統(tǒng)一信息門戶建設(shè)方案

統(tǒng)一信息門戶建設(shè)方案為了解決因信息系統(tǒng)建設(shè)數(shù)量眾多而出現(xiàn)的“多賬號密碼”問題，整合現(xiàn)有分散的異構(gòu)應(yīng)用系統(tǒng)，通過統(tǒng)一的信息門戶，解決用戶認(rèn)證、單點登錄、應(yīng)用管控等問題，在不影響各應(yīng)用系統(tǒng)業(yè)務(wù)邏輯的前提下，構(gòu)建統(tǒng)一信息門戶，實現(xiàn)各個應(yīng)用系統(tǒng)的無縫集成，使用戶在跨系統(tǒng)使用資源和處理業(yè)務(wù)時感覺是在一個系統(tǒng)上進(jìn)行操作，搭建開放的、支持快速的應(yīng)用配置，提升統(tǒng)一信息門戶的管理效率和用戶體驗。1.建設(shè)內(nèi)容1.1建設(shè)范圍根據(jù)相關(guān)需求的理解和規(guī)劃，統(tǒng)一信息門戶開發(fā)建設(shè)包括：用戶數(shù)據(jù)中心、用戶認(rèn)證中心、用戶管理中心、系統(tǒng)服務(wù)中心、系統(tǒng)消息中心和應(yīng)用管控中心。1)用戶數(shù)據(jù)中心用戶數(shù)據(jù)中心一方面實現(xiàn)對納稅人用戶、繳費人用戶、稅務(wù)人員用戶、特殊用戶、第三方用戶等所有用戶進(jìn)行統(tǒng)一管理，另一方面實現(xiàn)對用戶、主從賬號、組織結(jié)構(gòu)、安全認(rèn)證以及用戶全生命周期的管理。用戶數(shù)據(jù)中心是統(tǒng)一信息門戶的基礎(chǔ)，它是對各類業(yè)務(wù)系統(tǒng)數(shù)據(jù)收集、整理、存儲和展現(xiàn)的重要基礎(chǔ)平臺，是實現(xiàn)統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)管理、統(tǒng)一使用效勞的前提和基礎(chǔ)。用戶數(shù)據(jù)中心通過同步抽取各業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)，對抽取的用戶數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗，按照統(tǒng)一的數(shù)據(jù)格式和定義好的數(shù)據(jù)模型對用戶數(shù)據(jù)進(jìn)行字段合并、重塑、移除、格式轉(zhuǎn)換，裝載至統(tǒng)一信息門戶的用戶信息數(shù)據(jù)庫，按照效勞對象分為內(nèi)網(wǎng)用戶中心、外網(wǎng)用戶中心兩大區(qū)域，后續(xù)使用按照需求從用戶數(shù)據(jù)中心調(diào)取用戶數(shù)據(jù)。2)用戶認(rèn)證中心用戶認(rèn)證中心提供統(tǒng)一用戶管理功能以及為第三方使用提供用戶拜候認(rèn)證的開放效勞，為系統(tǒng)以及之上構(gòu)建的使用提供統(tǒng)一賬號信息、統(tǒng)一認(rèn)證、用戶材料信息等效勞，實現(xiàn)用戶登錄、認(rèn)證、授權(quán)、安全設(shè)置等功能。用戶中心提供美滿的安全防護(hù)和審計機(jī)制，保證用戶材料和系統(tǒng)的安全。統(tǒng)一身份認(rèn)證是為了保證用戶登錄的統(tǒng)一入口所采取的的技術(shù)手段，他可以實現(xiàn)統(tǒng)一信息門戶用戶在眾多業(yè)務(wù)系統(tǒng)中只使用一套用戶名和密碼，并能夠?qū)崿F(xiàn)用戶拜候權(quán)限的集中控制和管理。提供用戶身份組合認(rèn)證方式，提供單點登錄、會話保持、單點登出效勞，并在傳統(tǒng)CAS效勞的功能上增加用戶角色權(quán)限控制，同時建設(shè)目錄效勞，實現(xiàn)用戶一次登錄，可以拜候權(quán)限內(nèi)部所有的使用系統(tǒng)。3)用戶管理中心用戶管理中心，提供用戶信息、用戶角色、用戶使用、用戶授權(quán)的統(tǒng)一管理。統(tǒng)一用戶管理使用統(tǒng)一身份認(rèn)證平臺的所有業(yè)務(wù)應(yīng)用系統(tǒng)的全部用戶，用戶身份支持LDAP和數(shù)據(jù)庫的同時存儲。統(tǒng)一角色管理管理統(tǒng)一身份認(rèn)證平臺本身寧靜臺所有使用系統(tǒng)中所需要的使用到的角色信息，系統(tǒng)通過用戶、角色、權(quán)限機(jī)制、以及角色、用戶權(quán)限批量處理機(jī)制，加大中央便用戶權(quán)限分配。統(tǒng)一應(yīng)用管理管理納入統(tǒng)一身份認(rèn)證平臺的各使用系統(tǒng)的應(yīng)勤奮能點和使用權(quán)限。統(tǒng)一授權(quán)管理實現(xiàn)用戶與角色、角色與功能的對應(yīng)管理，實現(xiàn)菜單權(quán)限、數(shù)據(jù)權(quán)限、資源權(quán)限等多權(quán)限分類管理。同時，實現(xiàn)權(quán)限策略的定制和調(diào)用，便于實現(xiàn)與應(yīng)用流程的緊密結(jié)合。4)系統(tǒng)效勞中心效勞中心采用“平臺+使用”、“數(shù)據(jù)+效勞”的設(shè)計理念，為統(tǒng)一信息門戶集成各業(yè)務(wù)系統(tǒng)提供效勞的發(fā)布、管理、調(diào)取等全流程管理，匡助用戶快速構(gòu)建出基于使用，貫通平臺、使用開辟者與目標(biāo)用戶的生態(tài)鏈，建立真正開放、穩(wěn)定、良性的統(tǒng)一門戶生態(tài)系統(tǒng)。以用戶信息為基礎(chǔ)，提供統(tǒng)一平臺登錄界面，提供個人門戶功能，將個人的日常工作任務(wù)和所需的信息統(tǒng)一集成到門戶中，使得門戶成為個人工作和享用效勞的電子桌面，用戶可以根據(jù)需要自己定義自己的工作臺的使用效勞系統(tǒng)和風(fēng)格。5)系統(tǒng)消息中心消息中心是稅務(wù)局和稅務(wù)服務(wù)對象之間、稅務(wù)與政府各部門之間的信息交流與協(xié)同的工作平臺。通過消息中心提供基于社會化的協(xié)作與共享能力，主要包括用戶之間的交流與互動、基于應(yīng)用的業(yè)務(wù)協(xié)作、知識的分享、信息的主動推送等?；谄脚_的協(xié)作與共享服務(wù)可提供在線社區(qū)、即時通訊、消息推送等多種服務(wù)，相關(guān)部門可以利用該功能在線展開互動和交流，提高日常協(xié)同辦公效率。協(xié)作服務(wù)提供開放的接口，可以在應(yīng)用系統(tǒng)中嵌入?yún)f(xié)作服務(wù)能力，提升用戶應(yīng)用體驗。6)應(yīng)用管控中心根據(jù)業(yè)務(wù)系統(tǒng)現(xiàn)狀，與統(tǒng)一信息門戶的規(guī)劃與設(shè)計，實現(xiàn)業(yè)務(wù)應(yīng)用的集成管控，系統(tǒng)支持頁面前端集成（基于頁面內(nèi)容集成），業(yè)務(wù)模塊化集成（基于應(yīng)用接口、業(yè)務(wù)功能模塊的整合）、業(yè)務(wù)過程集成、數(shù)據(jù)集成展現(xiàn)等多種應(yīng)用集成方式，按照統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)格式，明確應(yīng)用接口，集成業(yè)務(wù)系統(tǒng)數(shù)據(jù)與應(yīng)用。通事背景界面，分角色權(quán)限對各使用系統(tǒng)的接入、審核、發(fā)布、版本、上下架進(jìn)行管理，提供系統(tǒng)版本管理和控制，提供內(nèi)容、角色、權(quán)限、資源的統(tǒng)一展現(xiàn)，提供效勞管理接口、統(tǒng)計分析接口、使用監(jiān)控接口效勞。1.2.建設(shè)功能本次建設(shè)功能根據(jù)功能歸類分為：通用功能、系統(tǒng)管理員功能。1.2.1通用功能1)個人中心定義和管理個人的URL資源，包括個人收藏夾中URL資源的添加、保護(hù)和管理。為每個用戶開辟網(wǎng)絡(luò)個人存儲空間，用于個人文件的上傳、下載、檢索、目錄管理等，用戶可以自行管理。2)快速功能用戶可以其他整合到統(tǒng)一信息門戶中的功能模塊定義到個人工作臺上，實現(xiàn)統(tǒng)一的個人工作界面。3)單點登錄提供統(tǒng)一信息門戶平臺登錄界面，實現(xiàn)對多種類型的應(yīng)用系統(tǒng)的單點登錄訪問。單點登錄缺省支持用戶名、口令、數(shù)字證書、動態(tài)令牌、稅控裝備和人臉、指紋等生物特征等登錄方式，提供靈活可擴(kuò)展的認(rèn)證接口。支持AD、LDAP、數(shù)據(jù)庫等標(biāo)準(zhǔn)身份認(rèn)證技術(shù)，用戶信息存放在統(tǒng)一部署的LDAP中，LADAP用戶身份認(rèn)證成功則用戶登錄成功，否則拒絕用戶登錄，統(tǒng)一信息門戶需支持多種登錄方式的復(fù)合登錄。4)身份認(rèn)證建設(shè)統(tǒng)一身份認(rèn)證中心，用戶在通過認(rèn)證請求受保護(hù)資源時，拜候CAS（中央認(rèn)證效勞）中心，用戶輸入登錄信息進(jìn)行身份認(rèn)證，CAS身份認(rèn)證通過，效勞器向用戶發(fā)送登錄證據(jù)，登錄證據(jù)存儲在統(tǒng)一信息門戶的Cookie中，登錄證占有效時，用戶無需重新登錄可間接進(jìn)入使用系統(tǒng)，實現(xiàn)通過信息門戶進(jìn)行單點登錄集成使用系統(tǒng)，如果登錄證據(jù)無效則退出系統(tǒng)重新登錄。5)會話保持統(tǒng)一信息門戶用戶登錄成功之后，系統(tǒng)需要在當(dāng)前用戶有訪問請求時（在線狀態(tài)）每間隔一段時間向用戶中心服務(wù)系統(tǒng)提交用戶在線狀態(tài)信息。保證CAS（中央認(rèn)證服務(wù)中心）能夠感知到用戶當(dāng)前的活動狀態(tài)，認(rèn)證服務(wù)中心在一定時間內(nèi)沒有檢測到用戶的活動信息則判定用戶狀態(tài)為下線。將注銷用戶登錄狀態(tài)，并通知所有業(yè)務(wù)系統(tǒng)注銷該用戶的登錄狀態(tài)。6)單點退出與單點登錄相對應(yīng)，單點退出功能可以解決“單點登錄”功能在方便用戶的同時留下的安全隱患，用戶在統(tǒng)一信息門戶或業(yè)務(wù)系統(tǒng)中主動下線或超時下線時，統(tǒng)一身份認(rèn)證平臺會向業(yè)務(wù)系統(tǒng)發(fā)起用戶下線通知，告知業(yè)務(wù)系統(tǒng)，某用戶已經(jīng)下線，銷毀相關(guān)Session會話。7)日記查詢查詢用戶自己的訪問日志。8)個人設(shè)置修改個人的姓名、郵箱、手機(jī)號、使用系統(tǒng)的勾選確認(rèn)等。9)修改密碼修改個人密碼。輸入原密碼、新密碼、確認(rèn)新密碼，提交便可。10)通知消息查看其他人員發(fā)送給自己的消息。有些消息會根據(jù)當(dāng)前人員的身份自動進(jìn)行過濾。查看系統(tǒng)發(fā)送的通知公告。1.2.2系統(tǒng)管理員1)用戶管理建立集中的用戶目錄體系，用戶覆蓋各個子系統(tǒng)的用戶，所有的用戶信息都存儲在LDAP目錄效勞中心，既便于管理，又可提供一個統(tǒng)一的接口，便于其他使用調(diào)用，該LDAP和子業(yè)務(wù)系統(tǒng)現(xiàn)有的用戶管理功能做接口，實現(xiàn)當(dāng)子業(yè)務(wù)系統(tǒng)注冊和刪除用戶時，主動在LDAP中注冊用戶和刪除用戶。實現(xiàn)將所有子使用系統(tǒng)的用戶管理集中，通過UMS適配器與各類使用系統(tǒng)進(jìn)行用戶信息、機(jī)構(gòu)信息以及用戶相關(guān)屬性信息的同步，支持用戶信息查詢效勞、同步效勞、適配器效勞。2)統(tǒng)一注冊用戶在統(tǒng)一信息門戶注冊時，注冊數(shù)據(jù)通過接口保存到用戶中心，提供全量同步和實時增量同步兩種用戶注冊信息同步方式。用戶中心支持用戶注冊信息全量同步方式，提供給實時性要求不太高的子系統(tǒng)使用；在用戶注冊、信息變更、服務(wù)申請狀態(tài)變化、刪除等操作之后用戶中心支持主動通知各個子系統(tǒng)變更的用戶數(shù)據(jù)，提供給實時性要求高的子系統(tǒng)使用；3)統(tǒng)一賬號目前業(yè)務(wù)系統(tǒng)中國普遍存在賬號分散管理、賬號共用、簡單賬號口令或相同賬號口令等安全問題，這些都危害到系統(tǒng)的安全性，并降低了管理的工作效率，使用集中賬號管理，區(qū)分主從賬號，將各種應(yīng)用和設(shè)備的賬號進(jìn)行統(tǒng)一管理，通過授權(quán)管理使得一個自然人下的賬號相互關(guān)聯(lián)，并可以采用強(qiáng)口令對資源進(jìn)行統(tǒng)一設(shè)置保證資源的安全。4)角色管理管理員使用統(tǒng)一信息門戶管理各個子系統(tǒng)的角色列表，角色信息包含角色名稱、角色編碼和角色描述等信息。并能夠配置每個角色擁有的菜單權(quán)限、數(shù)據(jù)權(quán)限、資源權(quán)限。統(tǒng)一信息門戶管理員可以給用戶授與指定角色，角色權(quán)限由管理員使用權(quán)限管理功能保護(hù)，通過用戶、角色、權(quán)限批量處理機(jī)制，極大中央便用戶權(quán)限分配。5)集中授權(quán)集中授權(quán)是確定認(rèn)證通過后的用戶是否有權(quán)對系統(tǒng)資源進(jìn)行訪問或操作，集中授權(quán)是通過集中的授權(quán)中心，采用統(tǒng)一的策略管理進(jìn)行用戶授權(quán)。通過角色來獲得對象或?qū)ο蠼M的訪問權(quán)限，根據(jù)功能性屬性的不同將用戶組織定義為不同的角色，如從屬關(guān)系、訪問模式或等級標(biāo)志等。在指定訪問控制規(guī)則時，采用訪問控制列表（ACL）。ACL是由所有訪問允許規(guī)則組成的集合，應(yīng)用于單一對象。可根據(jù)用戶所在部門或角色對其可訪問范圍進(jìn)行管理，集中授權(quán)/撤銷授權(quán)，做到一次配置，全局生效。6)應(yīng)用管控對于需要接入統(tǒng)一信息門戶的在建和未建系統(tǒng)指定統(tǒng)一的接入規(guī)格說明，提供規(guī)范接口，保證各系統(tǒng)可按照規(guī)范自行開發(fā)后實現(xiàn)對統(tǒng)一信息門戶的自動接入和單點登錄，同時對接已有Web應(yīng)用、移動應(yīng)用、桌面應(yīng)用以及IoT設(shè)備等，為用戶提供集訪問控制、單點登錄和應(yīng)用門戶的一體化服務(wù)，實現(xiàn)統(tǒng)一信息門戶對各接入系統(tǒng)的統(tǒng)一管理。管理納入統(tǒng)一信息門戶的各應(yīng)用系統(tǒng)的應(yīng)用功能點和應(yīng)用權(quán)限。7)通知消息監(jiān)聽消息服務(wù)器中的消息數(shù)據(jù)，將各個子系統(tǒng)通過消息中心發(fā)出的通知消息匯集到統(tǒng)一信息門戶中進(jìn)行集中展示，運用消息中間件解決異步通信、多對多通信等問題，為管理員提供消息的定時發(fā)送功能。同時支持JMS的消息模型，提供可靠消息傳輸、事務(wù)和消息過濾等機(jī)制。同時支持手機(jī)短訊、電子郵件等擴(kuò)展消息通訊方式，方便用戶獲取即時任務(wù)提醒、即時消息傳遞等。8)日志審計詳細(xì)記錄用戶所有行為及管理員操作，并形成可視化報表，讓管理員隨時掌握各大應(yīng)用子系統(tǒng)數(shù)字資產(chǎn)的使用情況。整合不同應(yīng)用的登錄日志，讓管理員切實掌握整個統(tǒng)一信息門戶的數(shù)字資產(chǎn)使用情況，同時實現(xiàn)用戶在多個系統(tǒng)上行為的統(tǒng)合觀察，幫助管理者進(jìn)行快速的判斷和決策9)并發(fā)優(yōu)化為統(tǒng)一信息門戶需建設(shè)單獨的WEB效勞器，并增加一臺高IO的前置效勞器，在后端使用過于忙碌時阻止用戶拜候，并給出友好提示；在拜候高峰期運用云技術(shù)主動將資源集中攻擊高峰使用，關(guān)閉或限定一些不急用的或少人用的系統(tǒng)；增加對拜候率高的數(shù)據(jù)索引，優(yōu)化查詢視圖，同時使用CDN網(wǎng)絡(luò)使用WEB效勞器忙碌情況，降低主效勞器負(fù)載；優(yōu)化網(wǎng)頁機(jī)構(gòu)，減少JS代碼使用，減少圖片數(shù)量和大小。10)安全防護(hù)制定統(tǒng)一信息門戶入網(wǎng)安全規(guī)范，要求所有應(yīng)用接入統(tǒng)一信息門戶前必須進(jìn)行嚴(yán)格的安全入網(wǎng)測試，并通過安全入網(wǎng)驗收，在統(tǒng)一信息門戶運維過程中使用不同的專業(yè)WEB掃描軟件對各業(yè)務(wù)子系統(tǒng)進(jìn)行統(tǒng)一檢查，進(jìn)行定期安全檢查、網(wǎng)站安全監(jiān)控、教育培訓(xùn)，對發(fā)現(xiàn)的隱患需要及時出具整改協(xié)調(diào)函，對于退網(wǎng)的業(yè)務(wù)系統(tǒng)，要求嚴(yán)格按照安全運維規(guī)章進(jìn)行退網(wǎng)流程操作并消除敏感信息。2.系統(tǒng)架構(gòu)2.1系統(tǒng)架構(gòu)圖接入層XXX統(tǒng)一信息門戶應(yīng)用聚合層后端服務(wù)層納稅人統(tǒng)一門戶服務(wù)功能單點登錄用戶中心統(tǒng)一門戶管理功能業(yè)務(wù)子系統(tǒng)1角色管理使用管控繳費人會話保持授權(quán)管理數(shù)據(jù)權(quán)限菜單權(quán)限單點退出資源權(quán)限日志審計通知消息自然人身份認(rèn)證現(xiàn)有系統(tǒng)集成管控業(yè)務(wù)子系統(tǒng)1業(yè)務(wù)子系統(tǒng)1個人中心安全防護(hù)使用管控統(tǒng)一注冊并發(fā)優(yōu)化稅務(wù)人業(yè)務(wù)子系統(tǒng)1用戶身份信息內(nèi)網(wǎng)用戶中心特殊用戶用戶認(rèn)證中心外網(wǎng)用戶中心用戶目錄第三方基礎(chǔ)設(shè)施WEB\客戶端\APP統(tǒng)一信息門戶系統(tǒng)在邏輯上分為三層，接入層、引用聚合層和后臺服務(wù)層。2.1.1接入層最前端是系統(tǒng)接入層，他提供個性化的接入，基于不同的角色（如：納稅人、繳費人、稅務(wù)人、自然人、第三方人員等）展現(xiàn)不同的整合后的工作界面，在安全條件允許的情況下，這一層可以應(yīng)用擴(kuò)展到不同的移動終端設(shè)備上。2.1.2應(yīng)用聚合層中間是聚合層，基于XXXPortal產(chǎn)品進(jìn)行構(gòu)建，提供兩類主要的服務(wù)，一類是基本的Portal服務(wù)如單點登錄、會話保持、單點退出、身份認(rèn)證、應(yīng)用管控服務(wù)等，另一類是對現(xiàn)有系統(tǒng)整合后形成的服務(wù)如：日志審計、統(tǒng)一待辦等按不同粒度整合的服務(wù)。IBMPortal提供了多種的整合方法有很多開箱即用的Portlet可以快速的完成。2.1.3后臺服務(wù)層后臺服務(wù)層橫跨整個系統(tǒng)的各個環(huán)節(jié)，包括集中的訪問認(rèn)證，集中的用戶管理，集中度的用戶信息存儲，通過用戶身份管理系統(tǒng)建立統(tǒng)一認(rèn)證中心，為門戶系統(tǒng)提供了用戶身份管理，是整個統(tǒng)一信息門戶的基礎(chǔ)架構(gòu)。2.2業(yè)務(wù)邏輯即功能描述2.2.1身份認(rèn)證用戶想要通過認(rèn)證請求受保護(hù)資源時，首先是通過瀏覽器訪問CAS（中央認(rèn)證服務(wù)）客戶端，檢查是否有session（會話），如果沒有，則返回瀏覽器，重定向到CAS服務(wù)器端，發(fā)送認(rèn)證請求，然后彈出登錄頁面，由用戶輸入用戶名和密碼請求認(rèn)證，如果認(rèn)證成功，則返回ST參數(shù)給瀏覽器，然后瀏覽器將ST參數(shù)傳給CAS客戶端，CAS客戶端請求CAS服務(wù)器端進(jìn)行驗證，并給CAS客戶端返回確認(rèn)信息，此時CAS客戶端會創(chuàng)建session，重定向到瀏覽器登錄成功，用戶可以訪問受保護(hù)的資源了。對于yoghurt來說，上述認(rèn)證過程體驗如圖1所示，用于信息存放在統(tǒng)一部署的LDAP中，當(dāng)用戶登錄信息門戶時，門戶將用戶身份信息通過LDAP進(jìn)行認(rèn)證，如果認(rèn)證通過，則允許登錄，否則拒絕用戶登錄。2.2.2單點登錄單點登錄的前提是首先有一個統(tǒng)一的訪問入口，即統(tǒng)一信息門互。該信息門戶能夠?qū)傻母鲬?yīng)用的信息進(jìn)行重新整理，將所有的信息匯總到一個界面上為用戶發(fā)布統(tǒng)一的信息，以便用戶更高效地得到和使用這些信息，解決了用戶一個一個的訪問應(yīng)用系統(tǒng)查看信息的繁雜問題。用戶在瀏覽所需要的信息或者進(jìn)行業(yè)務(wù)操作的時候，不再需要重復(fù)多次輸入賬號密碼登陸業(yè)務(wù)系統(tǒng)，而是直接通過統(tǒng)一信息門戶單點登錄進(jìn)入不同的應(yīng)用系統(tǒng)來完成用戶的工作，獲得用戶所需的資源。其單點登錄的工作原理如下圖所示：用戶登錄門戶檢查初次登錄？否是認(rèn)證通過登錄證據(jù)客戶端Cookie登錄證占有效？否退出是應(yīng)用系統(tǒng)圖2單點登錄工作原理圖用戶在登錄門戶時，首先檢查是否初次登錄，如果用戶初次登錄門戶，則進(jìn)行用戶身份認(rèn)證，認(rèn)證成功地完成后，用戶會得到服務(wù)器給用戶發(fā)出的登錄證據(jù)，該登錄證據(jù)會存儲在客戶端Cookie中；如果用戶不是初次登錄門戶時，門戶服務(wù)器會把客戶端的請求以及存儲的登錄證據(jù)一起發(fā)送出去；被請求登錄的應(yīng)用系統(tǒng)對登錄證據(jù)進(jìn)行驗證，以便檢查該登錄證據(jù)是否有效，如果登錄證據(jù)有效，則無需用戶重新登錄直接進(jìn)入應(yīng)用系統(tǒng)，即用戶就完成了系統(tǒng)間的身份認(rèn)證，實現(xiàn)了通過信息門戶進(jìn)行單點登錄集成的應(yīng)用系統(tǒng)；如果登錄證據(jù)無效則退出。2.2.3會話保持基于Cookie模式下的負(fù)載均衡器負(fù)責(zé)插入Cookie，后端服務(wù)器無需做出任何修改，當(dāng)客戶端進(jìn)行第一次請求時，客戶端的HTTPRequest（不帶Cookie）進(jìn)入負(fù)載均衡器，根據(jù)負(fù)載均衡算法策略選擇后端一臺服務(wù)器，并將請求發(fā)送至服務(wù)器；后端服務(wù)器的HttpResponse（不帶Cookie）被發(fā)回給負(fù)載均衡器。接下來負(fù)載均衡器將向該后端服務(wù)器插入Cookie并將HttpResponse返回到客戶端。當(dāng)客戶請求再次發(fā)生時，客戶HttpResponse(帶有上次負(fù)載均衡器插入的Cookie)進(jìn)入負(fù)載均衡器，然后負(fù)載均衡器獨處Cookie里的會話保持?jǐn)?shù)值，將HttpResponse（帶有與上面一樣的Cookie）發(fā)到指定的效勞器，然后后端效勞器進(jìn)行請求回復(fù)；由于效勞器并不寫入Cookie，HttpResponse將不帶Cookie，該HttpResponse再次經(jīng)過CLB時，CLB將寫入更新的會話保持Cookie2.2.4單點退出與單點登陸相對應(yīng)，單點退出功能可以解決“單點登錄”功能在方便用戶的同時留下的安全隱患，用戶在平臺中主動下線或超時下線時，統(tǒng)一身份認(rèn)證平臺會向業(yè)務(wù)系統(tǒng)發(fā)起用戶下線通知，告知業(yè)務(wù)系統(tǒng)，某用戶已經(jīng)下線，請銷毀相關(guān)Session會話。2.2.5用戶管理提供用戶管理功能，用戶管理內(nèi)外網(wǎng)用戶和賬號權(quán)限信息，管理員可以主動新增賬號，并未每個子賬號分配不同的權(quán)限，用戶管理采用左邊組織架構(gòu)樹，右邊用戶表格列表形式展現(xiàn)，點擊左側(cè)部門右邊表格顯示組織架構(gòu)所屬用戶信息，左側(cè)組織架構(gòu)樹沒有選中項時右側(cè)默認(rèn)展示所有用戶信息，刪除用戶時刪除用戶與組織架構(gòu)的關(guān)聯(lián)數(shù)據(jù)，保留用戶的基本信息，用戶賬號狀態(tài)為禁用，以保證歷史業(yè)務(wù)不受影響，管理員賬號不允許刪除。2.2.6角色管理管理各個系統(tǒng)的角色列表，角色列表用于用戶授權(quán)，表示管理員擁有的最大權(quán)限，角色信息包含角色名稱、角色編碼和角色描述等信息，并能夠配置每個菜單擁有的菜單權(quán)限、數(shù)據(jù)權(quán)限、資源權(quán)限。角色關(guān)聯(lián)菜單頁面用于保護(hù)角色所擁有的菜單權(quán)限，使用彈出界面展現(xiàn)，菜單內(nèi)容使用樹形組件展現(xiàn)，擁有權(quán)限的菜單使用復(fù)選框選中狀態(tài)展現(xiàn)；角色關(guān)聯(lián)數(shù)據(jù)頁面用于保護(hù)角色所擁有的數(shù)據(jù)權(quán)限，使用彈出界面展現(xiàn)，數(shù)據(jù)內(nèi)容使用表格展現(xiàn)，同一數(shù)據(jù)編碼的數(shù)據(jù)合并為一行，使用復(fù)選框標(biāo)識擁有的數(shù)據(jù)權(quán)限；角色關(guān)聯(lián)資源頁面用于保護(hù)角色所擁有的資源權(quán)限，使用彈出界面展現(xiàn)，資源內(nèi)容使用表格展現(xiàn)，同一類別的數(shù)據(jù)合并為一行，使用復(fù)選框標(biāo)識擁有的資源權(quán)限。2.2.7賬號管理集中對后臺應(yīng)用系統(tǒng)的主從賬號和用戶信息進(jìn)行管理，由用戶賬號管理服務(wù)、數(shù)據(jù)庫和賬號同步服務(wù)組成，可以進(jìn)行賬號的策略定制、密碼變更、賬號同步、賬號發(fā)布等功能，并通過賬號終端管理與不同的身份標(biāo)識建立聯(lián)系，如PKI/CA等，通過中間的適配層可以針對后臺不同的業(yè)務(wù)資源定制適配器，賬號的動態(tài)發(fā)現(xiàn)、同步的操作均通過適配層進(jìn)行處理，針對不同類別資源的從賬號信息將對應(yīng)不同適配器進(jìn)行采集和同步，并能夠與主賬號進(jìn)行關(guān)聯(lián)。2.2.8集中授權(quán)集中授權(quán)管理，主要是指在一點，集中對用戶使用信息系統(tǒng)資源的具體情況進(jìn)行合理分配，實現(xiàn)不同用戶對系統(tǒng)不同部分資源的訪問控制。具體來說，就是集中實現(xiàn)對各用戶（主體）能夠以什么樣的方式（謂詞）訪問哪些資源（客體）的管理。集中授權(quán)采用基于崗位和資源的方式為主賬號授權(quán)，所謂崗位就是資源角色的集合，這些資源角色可以是來自不同的資源，當(dāng)用戶屬于一個角色后，系統(tǒng)可以自動為該用戶在各個資源創(chuàng)建對應(yīng)的資源賬號，并和資源角色相關(guān)聯(lián)，最大限度的方便管理員的操作。當(dāng)某個崗位的資源角色發(fā)生變化后，管理員可以按照系統(tǒng)提示主動為資源添加或刪除對應(yīng)的賬號。統(tǒng)一授權(quán)不僅能將資源的拜候權(quán)限賦予用戶，而且還能對拜候的時間和拜候源機(jī)器的IP地點、MAC地點進(jìn)行限定，關(guān)于哪些基于命令行操縱的資源，還能指定哪些命令可以使用哪些命令無權(quán)使用。由于有些用戶無法準(zhǔn)確定義某個崗位的具體權(quán)限，因此系統(tǒng)提供了針對單個資源的授權(quán)功能，這個方式也可以和崗位授權(quán)相聯(lián)合，互為補充。當(dāng)勾銷某個授權(quán)時，系統(tǒng)將訊問管理員是否要刪除資源上對應(yīng)的賬號，如果確實需要刪除，那么系統(tǒng)將主動將這些不需要的賬號從資源中刪除。2.2.9菜單權(quán)限統(tǒng)一信息門戶用戶權(quán)限的數(shù)據(jù)中新增菜單權(quán)限列表，業(yè)務(wù)子系統(tǒng)可以遍歷用戶擁有的菜單項的code字段對應(yīng)上表給用戶提供響應(yīng)的菜單選項，業(yè)務(wù)子系統(tǒng)以Filter的方式監(jiān)聽所有菜單的URL，如果用戶擁有對應(yīng)菜單的權(quán)限則可以響應(yīng)對應(yīng)頁面，如果沒有權(quán)限則響應(yīng)無響應(yīng)權(quán)限提示，對請求阻攔過濾，進(jìn)行對應(yīng)菜單的權(quán)限控制。2.2.10數(shù)據(jù)權(quán)限統(tǒng)一信息門戶用戶權(quán)限的數(shù)據(jù)中包含有數(shù)據(jù)權(quán)限