统一信息门户建设方案

统一信息门户建设方案
为了解决因信息系统建设数量众多而出现的“多账号密码”问题，整合现有分散的异构应用系统，通过统一的信息门户，解决用户认证、单点登录、应用管控等问题，在不影响各应用系统业务逻辑的前提下，构建统一信息门户，实现各个应用系统的无缝集成，使用户在跨系统使用资源和处理业务时感觉是在一个系统上进行操作，搭建开放的、支持快速的应用配置，大大提升统一信息门户的管理效率和用户体验。

1.建设内容
1.1建设范围
根据相关需求的理解和规划，统一信息门户开发建设包括：用户数据中心、用户认证中心、用户管理中心、系统服务中心、系统消息中心和应用管控中心。

1)用户数据中心
用户数据中心一方面实现对纳税人用户、缴费人用户、税务人员用户、特殊用户、第三方用户等所有用户进行统一管理，另一方面实现对用户、主从账号、组织结构、安全认证以及用户全生命周期的管理。

用户数据中心是统一信息门户的基础，它是对各种业务系统数据收集、整理、存储和展示的重要基础平台，是实现统一身份认证、统一授权管理、统一应用服务的前提和基础。

用户数据中心通过同步抽取各业务系统的用户数据，对抽取的用户数据进行数据清洗，按照统一的数据格式和定义好的数据模型对用户数据进行字段合并、重塑、移除、格式转换，装载至统一信息门户的用户信息数据库，按照服务对象分为内网用户中心、外网用户中心两大区域，后续应用按照需求从用户数据中心调取用户数据。

2)用户认证中心
用户认证中心提供统一用户管理功能以及为第三方应用提供用户访问认证的开放服务，为系统以及之上构建的应用提供统一账号信息、统一认证、用户资料信息等服务，实现用户登录、认证、授权、安全设置等功能。

用户中心提供完善的安全防护和审计机制，保证用户资料和系统的安全。

统一身份认证是为了保证用户登录的统一入口所采取的的技术手段，他可以
实现统一信息门户用户在众多业务系统中只使用一套用户名和密码，并能够实现用户访问权限的集中控制和管理。

提供用户身份组合认证方式，提供单点登录、会话保持、单点登出服务，并在传统CAS服务的功能上增加用户角色权限控制，同时建设目录服务，实现用户一次登录，可以访问权限内部所有的应用系统。

3)用户管理中心
用户管理中心，提供用户信息、用户角色、用户应用、用户授权的统一管理。

●统一用户管理
使用统一身份认证平台的所有业务应用系统的全部用户，用户身份支持LDAP和数据库的同时存储。

●统一角色管理
管理统一身份认证平台本身和平台所有应用系统中所需要的使用到的角色信息，系统通过用户、角色、权限机制、以及角色、用户权限批量处理机制，加大地方便用户权限分配。

●统一应用管理
管理纳入统一身份认证平台的各应用系统的应用功能点和应用权限。

●统一授权管理
实现用户与角色、角色与功能的对应管理，实现菜单权限、数据权限、资源权限等多权限分类管理。

同时，实现权限策略的定制和调用，便于实现与应用流程的紧密结合。

4)系统服务中心
服务中心采用“平台+应用”、“数据+服务”的设计理念，为统一信息门户集成各业务系统提供服务的发布、管理、调取等全流程管理，帮助用户快速构建出基于应用，贯通平台、应用开发者与目标用户的生态链，建立真正开放、稳定、良性的统一门户生态系统。

以用户信息为基础，提供统一平台登录界面，提供个人门户功能，将个人的日常工作任务和所需的信息统一集成到门户中，使得门户成为个人工作和享受服务的电子桌面，用户可以根据需要自己定义自己的工作台的应用服务系统和风格。

5)系统消息中心
消息中心是税务局和税务服务对象之间、税务与政府各部门之间的信息交流
与协同的工作平台。

通过消息中心提供基于社会化的协作与共享能力，主要包括用户之间的交流与互动、基于应用的业务协作、知识的分享、信息的主动推送等。

基于平台的协作与共享服务可提供在线社区、即时通讯、消息推送等多种服务，相关部门可以利用该功能在线展开互动和交流，提高日常协同办公效率。

协作服务提供开放的接口，可以在应用系统中嵌入协作服务能力，提升用户应用体验。

6)应用管控中心
根据业务系统现状，与统一信息门户的规划与设计，实现业务应用的集成管控，系统支持页面前端集成（基于页面内容集成），业务模块化集成（基于应用接口、业务功能模块的整合）、业务过程集成、数据集成展现等多种应用集成方式，按照统一的数据标准格式，明确应用接口，集成业务系统数据与应用。

通过后台界面，分角色权限对各应用系统的接入、审核、发布、版本、上下架进行管理，提供系统版本管理和控制，提供内容、角色、权限、资源的统一展现，提供服务管理接口、统计分析接口、应用监控接口服务。

1.2.建设功能
本次建设功能根据功能归类分为：通用功能、系统管理员功能。

1.2.1通用功能
1)个人中心
定义和管理个人的URL资源，包括个人收藏夹中URL资源的添加、维护和管理。

为每个用户开辟网络个人存储空间，用于个人文件的上传、下载、检索、目录管理等，用户可以自行管理。

2)快捷功能
用户可以其他整合到统一信息门户中的功能模块定义到个人工作台上，实现统一的个人工作界面。

3)单点登录
提供统一信息门户平台登录界面，实现对多种类型的应用系统的单点登录访问。

单点登录缺省支持用户名、口令、数字证书、动态令牌、税控装备和人脸、指纹等生物特征等登录方式，提供灵活可扩展的认证接口。

支持AD、LDAP、数据库等标准身份认证技术，用户信息存放在统一部署的LDAP中，LADAP用户身份
认证成功则用户登录成功，否则拒绝用户登录，统一信息门户需支持多种登录方式的复合登录。

4)身份认证
建设统一身份认证中心，用户在通过认证请求受保护资源时，访问CAS（中央认证服务）中心，用户输入登录信息进行身份认证，CAS身份认证通过，服务器向用户发送登录证据，登录证据存储在统一信息门户的Cookie中，登录证据有效时，用户无需重新登录可直接进入应用系统，实现通过信息门户进行单点登录集成应用系统，如果登录证据无效则退出系统重新登录。

5)会话保持
统一信息门户用户登录成功之后，系统需要在当前用户有访问请求时（在线状态）每间隔一段时间向用户中心服务系统提交用户在线状态信息。

保证CAS（中央认证服务中心）能够感知到用户当前的活动状态，认证服务中心在一定时间内没有检测到用户的活动信息则判定用户状态为下线。

将注销用户登录状态，并通知所有业务系统注销该用户的登录状态。

6)单点退出
与单点登录相对应，单点退出功能可以解决“单点登录”功能在方便用户的同时留下的安全隐患，用户在统一信息门户或业务系统中主动下线或超时下线时，统一身份认证平台会向业务系统发起用户下线通知，告知业务系统，某用户已经下线，销毁相关Session会话。

7)日志查询
查询用户自己的访问日志。

8)个人设置
修改个人的姓名、邮箱、手机号、应用系统的勾选确认等。

9)修改密码
修改个人密码。

输入原密码、新密码、确认新密码，提交即可。

10)通知消息
查看其他人员发送给自己的消息。

有些消息会根据当前人员的身份自动进行过滤。

查看系统发送的通知公告。

1.2.2系统管理员
1)用户管理
建立集中的用户目录体系，用户覆盖各个子系统的用户，所有的用户信息都存储在LDAP目录服务中心，既便于管理，又可提供一个统一的接口，便于其他应用调用，该LDAP和子业务系统现有的用户管理功能做接口，实现当子业务系统注册和删除用户时，自动在LDAP中注册用户和删除用户。

实现将所有子应用系统的用户管理集中，通过UMS适配器与各种应用系统进行用户信息、机构信息以及用户相关属性信息的同步，支持用户信息查询服务、同步服务、适配器服务。

2)统一注册
用户在统一信息门户注册时，注册数据通过接口保存到用户中心，提供全量同步和实时增量同步两种用户注册信息同步方式。

用户中心支持用户注册信息全量同步方式，提供给实时性要求不太高的子系统使用；在用户注册、信息变更、服务申请状态变化、删除等操作之后用户中心支持主动通知各个子系统变更的用户数据，提供给实时性要求高的子系统使用；
3)统一账号
目前业务系统中国普遍存在账号分散管理、账号共用、简单账号口令或相同账号口令等安全问题，这些都危害到系统的安全性，并降低了管理的工作效率，使用集中账号管理，区分主从账号，将各种应用和设备的账号进行统一管理，通过授权管理使得一个自然人下的账号相互关联，并可以采用强口令对资源进行统一设置保证资源的安全。

4)角色管理
管理员使用统一信息门户管理各个子系统的角色列表，角色信息包含角色名称、角色编码和角色描述等信息。

并能够配置每个角色拥有的菜单权限、数据权限、资源权限。

统一信息门户管理员可以给用户授予指定角色，角色权限由管理员使用权限管理功能维护，通过用户、角色、权限批量处理机制，极大地方便用户权限分配。

5)集中授权
集中授权是确定认证通过后的用户是否有权对系统资源进行访问或操作，集中授权是通过集中的授权中心，采用统一的策略管理进行用户授权。

通过角色来
获得对象或对象组的访问权限，根据功能性属性的不同将用户组织定义为不同的角色，如从属关系、访问模式或等级标志等。

在指定访问控制规则时，采用访问控制列表（ACL）。

ACL是由所有访问允许规则组成的集合，应用于单一对象。

可根据用户所在部门或角色对其可访问范围进行管理，集中授权/撤销授权，做到一次配置，全局生效。

6)应用管控
对于需要接入统一信息门户的在建和未建系统指定统一的接入规格说明，提供规范接口，保证各系统可按照规范自行开发后实现对统一信息门户的自动接入和单点登录，同时对接已有Web应用、移动应用、桌面应用以及IoT设备等，为用户提供集访问控制、单点登录和应用门户的一体化服务，实现统一信息门户对各接入系统的统一管理。

管理纳入统一信息门户的各应用系统的应用功能点和应用权限。

7)通知消息
监听消息服务器中的消息数据，将各个子系统通过消息中心发出的通知消息汇集到统一信息门户中进行集中展示，运用消息中间件解决异步通信、多对多通信等问题，为管理员提供消息的定时发送功能。

同时支持JMS的消息模型，提供可靠消息传输、事务和消息过滤等机制。

同时支持手机短讯、电子邮件等扩展消息通讯方式，方便用户获取即时任务提醒、即时消息传递等。

8)日志审计
详细记录用户所有行为及管理员操作，并形成可视化报表，让管理员随时掌握各大应用子系统数字资产的使用情况。

整合不同应用的登录日志，让管理员切实掌握整个统一信息门户的数字资产使用情况，同时实现用户在多个系统上行为的统合观察，帮助管理者进行快速的判断和决策
9)并发优化
为统一信息门户需建设单独的WEB服务器，并增加一台高IO的前置服务器，在后端应用过于繁忙时阻止用户访问，并给出友好提示；在访问高峰期运用云技术自动将资源集中攻击高峰应用，关闭或限制一些不急用的或少人用的系统；增加对访问率高的数据索引，优化查询视图，同时使用CDN网络应用WEB服务器繁忙情况，降低主服务器负载；优化网页机构，减少JS代码使用，减少图片数量
和大小。

10) 安全防护
制定统一信息门户入网安全规范，要求所有应用接入统一信息门户前必须进行严格的安全入网测试，并通过安全入网验收，在统一信息门户运维过程中使用不同的专业WEB 扫描软件对各业务子系统进行统一检查，进行定期安全检查、网站安全监控、教育培训，对发现的隐患需要及时出具整改协调函，对于退网的业务系统，要求严格按照安全运维规章进行退网流程操作并消除敏感信息。

2. 系统架构
2.1系统架构图
WEB\客户端\APP
业务子系统1业务子系统1业务子系统1
业务子系统1
用户认证中心
用户身份信息
用户目录
基础设施现有系统集成管
控湖南省税务局统一信息门户统一门户
服务功能
单点登录会话保持单点退出
身份认证个人中心安全防护应用管控统一注册并发优化
统一门户管理功能用户中心应用管控
角色管理授权管理数据权限菜单权限
资源权限日志审计通知消息
纳税人缴费人自然人税务人
第三方
后端服务层
应用聚合层接入层
特殊用户内网用户中心
外网用户中心
统一信息门户系统在逻辑上分为三层，接入层、引用聚合层和后台服务层。

2.1.1接入层
最前端是系统接入层，他提供个性化的接入，基于不同的角色（如：纳税人、缴费人、税务人、自然人、第三方人员等）展现不同的整合后的工作界面，在安全条件允许的情况下，这一层可以应用扩展到不同的移动终端设备上。

2.1.2应用聚合层
中间是聚合层，基于IBM Portal产品进行构建，提供两类主要的服务，一类是基本的Portal服务如单点登录、会话保持、单点退出、身份认证、应用管控服务等，另一类是对现有系统整合后形成的服务如：日志审计、统一待办等按不同粒度整合的服务。

IBM Portal提供了多种的整合方法有很多开箱即用的Portlet可以快速的完成。

2.1.3后台服务层
后台服务层横跨整个系统的各个环节，包括集中的访问认证，集中的用户管理，集中度的用户信息存储，通过用户身份管理系统建立统一认证中心，为门户系统提供了用户身份管理，是整个统一信息门户的基础架构。

2.2业务逻辑即功能描述
2.2.1身份认证
用户想要通过认证请求受保护资源时，首先是通过浏览器访问CAS（中央认证服务）客户端，检查是否有session（会话），如果没有，则返回浏览器，重定向到CAS服务器端，发送认证请求，然后弹出登录页面，由用户输入用户名和密码请求认证，如果认证成功，则返回ST参数给浏览器，然后浏览器将ST参数传给CAS客户端，CAS客户端请求CAS服务器端进行验证，并给CAS客户端返回确认信息，此时CAS客户端会创建session，重定向到浏览器登录成功，用户可以访问受保护的资源了。

对于yoghurt来说，上述认证过程体验如图1所示，用于信息存放在统一部署的LDAP中，当用户登录信息门户时，门户将用户身份信息通过LDAP进行认证，如果认证通过，则允许登录，否则拒绝用户登录。