江苏省社区管理和服务综合息平台共性技术规范.doc

江苏省社区管理和服务综合信息平台共性技术规范(专题三) （草案）  接口规范 综合门户接入规范 综合门户系统包括：内部Web门户和外部Web门户。 内部Web门户的使用对象是政府各职能部门的社区工作者。该门户通过单点登录、统一身份认证、访问控制和安全管理，为使用社区管理和服务综合信息平台的社区工作者提供统一工作平台，通过门户，社区工作者可以快速访问各应用系统，提供相关数据，查询相关信息。 外部Web门户的使用对象是社区居民以及为社区居民提供服务的各社会团体、企业、个体工商户和志愿者。该门户通过网站、触摸屏、手机、电视等多种载体，发布服务信息，接收服务请求，反馈服务结果，提供服务交互。 门户技术架构 根据社区管理和服务综合信息平台总体架构，我们可以将整个社区门户分为三个层次：用户接入、门户系统和社区应用。如下图所示： 用户接入 用户可以利用PC机/手提电脑等通过IP网络（Intranet、Internet）、利用PDA等通过无线通信网络等接入方式访问门户系统。 门户系统 门户系统负责提供用户访问的安全控制手段、内容管理和门户相关服务功能等应用。 认证管理 门户系统支持静态密码、动态验证、数字证书等多种身份认证方式。 访问策略管理 门户系统提供信息访问权限控制、访问渠道管理等功能，并为个性化服务提供访问策略控制定义。 门户可以按角色机制在管理页面中进行权限管理，通过角色把一组许可权与特定的门户资源进行组合，支持资源的精细访问控制，用户浏览和定制时，只能选择和查看具有访问权的相关资源。输出资源时，门户根据权限控制对用户请求资源的开放程度。通过对用户和组授权、通过访问控制表可以配置整个门户内部资源的访问权限。 安全管理 安全管理包括两方面内容：身份验证和授权。安全组件或者子系统允许管理员对用户和活动进行限制，实现对资源的保护。在门户内部，安全子系统控制对portlet门户资源的存取访问。 结合第三方防火墙、防病毒等软硬件相关产品，能够提供防侵入、防病毒等安全措施，进一步保障社区内部资源的安全。通过群集或主备方式，提供负载均衡、容灾等机制，保证门户系统的高可用性。 内容管理 内容管理的对象主要包括：基于信息发布的数据（如内部新闻、重要公告）、针对门户信息浏览的应用开发程序。 个性化服务 门户系统应在统一控制管理的基础上，为员工提供个性化管理平台。用户可根据自身工作性质和对社区资源的访问需求，设置个性化查阅、管理界面。 社区应用 社区应用主要包括社区综合服务平台、社区综合管理平台、社区业务系统等。门户系统与应用系统之间的关系如下： 门户系统是集成各种应用系统的平台； 通过门户访问各种应用系统，实现单点登陆； 将各种应用系统中的数据，通过门户集中展现。 门户与应用系统：应用系统都要求基于WEB方式构建，通过门户的Portlet技术和应用系统进行整合，用户能够直观灵活地使用应用系统各功能模块。 应用系统中的用户信息和门户中的用户信息关键字段必须保持一致。当应用系统中用户信息发生变化时，可以通知目录管理人员修改相关用户信息，应用系统管理员通过相关接口同步用户信息，使其与应用系统中的用户信息对应。 统一信息资源管理 统一的社区信息资源管理主要实现对社区内部的所有人员、组织、工作组、角色、应用系统等信息的统一保存和管理，为门户系统提供认证、访问授权和资源管理服务，通过LDAP技术以目录服务的形式实现。 统一信息资源管理采用“人员”、“组织”、“工作组”、“角色”、“应用系统”等方式管理用户信息和应用系统信息，从而形成层次结构。包括管理部署域名、组织、用户（基本信息、帐号、口令、用户证书）、角色、工作组、个性化定制（模版、布局、门户组件）、系统资源配置、应用系统关联等信息。 考虑到实施的具体可操作性，考虑以地市为单元建立统一目录服务，有条件的区县可以在地市的统一规范下进行目录建设。目录服务结构示意图如下： 在各级的目录服务中分别保存本地的人员信息，省级通过目录集成方式全省用户目录，各地市人员信息和省级保持同步、各区县人员信息与地市保持同步，实现人员信息的集中管理和分布存储。 用户认证及访问权限控制 用户认证 根据不同应用系统的安全级别可采用不同的认证方式： 通过目录服务存储的用户ID和口令认证用户身份； 采用X509v3电子证书（电子证书存放在客户端），通过调用客户端证书的方式进行身份认证，可以考虑由江苏省CA中心提供统一的证书颁发和验证。 登录门户系统的认证 所有接入门户系统的应用，其用户认证统一通过门户系统进行。用户进入门户系统的认证流程如下： 用户通过用户ID+密码进行系统登录； 门户系统通过目录服务提供的接口进行用户身份认证； 目录认证服务将用户认证信息返回到门户系统的展现策略管理，该功能模块根据用户角色决定用户能够使用的应用功能及个性