1 总则 1.1 背景

随着经济全球化趋势和中国加入WTO，中国电信市场的政府管制力度将越来越弱，市场更加开放，竞争更加激烈。国内外市场环境要求国内的公众电信运营企业在经营理念、管理模式上能上升到较高层次，以求在电信运营商的国际化竞争中立于不败之地。

中国联通作为国内唯一一家对所有电信业务拥有经营权的电信运营商，拥有全国范围内相当规模的公用电信网，经营多种基础电信业务和增值电信业务，形成移动（GSM/CDMA）、长途（193）、数据（165）、IP电话、市话、增值业务等多种业务并存共同发展的格局。

中国联通在全国31个省、市、自治区建有分公司，为了有效的发挥公司内部资源，提高内部管理效率，提高经营管理水平，中国联通逐步统一规划、建设全国范围内的MSS系统。

2003年联通总部编制并通过了《中国联通管理支持系统（MSS）总体方案》，制定了MSS的总体建设思路。2004年，为指导同年进行的全国范围的MSS一期工程的建设，又组织编制并通过了《中国联通管理支持系统（MSS）技术规范》，其中明确了2004年的建设重点是实现公文流转、经营信息展现、电子邮件和基础网络设施等四个方面。经过一年的实施，已基本实现了一期的建设目标，同时也为联通MSS的后期建设打下了坚实的基础，创造了良好的信息化环境。

2005年联通总部制定了新的建设任务，其中一个重点就是建设门户系统，为MSS、ERP提供统一的接入、认证和安全管理平台，为用户提供个性化的展现平台。

企业信息门户的实施是MSS系统建设过程中一个重要目标任务。为规范门户系统的建设，中国联通总部组织制定了中国联通企业内部门户系统技术规范，本文件为中国联通IT系统MSS系统域企业内部门户系统技术规范门户子系统部分（以下简称“本规范”）。 1.2 编制目的

为了在前期的基础上更有效指导企业内部门户系统建设实施工作，中国联通有限公司特制定本规范。

与本规范配套使用的还有《中国联通IT系统 MSS系统域 企业内部门户系统业务规范 门户子系统部分》（主要提出了企业内部门户系统应具备的功能需求和相关要求），将共同指导、约束企业内部门户系统建设实施的相关工作。

本规范可作为中国联通总部及各省分的内部门户系统建设实施项目的设计、开发、验收的相关依据。

1.3 适用范围

本规范指导并规范中国联通各省分公司进行门户子系统的建设。各省可依照本规范以及其它相关规范、标准，结合本地实际情况建设总部及省分的门户系统。 1.4 文档结构

第一部分：总则，描述本文的背景、编制目的、适用范围、文档结构、规范起草单位、解释权与修订权、名词解释和缩略语等内容；

第二部分：概述，对规范的定位进行了概括性描述；

第三部分：系统总体构架，从软件逻辑架构、两级门户架构及物理模型三方面进行了

5

概括性描述；

第四部分：门户系统总体功能，对门户的功能、门户集成的相关应用系统以及用户目录管理、认证流程进行了介绍；

第五部分：两级门户互联，概要说明了门户互联的方式，并详细介绍了几种互联技术方法，并针对全国门户、省分（总部）门户待办集成的细节做出了规范要求；

第六部分：单点登录实现，分别从门户内部、跨门户及全国门户三个方面的流程及CDSSO技术细节进行深入阐述和要求；

第七部分：网络组织，对于网络拓扑结构、门户系统与应用系统的网络互联、IP地址及DNS规划等几个方面做出了说明和规范要求；

第八部分：门户系统技术要求，对主机、存储、安全、门户软件等几个方面作出了要求，对于集成应用系统的用户管理、展现及单点登录提出具体的技术要求和可选方案；

第九部分：对总体系统的可靠性，网络安全性，信息安全性，应用系统的安全性，数据安全性进行了相关说明并提出了相关要求。 1.5 规范起草单位

本规范起草单位为中国联合通信有限公司信息化部、中讯邮电咨询设计院。 本规范增补、修订权属中国联合通信有限公司信息化部。 1.6 规范解释权

本规范的解释权为中国联合通信有限公司信息化部。 1.7 参考文献

《中国联通IT系统总体技术体制v1.0》 1.8 名词解释和缩略语

BSS：Business Supporting System，业务支持系统。

EAI：Enterprise Application Integration，企业应用集成。 ERP：Enterprise Resource Planning，企业资源计划。

LDAP：Lightweight Directory Access Protocol，轻量级目录访问协议。 MSS：Management Supporting System，管理支持系统。

Portal：门户，在本规范中指企业内部门户，是用户和管理支撑系统、业务系统之间的桥梁。门户系统将企业分散的应用和信息进行聚合，实现应用关联和信息共享，供决策支持服务。

Portlet：是基于应用系统的展现端组件，通过与应用系统的接口获得应用数据和操作功能。Portlet可以是Portal系统的一部分，由Portal系统提供工具和运行环境实现Portlet的生成、运行、授权、维护等管理工作。

SSO：Single Sign-on，单点登录，即用户登录后不需要再次提供认证信息就可以访问相关各应用系统。

CDSSO：Cross Domain SSO，跨域的单点登录，即在两个独立的安全域之间实现的单点登录。

TAM：Tivoli Access Manager 提供集中式的认证/授权/审计功能，并实现对门户及各种后台子系统的单点登陆。包括Policy Server和WebSeal两个主要的组件。

6

TIM：Tivoli Identity Manager 提供集中式的账户生命周期管理，通过TIM可以实现对各种后台子系统的账户管理，包括Domino/AD/ERP等系统的帐户信息。

IDI：IBM Directory Integrator 通过各种标准的连接器与各种账户注册表进行连接，并通过流水线对数据进行处理，从而实现账户数据的同步。

IDS: IBM Tivoli Directory Server 基于LDAP标准的LDAP目录服务器,用户信息存储在这个目录服务器中,并可以根据联通公司的需求来灵活的定义用户的属性信息.

LTPA: LightWeight Third Party Authentication，轻量级第三方认证（LTPA）的认证机制, LTPA 定义了存储在客户端上的令牌格式，运行在不同机器上的WEB 应用程序使用 LTPA实现用户认证信息的传递。

iFrame: 主浏览器窗口的一个子窗口。从运行在它上面的软件的来看，iFrame是属于它自己的窗口，能够独立于包含自己的窗口之外而独立运行。

NTP：网络时间协议（Network Time Procotol）。它的目的是在互联网上传递统一、标准的时间。具体的实现方案是在网络上指定若干时钟源网站，为用户提供授时服务，并且这些网站间应该能够相互比对，提高准确度。 2 概述

企业信息门户系统包括门户子系统和用户目录子系统。对于“中国联通企业信息门户系统”的理解，可以从以下几个方面予以直观定义：

（1） 是直接面向全部的联通员工（含各级领导，以下同）的内部信息服务界面，

以支持日常管理工作为目的；

（2） 是联通员工接触企业信息资源（获取必要的企业信息和数据、以及操作相关

的应用系统）的统一入口、统一渠道，并根据登陆门户系统的员工角色来呈现相应的信息服务功能界面；

（3） 从用户（即联通员工）体验的角度，对单点登录（SSO）的支持是门户系统的

典型特征；

（4） 对企业机构组织及员工信息，以及应用系统和信息数据资源的访问权限进行

统一管理，以确保企业信息和IT系统的安全性；

（5） 从技术实现上讲，门户系统要解决企业信息内容和应用系统的聚集，即把企

业信息通过有机的集中手段来展现、提供给用户。

门户子系统和用户目录子系统共同实现中国联通企业信息门户系统。 3 系统总体架构

本部分将从系统软件逻辑架构、两级门户架构及物理模型三个方面对内部门户系统进行概括性描述。

3.1 省分（总部）门户系统逻辑架构

7

用用用用用用用用用用用WebSphere Application Server用用用用用WebSphere Portal Server用用用用用用用用用用用用用用用用WebSeal用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用L4/Edge ServerWeb用用用用用用用用用用PDA用用HTTP用用IBM Http Server用用PortletPortletPortletPortletPortletPortletPortlet用用用用用用用用用用用用用用用用OA用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用IBM Directory Server用用用用Tivoli Access Manager用用用用用用Tivoli Identify Manager图 3-1 联通企业信息门户系统层次划分示意图

图中系统的描述了联通企业信息门户系统的层次划分： ? 用户端：中国联通信息门户系统的客户端目前考虑主要对普通的PC浏览器提供访

问支持。在条件成熟时，可以对部分用户经常需要访问的应用：如办公系统、邮件系统等提供PDA和手机等移动终端访问的支持。

? 接入层：接入层是直接接受用户访问请求的应用层，它的功能主要包括：用户的

认证、用户动态信息访问请求的转发、对于静态内容的缓存等。接入层的主要作用一方面是提高系统效率，另一方面是保障门户系统的访问安全，防止非授权的非法访问。 ? 应用层：用以提供用户管理服务和门户服务的应用。主要是门户服务引擎和用于

整合一系列后端应用的Portlet，另外在这一层还包括储存用户信息的目录服务器以及存放门户所需数据的数据库。

? 应用系统层：主要是中国联通目前已有和准备将来建设的后端应用系统。 3.2 两级门户体系架构

无论总部门户、省分门户还是全国门户，域内体系架构都按照省分或总部协同办公系统逻辑架构统一建设。为了实现互连互通的业务目标，各级门户要综合考虑实现门户互访的技术要求，下图是两级门户体系架构的示意图。

8