许用户定制提醒的时限和方式。待办中心待办任务包括：待办公文、预警信息、督办信息、通知通告、日程安排、任务通知、会议通知、最新文章等。消息集成方案消息集成即在门户中可以集成各个业务系统的消息、待办等信息，并可以直接处理，不需要再直接进入具体的业务系统。门户集成第三方系统的消息主要采用两种方式。采用第三方系统提供的服务(WebService)直接获取第三方系统的待办消息，在Portal中通过Portlet展示，返回的待办消息应至少包括消息标题、消息链接地址，点击每一个待办消息链接，应能够直接打开第三方系统的待办消息处理界面。直接单点集成第三方系统的消息界面，通过单点登录进入第三方系统并告知第三方系统要跳转到该系统的消息界面，那么该消息界面将直接展示在Portlet中，点击打开消息完全依赖第三方系统的内部处理机制。以前要进入多个系统才能处理的待办事务，现在通过门户系统全部统一处理。每条待办事项信息应该包括如下字段 字段名备注消息来源具体哪个业务系统的消息待办事项ID待办事项唯一编号消息内容消息内容处理链接用户点击弹出页面的链接信息状态0：正常1：即将超时信息发送时间待办事项信息发送时间，形如：yyyy-mm-ddhh-MM-ss信息发送人信息发送人待办事宜集成显示门户平台可以集中将业务系统中的待处理事项以待办事务的形式集成到门户系统中。达到在一个工作界面中通览多个业务系统待处理任务的效果。实现业务处理事项多层次、多维度、多视角、全方位的信息展现；信息整合子系统应整合来自各业务系统的数据，达到待办事项集中提示、重要数据集中展示的功能。门户待办分类展现门户通过Portlet、布局进行分类划分，将不同待办事宜进行分划，达到可以快速进行处理，提高协同办公效率目标。统一用户中心统一用户中心负责管理用户账号的全生命周期管理与权限管理。包括用户账号的新建、生效、实效、暂停、注销、映射、分发、同步、授权、支持认证方式、访问互斥策略等。从功能角度统一用户中心包括如下功能：1、人员信息系统管理员、组织管理员可增加主账号信息，组织管理员主账号信息走审批流从第三方系统导入，AD、HR系统、OA系统各系统调用用户中心发布的服务实时、定时同步用户信息2、人员组织机构自建、或从它系统同步只作为主账号的分类，方便查询、定位3、 人员访问系统权限人员关联角色，角色关联可访问系统密码策略管理，密码管理4、用户自助维护系统更改密码，重置密码，找回密码个人信息维护系统映射关联统一用户中心统一认证中心统一认证中心负责负责统一管理与认证相关工作，例如认证协议、逻辑、方式等，支持普通的用户名/密码认证方式，以及支持CA证书、USBKEY等多种身份认证方式。统一认证中心认证方式采用插件化设计，默认支持多种认证方式，针对北控水务采用厂商吉大正元提供的CA认证方式，统一认证中心产品默认支持，只需要进行简单的接口调试。其它接入系统只需与统一认证中心进行单点登录，不必再使用CA方式进行认证，也可具备CA认证的安全性。统一认证中心全景流程图如下图，：统一认证中心全景图1、用户用浏览器访问业务系统时，会重定向到认证中心地址，用户提交凭证(账号密码、指纹、CA等)给认证中心；2、3认证中心与凭证槽三者之间进行认证协议流转，最终确认当前用户是否为合法用户；4、认证中心返回页面给浏览器，并在浏览器中写入UUCcookie，UUCcookie中保存着当前用户账号信息。5、浏览器接收到的返回页面是个redirect动作，浏览器redirect到返回之前访问的地址(默认是门户地址)；6、门户通过UUCcookie获取当前登录的用户UserID，加载用户信息，返回门户首页。7、用户在门户页面中点击接入系统的链接，浏览器访问接入系统。8、接入系统过UUCcookie获取当前登录的用户UserID，如果是用户映射的系统获取到的是映射了的UserID，加载用户信息，返回接入系统页面。为了保证认证过程的安全严密性，UUCcookie中保存的用户信息采用签名算法进行签名。统一认证中心包括如下功能：1、为所有业务系统提供集中的认证中心 支持静态用户名密码、动态密码、CA证书、U-Key、指纹、个性化认证等认证方式每一主账号用户可以设置不同的认证方式支持多种开放标准协议，HTTP、HTTPS、Webservice、TCP、LDAP安全策略，无操作时间限制、IP限制、密码错误次数限制、强制口令修改2、为B/S、C/S架构系统提供单点登录功能Form-BasedSSO基于tokenSSO3、接入系统管理接入系统注册，系统码、系统名称、系统类型、用户验证类型、系统描述、是否有效、最后修改时间建设步骤根据分布建设、从易到难的原则，建议采取“整体规划、分布实施”策略，把建设步骤分为两个阶段。第一阶段快速建设，体现效果：主要采用门户产品进行实施，产品功能可以绝大部分覆盖北控水务一阶段需求。主要工作包括：1、统一待办、统一消息、统一的新闻公告；2、单点登录、页面集成；3、统一用户管理。4、接入报表分析、领导驾驶舱；第二阶段持续优化，全面推广：主要完善第一阶段的工作，包括：1、对新建设的系统进行单点接入；2、丰富信息内容，包括丰富信息发布新闻公告的栏目内容、丰富企业文化建设内容、增加公司、部门介绍等信息展现；3、增加多级门户，在第一阶段基础上增加完善多级门户的建设；第一阶段：快速建设、体现价值工作内容与价值统一用户认证，提升信息化体验安全管控平台的建设方案是集统一认证、身份管理、单点登录、访问管理、安全管理于一身的基础技术平台。统一用户认证中心产品功能图安全管控平台的建设方案主要包括如下三方面。1、 统一用户中心，UUC(UnifiedUserCenter)，负责管理与用户账号相关的工作，例如新建、生效、实效、暂停、注销、映射、分发、同步、授权、支持认证方式、访问互斥策略等。2、统一认证中心，UIA(UnifiedIdentityAuthentication)，负责统一管理与认证相关工作，例如认证协议、逻辑、方式等。3、统一审计管理，UAA(UnifiedAuditAdministration)，负责对用户的访问日志进行实时监控、访问操作行为进行合规监管统计。统一用户管理和统一认证管理可以在一期进行建设，统一审计建议放在二期或者三期建设。通过统一身份认证中心产品实现各系统的单点登录。共有两种解决方案：票据方式、表单方式，由于表单方式对接入系统改造工作量要求小，可以快速出效果，所以第一阶段建议采用表单方式。统一身份认证中心支持多种认证方式，例如CA认证、静态密码、动态手机短信、指纹机等。实现统一身份认证之后，认证中心支持的认证方式，接入系统自动支持，不需要做额外改造。如上图，原先由于要使用的系统众多，使用者要记住所有系统的用户名、密码，单点登录及安全技术实施之后使用者只需要面对门户系统，门户达到了统一入口的效果。统一消息待办，提高工作效率过门户产品中统一消息功能，可以把各系统消息集中展现在门户中。统一消息待办集成有两种实现方式：页面嵌入方式、数据服务集成方式。由于页面嵌入方式涉及到接入系统配合工作量小，所以第一阶段建议采用页面嵌入方式。没有实施统一消息待办之前，每个系统的待办事务无法及时的获取，用户必须进入每个业务系统才知道有没有待办要处理。有了门户后，所有系统待办消息都在门户上直接展现，用户进入门户系统后就可以方便、快速的处理所有系统和自己有关的待办消息，在不同系统间的切换对用户是透明的，极大提高了工作效率。统一信息发布，促进信息共享通过门户产品中信息发布功能，进行北控水务所有通知、公告、动态网页的信息发布，从而达到统一发布、统一查阅、信息共享的目的。企业信息化的建设不断发展，所建系统越来越多，众多的信息分布于各个业务系统，信息资源分散，无法做到集中采集、集中发布，信息资源缺乏有效的共享抑制了信息价值的体现。而门户系统好比是一根串联各个珍珠的线，能够科学、高效、无缝的将这些信息系统串联，充分融合各个业务系统信息于统一平台，不同角色人员可以看到自己相关的各种信息，在门户中做到信息的采、编、发一站式处理。信息分层管理，服务不同岗位门户支持根据不同用户，分角色、岗位、部门等进行信息展示，从而可以实现员工首页、领导驾驶舱、信息部专栏、集团首页、公司首页等多级门户效果。企业人员众多，不同岗位的人员对于企业的关注层次也不尽相同，普通员工登录门户快速、方便的访问自己常用的系统，能够快速处理日常办公事务。领导层登录门户可以查看不同报表数据，通过门户与BI系统的集成，将报表数据以Flash动态图表的方式展现于门户平台，企业财务指标、风险预测、经营状况指标等一目了然，支持决策。工作计划与工作量门户为117人天，接入系统改造配合为47人天，共计164人天。门户以集成财务、BI、人力资源、协同OA、报表中心等五个信息系统计算，预计需要3个月（投入2个人，共117人天）完成，详细列表请见《北控水务信息门户系统建建设规划》。此阶段只有少量单点登录接口连调涉及到开发顾问工作，其余均为实施工作。阶段具体工作项是否

必须备注单位人天数量总计第一阶段快速建设、体现价值是117A01搭建企业门户A01-01安装是软件产品的安装工作，包括：软硬件拓扑规划、网络规划、产品安装。224A01-02美工根据企业要求美化门户登录界面、主界面。10110A02组织架构搭建是门户页面自维护、从外系统同步两种方式选一。A02-01初始化是515A02-01同步515A03权限体系建设是根据不同角色人员需要看到的内容进行不同权限设置。313A04登录方式是默认为静态密码方式验证，可以支持CA/U-Key、指纹、动态码、短信等方式。500A05公共信息建设A05-01新闻门户提供发布新闻功能。155A05-02公告门户提供发布公告功能。155A07-03凭证式单点登录凭证式单点登录集成3515A09局部页面集成是把关键、常用的接入系统局部页面放在门户中以嵌入Portlet、弹出新窗口方式展现。21020A10待办集成是把集成的各系统常用消息、待办、功能节点集成到门户中。5525A11布局建设是领导、员工、分公司、部门、业务专题等专业布局建设。10220接入系统现有财务、BI、人力资源、协同OA、报表中心等五个信息系统，NC系统包括财务、人力、报表中心三个功能，由于基于一个平台，三个系统改造工作量只需要一份。共需要47天完成，详细列表请见《北控水务信息门户系统建建设规划》。阶段具体工作项备注单位人天数量总计第一阶段快速建设、体现价值47A01NCNC系统包括财务、人力、报表中心三个功能，由于基于一个平台，三个系统改造工作量只需要一份。A01-01消息改造符合门户的标准消息接口515A01-02待办改造符合门户的标准待办接口515A01-03页面单点登录及打开节点NC57页面打开方式与Portal6做集成313A02BIA02-01单点登录515A02-01图表集成3824A03OA由于OA与门户已经存在接口，OA的待办独立展现在门户中，所以单点登录、消息、待办不需要开发，只需要做连调测试515第二阶段：全面建设，全面整合工作内容与价值持续优化改进，量变促成质变根据一期项目建设经验，对已有功能进行持续的优化改进，包括：1、技术实现方式的改进，从注重效果、速度转变为注重安全、方便。例如统一消息待办采用数据服务抓起方式；2、丰富内容建设，丰富信息发布新闻公告的栏目内容、丰富企业文化建设内容、增加公司、部门介绍等信息展现；3、增加多级门户，在第一阶段基础上增加完善多级门户的建设；随着门户对接入系统、接入