广东电信是中国电信下属公司中收入最高、利润最多、客户最多的省公司。本文介绍了广东电信企业门户实际应用的一些情况......

    需求分析
   
    由于业务运营的需要，广东电信企业内部的用户需要同时访问多个业务系统，并时常浏览企业内部网中的相关信息资源。在实施企业门户系统之前，由于用户在访问不同系统时需要分别独立启动不同的应用程序，因而获得的信息较为零散；同时，用户需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务信息并加以分析利用；此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，由于系统较多，用户账号或密码遗忘现象时有发生; 而在安全性和系统管理方面，广东电信需要大量的IT技术管理人员，分别管理和维护不同系统（如：ERP、统计分析、OA等）的用户信息。
   
    针对这种状况，广东电信希望通过实施建立一个企业级的门户，为企业用户提供统一的信息资源访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台；通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高IT系统的易用性；并且在此基础上进一步实现企业用户协同和知识管理功能。
   
    由于广东电信的管理系统采用了SAP R/3软件，考虑到系统的整合性、集成性和互操作等方面的因素，企业门户系统也选择了SAP EP6.0。
   
    实现方法
   
    在具体实施过程中，广东电信采取了首先建立完善的门户基础结构（如系统集成环境、高可用环境等），然后逐步增加门户应用内容（如全省统一的用户目录集中管理、多系统单点登录访问等）的门户项目实施方法。这种方法的优点是可以保证门户内容应用的不断深入和扩展，建立在一个稳定、可靠、高效的系统平台之上。
   
    对于广东电信这样的拥有上万个门户用户、上百个IT系统的大型电信运营企业来说，这是非常重要的一个实施策略。因为此时企业门户系统的故障不仅将导致信息访问的不畅，而且会导致众多业务系统无法访问和使用等严重问题。出于安全方面的考虑，本文不详细介绍广东电信企业门户系统的系统结构和具体实现方法，仅简要介绍系统中采用的单点登录实现方法。
   
    ① 基于登录票的单点登录
   
    为减少系统成本，数量众多的普通用户可通过登录票的方式实现单点登录。首先通过账号和口令访问EP6.0门户系统。然后OA系统用户实现单点登录，OA系统（基于IBM Domino 6.03）采用了B/S结构，而且OA系统已经实现了与LDAP的集成。因此OA系统的用户是从LDAP中同步而来的，用户名完全一致。
   
    为实现从EP6.0门户系统单点登录后访问OA系统，广东电信为OA系统安装了SAP Ticket Verifier Domino服务器，以建立EP6.0门户系统与OA系统之间的信任关系。当EP6.0门户系统和OA系统之间建立了信任关系后，用户便可使用登录票登录到OA系统中。
   
    接下来是ERP系统（R/3）和统计分析系统（BW）用户实现单点登录，采用SAP登录票来实现EP6.0门户到R/3和BW（商业智能数据仓库）的用户同步。用户登录到EP6.0门户系统后，门户系统为该用户发出登录票，登录票本身作为Cookie存储在客户端，并随同该客户端的每个请求一同发送出去。由于EP6.0门户和R/3及BW系统之间已经建立了信任关系（同为SAP公司产品，系统间可用多种方式预置用户同步机制），因此用户可以使用Cookie登录到R/3和BW系统中。
   
    ② 基于数字证书的单点登录
   
    对少数的关键用户，从安全性考虑采用了数字证书或国产硬加密设备的认证方式。以数字证书方式为例，可用两种方法实现从EP6.0到应用系统的单点登陆。
   
    方法一：用户通过数字证书认证后访问门户系统，然后通过SAP登录票访问R/3和BW系统，通过Lotus登录票访问OA系统，从而实现单点登录。
   
    大多数OA系统用户都可采用上述的登录票方式实现单点登录，其中，由于用户通过HTTP协议访问OA系统，因此保证了用户对OA系统访问性能的要求。
   
    方法二：不使用SAP Ticket Verifier Domino服务器。但OA系统同时启用HTTPS服务，这样在用户使用数字证书登陆门户系统后，由于OA系统和门户系统采用相同的证书进行认证，因此不需要重新输入PING密码，其用户证书也可访问OA系统。对一些关键用户，由于考虑到数据的加密传输，采用了这种认证方式；而R/3和BW系统用户仍然通过登录票的方式实现单点登录。
   
    ③ 数字证书的认证和发放方式和步骤
   
    当用户登录时，通过SSL协议进行认证。在建立SSL握手通信时，用户将其数字证书提交给门户Web服务器，门户Web服务器对客户端的身份进行认证，并由统一的LDAP中的 CA认证中心向该用户发出证书。同时，门户服务器将客户端的证书同门户用户进行映射。
   
    应用评价
   
    广东电信的EP6.0企业门户系统已于今年4月上线投入使用，目前取得了如下的阶段性成果：
   
    （1） 实现了异构环境（SAP系统和非SAP系统）下的LDAP集成，通过统一的LDAP（微软ADS）实现了全省范围内系统用户的集中管理，所有用户的管理和维护（添加、删除、信息更改等）都在统一的LDAP中进行。
   
    （2） 集成了ERP系统（SAP R/3）、统计分析系统 （SAP BW）和OA系统 （IBM Domino），实现所有上述系统用户的单点登录功能，并且采取了灵活的用户认证机制，即低权限的普通用户通过为登录票认证后单点登录门户系统，然后访问相关系统。由此以较低的成本获得基本的安全性能；高权限的重要用户通过X.509数字证书或国产硬加密设备认证后登录门户系统，然后访问相关系统。由此保证对关键性用户更严格的安全性管理。
   
    广东电信用户评价: EP6.0企业门户系统可以提供基于角色和Web的内、外统一的用户界面，使企业员工随时随地获取自己所需要的信息。同时，广东电信将在上述成果的基础上进一步增加更多新的门户应用服务。