1、密别内部标记门户平台应用系统集成方案共39 页XXXX 研 究 院年月门户平台应用系统集成方案编写校对审核标检批准会签门户平台应用系统集成方案代号目录1 用户管理规范21.1 用户身份生命周期管理21.2 用户管理流程规范31.2.1 新建用户流程31.2.2 用户变更流程31.2.3 用户注销过程41.2.4 非 HR 系统用户账户管理41.3 用户与组织管理51.4 应用系统管理员职责52 目录集成规范52.1 同步范围52.2 同步方式72.3 同步条件73 单点登录接入规范83.1 使用 IBM Web 应用服务器的 Web 应用系统83.2 使用其它 Web 应用服务器的 Web 应
2、用系统83.3 集成系统统一规范94 待办集成规范94.1 功能描述94.2 接入方式定义104.2.1 架构104.2.2 待办处理流程114.2.3 公共接口定义124.2.4 统一 Web 服务接口定义154.3 应用系统接入要求1614.3.1 应用系统改造内容164.3.2 已建成和新建应用系统164.3.3 待办接入注意事项164.3.4 应用系统编号174.3.5 统一待办服务客户端调用示例175 业务应用集成规范175.1 常用业务185.1.1 功能描述185.1.2 接入方式定义185.1.3 应用系统接入要求195.2 档案|图书馆|文献数字资源205.2.1 功能描述2
3、05.2.2 接入方式定义205.2.3 应用系统接入要求255.3 标准与规范255.3.1 功能描述255.3.2 接入方式定义255.3.3 应用系统接入要求345.4 个人信息345.4.1 功能描述345.4.2 接入方式定义355.4.3 应用系统接入要求355.5 计划与任务365.5.1 功能描述365.5.2 接入方式定义365.5.3 应用系统接入要求365.6 个人绩效考核375.6.1 功能描述375.6.2 接入方式定义375.6.3 应用系统接入要求37311 用户管理规范应用系统与目录集成,用户新建,信息变更,用户注销需要遵循以下规范。1.1 用户身份生命周期管理
4、图 1用户身份生命周期 一个完整的用户身份生命周期管理包含以下几个阶段:a) 在权威数据源中进行注册:确定人员要注册的部门、岗位分配等,并在权威数据系统(HR 系统)中建立用户账户。b) 利用身份管理工具将用户信息同步至中央身份库:身份管理工具首先获得用户账户信息,将其根据预先制定的规则同步至统一身份认证系统。c) 账户分发:利用身份管理工具对账户进行应用系统的使用权限分配并将账户同步到相关的应用系统中。d) 审批和授权:各应用系统的系统管理员在本系统中对新增的用户进行审批和授权, 完成帐户的新建工作。e) 变更:当用户的职位或其他个人信息发生变化后,系统管理员首先在权威数据源中对账户信息进行
5、修改,然后采取和 2、3 相似的步骤将信息同步至中央身份库和各应用系统中。f) 密码管理:用户在各应用系统中的账户密码,将由身份管理工具接管,采用统一密码的方式,即企业门户密码与其他应用系统密码保持一致,在企业门户中集成用户的密码管理模块,用户将企业门户密码更改后,身份管理工具会把新密码同步到各应用系统中(密码策略可参考研究院相关信息保密规定)g) 销户:当用户离职以后,首先由系统管理员在权威数据源中(HR 系统)对账户进行停用或注销,然后利用身份管理工具把账户状态同步到中央身份库和各应用系统中, 完成企业门户和各应用系统的统一注销用户账户工作。1.2 用户管理流程规范014888881.2.
6、1 新建用户流程HR系统目录系统身份管理系统CAMA01488888CAMA01488888协同工作平台CAMA01488888CAMA01488888PDM系统邮件系统图 2用户在应用系统中账户的创建过程新建用户信息流程:a) 一个新用户账户在人力资源系统(HR 系统)中创建;b) 统一身份管理系统获取新用户创建事件(定期扫描新增加的用户记录);c) 利用统一身份管理系统为该新用户分配授权使用的业务系统,并在授权使用的业务系统创建账户,基于建立的业务规则同步适当的用户信息。1.2.2 用户变更流程用户变更信息流程:a) 人力资源系统(HR 系统)对用户信息进行了修改;b) 统一身份管理系统获
7、取修改事件信息(定期扫描新变更的用户记录);c) 统一身份管理系统然后在每个连接的系统中根据规则修改相应信息。014888881.2.3 用户注销过程HR系统 目录系统身份管理系统协同工作平台PDM系统邮件系统图 3用户在应用系统中账户的注销过程注销用户账户过程:a) 用户账户在人力资源管理系统(HR 系统)中被注销;b) 统一身份管理系统获取账户注销事件;c) 统一身份管理系统会注销该用户在企业门户和其他已授权应用系统中的账户,并把账户停用状态同步到应用系统,停止该用户在企业门户和各应用系统中的活动(如果某应用系统中的流程必须要流转完毕,可考虑在该应用系统独自开启账户,待工作流程结束后再注销
8、该账户)。1.2.4 非 HR 系统用户账户管理对于非 HR 系统内用户(如合作伙伴),需要访问门户与其它应用系统,用户账号统一由目录管理员在统一身份管理系统中创建、管理与维护。用户的应用系统帐号分配根据用户的具体业务进行,用户管理流程可以参考 HR 系统用户管理流程进行。1.3 用户与组织管理应用系统使用统一身份认证系统提供的用户和组织机构数据后,用户和组织机构数据管理必须按照以下方式进行:a) 应用系统中不能独自添加,修改,禁用,删除用户,如果新注册用户为正式员工, 则必须在人力资源管理系统中进行新账户注册,然后通过同步机制同步到应用系统中,否则无法完成在企业门户中单点登录应用系统。b)
9、应用系统中不能进行密码修改,只能基于统一身份认证系统修改密码,通过密码同步机制同步到相关应用系统。c) 用户在应用系统中的权限范围由应用系统负责分配。d) 如果应用系统使用统一身份认证系统中的组织机构,应用系统不能修改,增加, 删除组织机构数据。e) 如果未使用统一身份认证系统组织机构数据可以不进行组织机构维护管理,用户组织机构由应用系统自行分配。1.4 应用系统管理员职责应用系统用户与目录集成后,应用系统的用户由统一身份管理系统管理,原则上应用系统不单独创建应用系统帐号,同时应用系统管理员需要配置目录管理员的工作,具体职责如下:a) 负责配合与统一身份认证系统集成工作开展,配合目录进行应用系
10、统集成测试, 用户同步测试与应用系统集成改造工作。b) 对由统一身份管理系统新注册用户分配应用系统使用权限和角色及用户初始工作;c) 协助目录系统处理用户身份同步过程中出现问题,如:数据未及时同步,帐号创建失败等;d) 及时向目录管理员反馈应用系统与目录集成后的用户和应用系统使用问题,如账号创建失败,与目录集成前正常,集成后系统功能不能正常使用等。2 目录集成规范应用系统与目录集成主要是用户和组织机构的集成管理,应用系统的用户和组织机构数据由统一身份管理系统统一管理。在应用系统与目录集成过程中,目录需要与应用系统完成用户组织机构的数据同步。2.1 同步范围目录与应用系统的数据同步是应用系统单向
11、同步统一身份认证系统中的用户或组织机构数据,统一身份认证系统不同步应用系统中的任何数据。应用系统同步统一身份 认证系统的用户数据和组织机构数据可选表 1 用户中间表和表 2 组织机构表中所列属性。表 1用户中间表字段数据类型主键非空说明EMPLOYEE_IDVARCHAR2(12)YY员工编号USERNAME_CNVARCHAR2(8)NY中文姓名USERNAME_ENVARCHAR2(20)NN姓名拼音SEXVARCHAR2(2)NY性别BIRTHDAYDATENN出生年月日USER_IDVARCHAR2(18)NN身份证号码DEPT_NAMEVARCHAR2(30)NY所属部门名称DEPT
12、_NOVARCHAR2(10)NY所属部门编号OFFICE_TELVARCHAR2(12)NN办公室电话OFFICE_NOVARCHAR2(8)NN办公室门牌号MOBILEVARCHAR2(12)NN手机号码EMAILVARCHAR2(30)NY办公邮件地址STATUSVARCHAR2(8)NY用户活动状态,用户状态,如离职,借调,退休EMPLOYEE_STATUSVARCHAR2(8)NN员工状态,如禁用,活动POSITION_LEVELVARCHAR2(8)NY岗位等级DEPT_LEADERVARCHAR2(8)NY领导标识PASSWORDVARCHAR2(32)NY密码TITLEVARC
13、HAR2(50)NN职称POSITIONVARCHAR2(50)NN岗位CONFIDENTIALITY_LEVELVARCHAR2(15)NN人员密级CONFIDENTIALITY_TYPEVARCHAR2(15)NN涉密类型表 2组织机构表字段数据类型主键非空说明ORG_NAMEVARCHAR2(30)NY组织机构名称ORG_NOVARCHAR2(10)YY组织机构编号ORG_STD_NOVARCHAR2(10)NY组织机构标准化编号PARENT_ORG_NAMEVARCHAR2(30)NN组织机构父组织名称PARENT_ORG_NOVARCHAR2(10)NN组织机构父组织编号如果应用系统
14、中没有采用人力资源管理系统中标准的组织机构,根据业务需要建立的独立组织机构,则无需同步统一身份认证系统中的组织机构数据。针对应用系统中没有使用人力资源管理系统标准组织机构的情况,统一身份认证系统将不予同步组织机构数据,仅做用户数据的同步。2.2 同步方式统一身份认证系统向应用系统同步用户和组织机构数据采用即时触发,单向,增量同步方式,当统一身份认证系统中的数据发生更改后,根据之前制定的身份同步规则, 即时将变更的数据同步到对应应用系统中间表中,应用系统通过数据同步触发器监视数据同步中间表的数据变化,在中间表数据变化时自动更新到应用系统用户库或组织机构库中。2.3 同步条件应用系统组织和用户存储
15、库必须为关系型数据库、LDAP 标准目录。以下为统一身份认证系统与关系型数据库进行同步必须满足的条件:a) 应用系统用户库必须是能够从网络访问的关系型数据库。b) 提供应用系统数据同步中间表数据库的访问权限,数据库 IP,端口号,数据库实例名,连接用户名,连接密码和相应的 JDBC 驱动程序包。c) 创建用户同步中间表,且授权用户中间表的读取,写入,修改,删除权限,用户中间表结构参考表 1 用户中间表。d) 创建用户中间表与用户表的数据同步触发器,实现用户中间表数据自动更新到应用系统用户表。e) 提供组织机构同步中间表,且授权组织机构中间表的读取,写入,修改,删除权限。组织机构同步中间表结构参
16、考表 2 组织机构中间表。f) 创建组织机构中间表与组织机构表的数据同步触发器,实现组织机构中间表数据自动更新到组织机构表。LDAP 标准目录同步条件:a) 用户库必须是符合标准 LDAP 协议的目录。b) 提供网络访问的 IP 或域名(建议使用域名),连接帐号,密码,主要用户类名, 主要组织类名。c) 提供目录读取,更新,创建,删除的权限。d) 提供详细的用户属性和组织机构属性清单,包括属性名称,类型,长度,说明。3 单点登录接入规范根据应用系统使用的 Web 应用服务器类型和应用登录改造难度的不同,应用系统单点登录接入将采用不同的方式,每种实现方式需要应用系统遵循不同的规范,各应用系统根据
17、系统架构和部署环境选择合适的系统集成方式。3.1 使用 IBM Web 应用服务器的 Web 应用系统IBM Web 应用服务器是指 IBM Lotus Server,IBM Websphere Application Server 应用系统使用上述任意一个 Web 应用服务器的应用系统与门户单点登录接入,应用系统必须保证满足以下条件:a) 应用服务器时间必须与目录服务器保持统一,应用系统可以通过 NTP 网络授时服务器进行时间同步。b) 应用系统的 IBM Web 应用服务器必须启用“SSO 安全认证”配置项。c) 应用系统需要导出应用服务器加密密钥文件和供密钥文件密码。如果应用系统使用多节
18、点分布式部署,各服务器节点必须导入相同加密密钥文件。d) 应用系统必须使用与目录系统相同的用户库或具有相同用户数据的用户库。e) 系统注销成功后,不允许直接返回登录页面,否则单点登录后无法注销,可以直接关闭系统窗口或返回到其它提示页面。如果应用系统无法满足上述条件,单点登录接入可以采用其它 Web 应用服务器的接入办法接入。3.2 使用其它 Web 应用服务器的 Web 应用系统其它 Web 应用服务器如:Tomcat,JBoss,Weblogic,Oracle AS,IIS,Sun Application Server 等。如果应用系统使用上述 Web 应用系统服务器,应用系统单点登录接入必
19、须满足以下条件:a) 应用系统登录页面不能包含随机或动态参数变量。b) 应用系统为单点登录集成提供登录页面必须包含标准的 form 表单项,至少包括表单名,action 地址,用户名,密码。c) 应用系统用户必须完成与目录的集成,即用户数据同步。d) 如果应用系统用户密码采用加密方式存储,必须提供加密和解密 jar 包或加密算法。e) 用户会话过期时,系统能够自动转向到登录页面。3.3 集成系统统一规范所有集成的应用系统在集成到统一认证系统后,必须遵循以下规范:a) 应用系统注销后不能直接返回到系统登录页面,只能直接关闭当前窗口和跳转到注销成功的页面。b) 应用系统必须禁用密码修改功能,应用系
20、统密码统一在统一身份认证系统中修改。c) 应用系统必须禁用用户创建,修改,删除功能,用户的创建统一在统一身份认证系统中进行。d) 如果应用系统使用统一身份认证系统提供的标准组织机构,应用系统组织标准机构的创建,修改,删除必须在统一身份认证系统中进行,只能创建与统一身份认证系统无关的组织机构。e) 用户访问应用系统未授权的页面时(用户未登录),返回应用系统首页完成用户认证后,必须能够定向到用户访问的页面,不能转向到应用系统首页或其它页面。f) 应用系统中不允许使用固定的绝对 URL 链接,如果存在绝对 URL 链接,将使用单点登录集成后统一提供的应用链接地址。4 待办集成规范4.1 功能描述待办
21、事项将用户在各个应用系统中需要处理的任务集中展示。用户通过待办事项能够快速的办理工作中的待办事项方便用户进行统一操作,并提高了工作效率。待办事项在门户中只进行展现和提醒,不涉及具体的业务处理流程,用户处理具体的待办时,由各应用系统进行控制。待办事项具有的功能为:1. 用户通过待办事项知道当前需要处理的任务,并且可以通过待办列表对系统中的任务进行处理。2. 待办事项在综合办公桌面中展现的内容分别为:程度、标题、日期和类型,如果某一条待办的程度是特急该待办将以红色字体标注,用来提醒用户及时办理。当用户处理完某一事项后,待办事项中将不会再展现该事项。3. 进入到所有待办页面中,以列表的形式对各个业务
22、系统的待办事宜进行分类展现, 用户选择需要办理的业务系统,页面展现的待办事宜则是与该系统相关的具体事 项。4.2 接入方式定义4.2.1 架构企业门户中展现的待办事项数据来源于多个应用系统,企业门户采用被动方式来获取各应用系统的待办事项。被动方式是指产生待办事宜的业务系统通过调用统一待办服务提供的 WEB 服务把产生的待办事项的信息发送到统一待办处理平台,门户的待办事宜列表再通过数据访问接口对各个系统发送的信息进行综合展示。图 4被动方式逻辑架构a) 统一待办服务1. 数据提交模块实现向统一待办库发送待办事项产生、撤销、完成等状态,并查询应用系统待办事项在待办事项库中的状态。2. 数据访问模块
23、负责待办事项消息的显示、回复,待办事项通知,与统一待办库直接连接。3. 统一待办库保存统一待办事项库。b) 应用集成平台统一待办服务作为公共 Web 接口服务,首先要发布到应用集成平台的注册中心,由应用集成平台对外发布 Web Service 服务及对 Web 服务的统一管理。c) 企业门户门户系统通过统一待办服务提供的数据访问接口访问待办事项,展现个人待办事项信息。d) 应用系统应用系统从应用集成平台查询统一待办服务,并通过统一待办服务提供的数据提交接口将本系统的待办事项提交到统一待办库中。4.2.2 待办处理流程图 5待办处理流程a) 当应用系统产生新的待办事项时,应发送处理进度代码为 0
24、 的消息给统一待办处理平台的数据提交模块统一 Web 服务,完成新待办的添加;b) 当待办事项被浏览过但未处理完毕,应发送处理进度代码为 1 的消息给统一待办处理平台的数据提交模块统一 Web 服务,完成待办信息状态的更新(根据具体应用,此情况不是必需的);c) 当待办事项被处理完毕,应发送处理进度代码为 2 的消息以及处理进度代码为 0的消息(流程中下一个节点的开始,除非该节点为流程的最后节点)给统一待办处理平产生新待办事项发送代码为0的消息给待办事宜处理平台待办事宜处理平台将待办事项加到待办库中用户操作(是否浏览及处理)待办事宜处理平台修改待办事项状态无用户只浏览无处理发送代码为1的消息给
25、待办事宜处理平台处理完毕用户撤销发送代码为2的消息给待办事宜处理平台用户在应用系统撤销待办事项待办事宜处理平台将待办事项移到历史记录表中待办事宜处理平台删除待办库中的待办事项是否结束节点否是台的数据提交模块,完成待办信息状态的更新。4.2.3 公共接口定义 addTask表 3添加待办接口参数定义处理添加待办信息输入序号参数名称描述数据类型是否必填1appID应用系统编号,由待办事项系统管理员分配给各应用系统String是2taskName待办事项名称String是3appTaskID应用系统中的待办事项唯一的IDString是4taskType所属待办类型,由待办事项系统管理员分配给各应用系
26、统String是5appSendUID应用系统发送者 IDString是6appReceiveUID接收者对应的应用系统用户ID,需要处理该项待办事项的用户,多个用户用;分隔String是7sendTime待办事项信息启用时间 yyyy- mm-dd hh:MM:ss,如果为空, 则使用当时日期String否8endTime待办事项信息结束时间 yyyy- mm-dd hh:MM:ss,如果为空, 则使用应用系统待办事项的默认超期时间计算String否9handleTime待办事项信息处理时间 yyyy- mm-dd hh:MM:ssString否10url待办事项处理链接,能够通过该链接直接
27、到待办事项的处理界面,为空则不提供链接,只查看String是11taskDesc待办事项描述String否12stated待办事项的处理进度,0:待处理(新);1 :已浏览;(根据具体应用系统,此进度标识为可选);2:完成;3:撤销;4:超期String是13priorityID待办事项信息紧急程度,越小越紧急,0:特急 1:紧急 2:一般,缺省 2String是14noticeFlag待办事项提醒方式 0:不提醒2:手机短信 3:邮件提醒 其他: 不提醒String是15noticeTimes待办事项信息通知次数String否16noticeInterval待办事项信息 2 次通知的间隔时间
28、String否17mobliephone待办事项信息接收者手机号码String否18email待办事项信息接收者邮箱String否19remark描述信息String否输出参数名称描述数据类型result返回字符串为 0 或 1。0:失败1:成功String viewTask表 4浏览待办接口参数定义处理浏览待办事项输入序号参数名称描述数据类型是否必填1appTasksID应用系统中的待办事项唯一的 IDString是2appID应用系统编号,由待办事项系统管理员分配给各应用系统String是3handleTime待办事项的处理时间,为空则已收到时间为处理时间String是输出参数名称描述数据类型返回返回字符串为 0 或 1。0:失败1:成功String cancelTask表 5取消待办接口参数定义处理撤销待办信息输入序号参数名称描述数据类型是否必填1appTaskID应用系统中的待办事项唯一的 I
