企業門戶“業務系統接入”模塊的設計與實現

周洋

摘要：企業門戶系統為員工提供綜合信息服務的同時，內部需要與各業務系統對接，其目的旨在通過統一的系統入口，實現單點登錄、統一待辦等功能，為企業員工提供一站式的信息訪問服務。本文旨在通過前端向導配置，以最小的代價完成對異構系統的接入。

關鍵詞：門戶；單點登錄；統一待辦

中圖分類號：TP3ll 文獻標識碼：A 文章編號：1007-9416（2018）02-0134-03

1背景

隨著信息化在企業中的持續深入推進，企業逐步實施PLM（產品全生命周期管理系統）、OA（協同辦公系統）、QMS（質量信息系統）等業務信息系統，這些系統對企業生產經營活動中的支撐作用及成效越來越突出。隨著企業信息化建設的不斷深入，業務系統、應用系統的數量也在持續不斷增加，從技術層面看，也帶來了以下突出問題：

（1）早期信息系統的建設以滿足企業業務需求為主，且系統在架構上零散獨立，有國內外成熟軟件，也有定制開發軟件，缺少整體協同性。（2）隨著應用系統的不斷增多，員工在開展工作過程中需要頻繁進行系統切換與登錄，而且還需記憶不同系統的登錄地址、用戶名、密碼，嚴重影響工作效率。（3）從信息化管理者角度出發，各系統中用戶和部門數據差異較大，且均不完整，且一旦公司有人員或部門的調整，信息中心每個系統管理員就需要耗費大量的時間和精力來維護這些數據，工作內容重復。（4）密碼安全隱患越來越明顯，由于各系統都保存有用戶的密碼，員工一般都會將各系統密碼都會設為相同，各系統管理員、實施顧問甚至單位內部人員都可以獲得該密碼。

目前，企業通過門戶系統建設，構建一體化的信息平臺。除實現綜合信息展示外，快捷、低成本完成對業務系統的接入，實現各系統統一用戶管理、統一認證、單點登錄、統一待辦等功能，成為系統建設的基礎性內容，也是重點內容之一。

2 企業門戶集成架構的設計

企業信息門戶的集成架構見圖1，分為如下五大模塊：

（1）統一用戶管理。統一用戶管理是一體化信息平臺建設的基礎，也是約束系統數據統一標準的重要手段。本文中所指的用戶信息，包括與用戶相關的信息及組織機構信息。統一的用戶管理模塊中，不僅實現與人力資源系統對接，完成對用戶信息進行集中的、全生命周期的管理，還包括用戶對接入系統訪問權限的管理。（2）身份認證。指對員工在登錄業務系統時，對用戶名、密碼及其它認證憑據信息正確性驗證進行統一的管理。在企業中，因歷史原因、產品選型等原因，不僅需要考慮未來的統一集中認證，還需結合企業業務應用現狀，考慮系統應用本身等認證機制。（3）單點登錄。單點登錄是指員工通過登錄門戶系統這個“單點”后，不再還需要繼續輸入用戶名與密碼等憑據信息，就可以直接進入其他信息系統，進行業務處理。（4）統一待辦。統一待辦是指將各個業務系統分散的、需要一個員工處理的事項集中在一起，進行集中展現與處理。（5）消息隊列推送。是指通過消息隊列，將用戶和組織機構變更信息推送給各業務系統，由各業務系統根據變化情況自行進行業務調整。

3 企業門戶“業務系統接入”模塊的設計

業務接入模塊為企業門戶中的核心，其目的是搜集業務接入信息，形成核心配置參數庫，用于指揮其他模塊的輸出。

本模塊的設計原則：盡可能提供靈活的配置，增強設計柔性，以適配不同類型系統、不同接口、不同的接入方式。

本模塊的總體設計思路為：前端向門戶管理員提供向導，通過每個步驟的配置，獲取接入系統與門戶系統集成配置信息，并以該配置信息作為其他模塊與業務系統集成的基礎信息。如圖2所示。

在總體設計中，系統接入模塊包括接入系統登記、用戶信息推送配置、認證接入配置、單點登錄接入配置及待辦接入配置五大部分。其中：

（1）接入系統登記。主要實現對接入系統基本信息的登記，主要內容如表1所示。（2）用戶信息推送配置。主要完成向業務系統推送用戶、組織機構等信息的登記，主要內容如表2所示。（3）認證接入配置。對業務系統接入門戶的認證方式進行登記，為單點登錄、接入系統獨立登錄方式進行信息登記（后續可用于擴展，如短信認證、證書認證等），主要內容如表3所示。（4）單點登錄接入配置。對通過企業門戶單點進入各業務系統的相關配置信息進行登記，主要內容如表4所示。（5）待辦接入配置。對通過企業門戶單點進入各業務系統的相關配置信息進行登記，主要內容如表5所示。

4 系統接入模塊在系統單點登錄中的應用

本節將通過中間件方式，對系統接入模塊單點登錄中的運行機制進行深入介紹。單點登錄機制見圖3所示。

用戶通過門戶前端，發出單點請求，在請求過程中，門戶系統從Token發放與認證中心中發放Token，并將該Token傳遞接入系統單點登錄代理，由該代理再次對該Token進行認證，認證成功后則進入接入系統。

為保障系統安全性，對Token的發放、認證至關重要。Token生成與認證經由復雜的加密、解密算法構成，加解密內容除包括必須的目標地址、用戶名等信息外，還注入了時間戳、動態加密碼、訪問隨機碼等信息。為防止時間誤差，該機制中還需引入時鐘同步，確保時間戳在單點登錄過程中的有效性。單點登錄不但防止非法分子對傳輸數據的篡改，阻止非法登錄訪問，而且避免了采用HTTPS及其他方式帶來的證書應用問題。提高了認證的便捷性。關于Token的生成，筆者所在企業已申請了專利《一種采用中間件實現單點登錄的方法和系統》。

在該機制中，系統接入模塊對Token的生成至關重要，當因系統調整，需對認證方式修改時，可通過對接入配置信息的修改，快速實現單點登錄過程的自動調整，滿足企業靈活多變的需要。

5 企業門戶“業務系統接入”模塊的實現

根據上述設計，作者在所屬企業的門戶項目實施中，在微軟SharePoint的門戶系統基礎上，完成系統接入模塊的實現。一方面，利用SharePoint實現對業務信息的聚合，向員工提供綜合信息前端展示服務，另一方面，在門戶系統后端，采用定制開發方式，實現業務系統接入配置，實現與SharePoint的無縫集成。

目前，企業門戶系統運行穩定，已完成了24個不同架構系統的接入。從架構上看，包括了BS及CS的系統，不僅包括了國內軟件、定制軟件，而且也包括了國外WindChillPLM、DominoOA。

從單點登錄上看，如圖4所示，目前，每月發生近5萬次的單點登錄請求，運行穩定安全。

總體上看，該設計實現從對系統的接入采用向導式接入，不僅方便快捷，而且因系統做了不同技術類型的對接方式，接入成本低，滿足企業靈活多變的業務需要。

6 結語

本文從企業實際出發，為企業門戶提出了一種簡單、方便快捷、低成本的系統接入模式，大大降低了系統接入門戶系統的對接難度。

除對企業門戶系統采取技術手段外，還應配備相應的管理措施，從接入系統的產品選型、招標開始，就將與門戶對接作為技術要求之一，進而保障企業一體化信息平臺的構建。