5 实现重点和关键技术
5.1 单点登陆实现方案
通过Credential Vault(凭证保险库),Portal可以实现统一认证,单点登录,还可以非常方便地与外部B/S架构的业务系统实现单点登录。前面所述的在非Portal环境下实现的单点登录功能是通过由开发商开发相应的单点登录服务模块和认证插件实现,或购买第三方单点登录认证工具实现,其实现原理是:通过Credential Vault(凭证保险库)建立Portal的用户资源库(本系统为LDAP)与外部B/S系统的用户资源库的对应关系,而对外部系统用户资源库的形式不作要求。用户在由 Portal环境下进入被整合的外部系统时,凭证保险库会将当前登录用户在该系统中的身份信息传递到该系统进行认证,如果身份合法就直接进入系统,只有当凭证保险库中的用户对应关系不正确时,系统才会显示出该系统的用户登录界面。
需要说明的一点是, Portal的凭证保险库的建立并不是由系统管理员完成的,系统管理员只是将外部系统集成到Portal环境中,用户在第一次登录时,会被要求输入用户名和口令,登录成功后,即在凭证保险库中建立了对应关系,以后就可通过凭证保险库直接进入系统了。
实现单点登录有以下好处:
•免除了用户频繁登录和管理多套密码。
•提高密码管理的安全性。
•提高系统的整合度。
•为应用整合,统一用户管理作好基础准备。
SharePoint Single Sign-on提供了两种Credential 的映射数据库的方式。
•Per-user credentials 方式
在SSO服务上设置了对应应用的帐号后,可以为每个域用户配置此应用系统的登录凭证。可以后台管理也可以开发应用程序让用户在第一次登录系统时自动配置。
•Group credentials
在SSO服务上设置了对应应用的帐号后,可以配置此应用系统的组登录凭证。可以为域用户指定一个组登录凭证去登录应用系统。
图4: 其中待办事宜部分为工作流系统单点登录进来的效果
5.2 统一目录服务设计方案
目前S省省邮政公司办公环境以工作组模式组织管理计算机,而部署活动目录会带来如下好处:
•支持更大的网络,得到更高的效益。众所周知,工作组只适用于很小的网络环境。
要想有一个规模可以做的很大,而且运行效率又很高的网络,只有部署活动目录。
•轻松实现网络的集中管理。在部署活动目录之后,您可以通过活动目录的管理工具对网络中的服务器、客户机、用户账号、网络资源等进行方便的管理。
•保证用户账号和网络资源的安全 。
•实现用户对网络资源的快速访问。
•提供很好的收缩和扩展能力。活动目录的逻辑结构和物理结构都有很好的伸缩性,当您公司的网络规模由于种种原因需要调整时,您不需要有大的动作,轻而易举地完成网络的伸缩。
部署活动目录是作为后续众多关键服务和应用的基础。
本方案采用单林单域结构,建议的域名为目前已在公网中使用的域名:sdpost.com.cn。该域不仅是其所属树的根域,也是其所属森林的根域。
•域控制器的规划
域控制器的数量:目前规划在省中心架设两台域控制器(假定的名字为DC1和DC2),其中一台主域服务器DC1专用,另一台DC2同时担当LCS应用服务器。
操作主机(Operating Master)的角色:在DC1上保留架构操作主机(Schema Master)、域命名操作主机(Domain Naming Master)、PDC模拟器(PDC Emulator)和RID Master,把结构操作主机(Infrestructure Master)转移到DC2上。
其中主DC1作为AD、DNS、DHCP等基础服务。
由于用户帐号、计算机资源等都由域进行管理,而且还是其他服务的基础,所以数据备份很重要。
服务范围:除了负责整合管理邮件服务器、门户、数据库、即时消息等中心服务器外,在第一期还将所有的省公司机关用户的终端加入域中,统一管理各种资源。
•应用服务器规划
所有和本方案有关的,以及如后新增加的OA类服务器,都要加入到本域中,由域统一对服务器进行管理和用户访问权限控制和身份验证。因此在这些服务器上运行的应用系统,也推荐使用集成Windows用户验证模式。
•客户机规划
在省中心的公司域网内的所有用户终端都加入域,用户都以域用户账号登录终端,做到一次登录就可以访问整个域内的包括邮件、即时消息、门户在内的多种服务。
•OU结构的设计和规划
总部下属的市场部、计划财务部、综合办公室等省公司直属部门,省信息公司、省储汇公司、省报刊公司以及各个地市公司单位都用相应的OU来表达。在各个优异OU内,还可以根据单位的规模和人员划分建立更多的层次性的OU。
图5
•用户组规划
除了方便进行用户权限管理,还由于Exchange 2007支持对用户组设置邮箱,实现邮件列表的功能,所以,需要对S省邮政AD的组进行规划,并规划开通组邮箱。计划建立如下安全组:
*全体人员。
*部门全体人员组、部门内职位职能组:使用组的方式可以避免人员职位更换后日常习惯和系统中配置好的邮箱地址变更。
*项目组:临时性的、跨部门的为了特点项目而组成的用户组。
*跨单位的职能组,例如所有地市公司的信息管理员隶属于同一个组,发送邮件公告时只需要发邮件到该组的邮箱即可。
•活动目录的扩展
目前采用集中部署对AD域的方式,而地市公司用户在目前使用要求不高的状况下可以全部访问省中心的AD域控制器,在网络带宽和用户访问量大以后,可以通过在各个分支机构部署域控制器的方式将整个邮政域深入到各个地市公司。
如果需要,还可以在本根域的基础上建立子域
•域用户和组管理
由于S省邮政AD涉及到全企业,用户和计算机数量较大,需要考虑采用集中管理,还是委派管理模式。
•用户和设备命名约定
为了规范和统一用户以及计算机命令,特约定如下:
*用户采用如下几种帐号命名方式,在发生某种命名规则下重名时可以选择其他方式:MingZhiXing、MZXing、XingMZ、XingMingZhi。
*计算机命令则采用位置和功能编号方式组合:SJ-SRV-DC-1,表示省公司-服务器-与控制器-一号。
5.3 引入工作流优化公文及业务处理过程
工作流引擎主要分为组织结构管理和流程定义管理,组织结构管理是流程的基础也是整个OA系统用户组织结构。
组织结构管理
可以管理用户单位的组织结构和人员的基本信息。同时提供与邮政网络统一目录服务的集成与同步。
部门管理:部门的名称、上级部门、部门描述、部门资料管理人员、部门主管、部门性质等基本资料的修改、添加、删除。系统提供功能能方便的调整部门之间的从属关系。
人员管理:包括人员名称,所属部门、性别、职务、电话、EMAIL等人员基本资料的添加、修改、删除,及调整部门等等功能。
图6
流程定义管理
提供流程定义工具,方便用户自己去设置和调整流程规则,用户可以增加流程环节,设置流程的起草人员,定义每个环节的处理人员,定义流程流转路径,流转的条件等。
•环节可以分为普通环节、分流、合流环节。
*普通环节是指事务处理到当前环节时有且只有一个主办可以处理并指定去向的条件。
*普通环节可以指定多个阅知人员(协办)。
*分流、合流环节:是一个控制环节,经过分流的控制可以让下一步同时交个不同环节不同的处理人员进行处理。
*分流、合流一定是成对出现的,分流合流也可以进行嵌套。
•指定处理人员时,可以指定具体人员、部门、环节主办、主管、条件人员等。
•可以通过两种方式及他们的组合来指定流转路径。
*在环节上定义处理动作,并在路径上指定当动作为A时,下一处理环节为环节A,当动作为B时下一处理环节为环节B。
*定义路径条件,可以根据上一环节的状态属性(部门、人员、表单内容等)的值来组合条件,作为当前路径的逻辑判断依据。如:发送人的部门为“部门A” 并且 发送人职务为“职务B”。只有满足此条件的实例才能正常发送到下一环节。
•系统可以指定流程状态:启动和停止。启动流程必须验证流程的有效性。无效流程不能启动。
图7
5.4 应用集成
图8
集成方法:
图9
Web 应用 \ 页面 移植
□Web 部件:
◆网页获取部件(Office Web Part)
◇使用网页获取 Web 部件,可以很方便地将网页中的各个部分(如表格、图像或 Web 部件)或者整个网页合并到您的 Web 部件页中。将网页获取区合并到 Web 部件页后,可以刷新此网页获取区以显示最新数据。
◆网页查看器(SPS内置)
◇可显示 Web 部件页上的网页、文件或文件夹。输入超链接、文件路径或文件夹名可链接到该内容。
◇仅能在支持 HTML <IFRAME> 元素的浏览器中使用网页查看器 Web 部件。
◇显示文件或文件夹需要 Microsoft Internet Explorer。
◇网页查看器 Web 部件显示的内容与网页上的其他内容不是同步的。这就是说,如果链接需要很长时间才能返回内容的话,可以查看和使用页上的其他 Web 部件。
数据缓存/数据仓库
□数据透视视图 Web 部件(Office Web部件)
◆三种视图
◇数据透视表视图、数据透视图视图、数据表视图
◆两种基本方法连接数据
◇数据连接文件(.odc 和 .uxdc 文件)
◇连接到另一 Web 部件。
□利用第一种集成方法+SQL 2000报表服务
□Office 应用(Infopath、Excel)
点对点
包括:第三方Web部件、微软Web部件集、自开发的Web部件、Office 客户端应用、Infopath、Excel。
