随着上海市电力公司企业管理信息化建设要求的提高。以及国家电网公司“SGl86工程”建设的深入,上海市电力公司在身份管理和企业门户建设中。对如何更好地适应企业的发展及业务需要方面进行了研究,最终提出了相关方案和应对措施,并成功地在上海市电力公司进行了实施。
1 身份管理与企业门户建设现状及需求
经过多年的企业信息化建设,上海市电力公司在身份管理和企业门户建设上已经形成了一定的基础,初步建立了身份整合和企业门户平台。但该平台还存在一些问题.因而限制了平台实用性的提升,阻碍了系统效益的进一步发挥。
1)在身份管理整合方面,上海市电力公司采用Novell LDAP作为公司身份管理的轻量级目录访问协议(LDAP)平台,建立了公司的身份认证系统,接入门户的部分系统纳入了身份认证系统。但公司没有对身份认证进行全面统一的管理,接人身份认证的用户范围有限。且各应用系统的用户名编码规则不同,需要用户掌握多个系统的不同用户名和密码;需要用户手工维护系统间账号映射关系,密码维护繁琐。
2)在企业门户方面,因上海市电力公司采用了MY SAP套件实施企业资源计划(ERP)工程。故利用SAP Enterprise Portal产品作为企业门户平台。公司现有的企业门户已完成“SGl86工程”验收内容,实现了和国家电网公司门户的初步贯通,并已接入了系统办公、邮件、绩效管理、应急指挥、员工支付、新闻、经营管理分析平台、专业数据仓库(BW)、员工自助、项目立项与投资计划预算(BPS)等系统。但原有门户并存了两种登陆方式,且基层单位尚未建立企业门户,不符合国家电网公司典型设计要求;同时在硬件架构方面。企业门户系统与数据仓库系统共用同一套硬件和用户源数据,导致在管理及运行维护上无法对两个系统进行清晰的划分.以及推广后许可授权用户数上将存在着较大的风险;门户用户数据未和身份认证系统同步;各系统在门户上的接入方式不统一,且维护工作比较复杂。
为完成国家电网公司相关的典型设计,通过国家电网公司信息系统实用化评价验收等工作,上海市电力公司需要对现有的身份整合和企业门户进行优化。以实现各应用系统功能的集成及身份账户的集中管理。进一步提高公司信息化平台的使用效率。同时。也需要按照国家电网公司典型设计完成与国家电网公司身份认证的级联,并完善与国家电网公司门户的纵向贯通。
2 身份管理与企业门户建设中存在的难点问题
上海市电力公司现有的身份管理和企业门户所存在的问题是相互联系、相互影响的,只有基于通盘的考虑。进行统一的规划和设计,从总体上进行优化和提升才能有效地解决这些问题。在身份管理的优化方面。亟待完成的工作和存在的难点:①建设全公司范围内的目录服务;②实现接入门户各应用系统的身份账户统一管理;③按国家电网公司典型设计完成与国家电网公司身份认证级联。
在企业门户的优化方面,亟待完成的工作和存在的难点:①优化公司统一的企业门户;②建立基层虚拟门户;③按国家电网公司典型设计完善与国家电网公司门户的纵向贯通。
3 身份管理与企业门户建设中的应对措施
要解决上海市电力公司现有身份管理和企业门户存在的问题,需从以下5个层次依次推进。
第一,要建立全公司范围内的目录服务,集中统一管理各应用系统的身份认证信息,并完成和国家电网公司身份认证的级联,以此实现用户身份的整合和集中管理。
第二,对现有门户系统的硬件进行优化,并与数据仓库系统进行彻底的剥离.为虚拟门户推广时更大的并发用户数进行硬件上的优化。
第三,通过单点登录(SSO)实现为登入上海市电力公司企业门户的用户提供对其他应用系统的自动认证功能,并建立上海市电力公司门户与身份认证服务器之间的信任关系,以使得国家电网公司的用户能够通过认证服务器中级联的用户信息登录上海市电力公司的企业门户。
第四,设计将各相关应用系统界面嵌入到企业门户的方式.完成用户界面的整合,便于用户直接在门户界面上进行相关系统的业务操作,真正地将企业门户摆放到核心的位置,同时根据国家电网公司典型设计完成从国家电网公司门户到上海市电力公司门户的纵向贯通。
第五。通过虚拟门户的基层单位试点对虚拟门户的应用推广进行实际探索,并进而将虚拟门户推广实施到所有基层单位。
3.1 身份整合
在身份管理系统总体架构中,采用LDAP作为用户源,用以维护用户的相关信息。而上海市电力公司用户的LDAP服务器将成为公司用户访问门户应用唯一的用户认证信息源,相关用户的账户信息都在用户目录中统一管理。此外,上海市电力公司用户LDAP服务器还将与国家电网公司用户LDAP服务器实现级联。上海市电力公司身份整合构架图如图1所示。
图1 上海市电力公司身份整合构架图
由于各应用系统本身所采用的认证机制不同,而其中有些并不支持I。DAP作为其用户源,需要分别保证其用户源中维护的用户信息与LDAP中集中管理的权威数据相一致。这一点利用LDAP本身提供的推送功能来完成,将LDAP中的权威数据同步到多个应用系统的异构用户源中。
在实施过程中。根据上海市电力公司的实际情况制定了身份管理接入规范,对所有接人身份管理的已有系统、在建系统和未来实施系统制定了统一的身份管理接人方式及细节,从管理源头上对企业信息化系统建设中的身份管理制定了规章守则。同时,该规范的落实也对原有的运行维护体系有较大变更,公司的身份这一主数据的管理和维护不再散落于各应用系统中,而是由权威数据源处统一进行变更运行维护,再经过LDAP统一分发或推送至各应用系统中。另外,上海市电力公司用户LDAP统一身份实现了与国家电网公司用户LDAP统一身份的级联,国家电网公司用户LDAP统一身份中维护的用户数据将推送到上海市电力公司的用户LDAP统一身份中。至此,身份整合工作已经完成,成功实现了在上海市电力公司的用户LDAP服务器中集中维护所有用户信息的功能。
3.2 门户认证整合
门户认证整合需从两个部分来进行阐述。
1)上海市电力公司企业门户与其他各应用系统认证整合的实现比较简单。通过上述的身份整合过程,已经完成了用户信息的集中维护,在此后的认证整合工作中,就可以通过配置单点登录来实现用户只在企业门户登录一次,门户就自动为用户进行其他各应用系统的身份认证。
2)实现上海市电力公司企业门户与国家电网公司企业门户的级联认证是一个相对复杂的过程。在身份整合中已实现上海市电力公司用户LDAP服务器与国家电网公司用户LDAP服务器的级联.但因推送数据中不可能包含用户登录口令等敏感信息。因此必须建立上海市电力公司门户和LDAP之间的基于SS0协议的信任关系。
根据国家电网公司已选用ToKENS认证级联方式作为与网省公司级联认证的原则。故上海市电力公司门户级联重点应关注级联认证协议规则、SSo服务认证算法、SSo过滤器算法和注销框架。上海市电力公司门户级联过程见图2。
图2 上海市电力公司门户级联过程
通过图2的门户级联过程,上海市电力公司企业门户已经实现了对各应用系统的接入,以及与国家电网公司企业门户的认证整合。
3.3 门户硬件架构优化
门户硬件架构优化主要针对原有门户系统和数据仓库系统共用硬件的拆分优化。门户系统和数据仓库系统搭载于同一套硬件平台上,从未来系统扩展的角度考虑会存在潜在的性能瓶颈。其主要原因在于门户系统更多地定位于企业内部系统整合和人机协同交互的统一框架平台,更多地考虑同时承载较多用户的能力。因此。数据仓库系统在进行业务运算时(如产生较高的资源耗用峰值时),会影响门户平台的稳定性。
结合上海市电力公司实际情况,从拆分的角度来看其工作主要包含以下几方面。
1)彻底拆分数据仓库BW展示门户系统与企业门户系统,将企业门户系统迁移到新的硬件平台上,实现硬件的彻底剥离。
2)在硬件剥离的同时,将门户原有基于Windows服务器的平台替换成基于稳定性更好的Unix服务器。
3)优化硬件架构,将门户系统的开发、测试环境和生产环境分离,提高门户程序发布的安全性和可靠性。
4)确保最终切换的无缝迁移。最低程度地减少最终迁移切换对最终用户使用系统的影响。
5)在迁移完成后进行相关参数配置,进一步提高新企业门户系统的性能指标和可扩展性。可为未来在基层单位实现虚拟门户推广做好硬件层面的准备工作。
实现硬件优化后的门户硬件架构图如图3所示。在图3中,BP系统为企业门户系统;BW Java系统为SAP商业智能门户组件;PTD为门户开发机;PTQ为门户测试机;PTP为门户生产机;BJD为数据仓库门户组件开发与测试系统;BJP为数据仓库门户组件生产系统。
硬件优化工作完成后.新企业门户系统达到了支持30 s内1 200个同时在线用户的设计指标,并顺利通过了第三方的评测。
图3 实现硬件优化后的门户硬件构架图
至此,上海市电力公司完成了原有门户系统和数据仓库系统的硬件拆分优化工作,实现了系统运行维护管理的清晰化,新门户系统和数据仓库系统彼此定位更加清晰,也避免了系统可能的性能瓶颈,并为公司企业门户进一步深化推广打下了坚实基础。
3.4 虚拟门户建设
上海市电力公司管辖范围内大部分基层单位信息化建设已取得一定规模,例如超高压输变电公司(以下简称超高压公司),其信息系统已初具规模,目前关键应用包括BPS、绩效管理、BW、邮件、OA和内网的新闻网站6个系统。为进一步促进信息整合和信息展现,超高压公司迫切希望建立企业门户平台,因此上海市电力公司选择超高压公司作为虚拟门户的试点单位。
通过在上海市电力公司企业门户软、硬件平台上构建超高压公司虚拟门户。可以开发具有超高压公司特点的门户框架和主题,然后利用门户的分组访问策略将相关框架和主题分配到超高压公司用户组中,从而使超高压公司用户在登陆到上海市电力公司企业门户后,可以看到具有超高压公司特点的门户框架和主题,最终实现面向超高压公司用户的虚拟门户。
为进一步实现信息的整合和集中访问,虚拟门户完成了对BPS、绩效管理、Bw、OA、邮件、内网新闻网站的接入。其中,BPS、绩效管理、BW按原有上海市电力公司本部门户接入的方式在虚拟门户中展现;超高压公司的oA和邮件待办事宜接入到了虚拟门户中,内网新闻网站的公司新闻、公告通知和安全运行天数等栏目接入到了门户中。并为超高压公司的oA、邮件和将改造后的内网网站进行了身份整合,实现单点登录。
超高压公司虚拟门户从2009年11月29日上线运行至今,经过运行维护支持跟踪和第三方的评测报告分析,目前已在日常工作中扮演着重要角色,成为了超高压公司信息平台的集中访问点,方便了用户的使用,提高了工作效率,该试点的结果非常成功。由此上海市电力公司对所有基层单位都进行了虚拟门户的实施和推广,极大地提升了各个基层单位信息系统的应用效果。
4 实施效果
通过身份整合、门户认证整合、门户硬件构架优化、门户应用整合、虚拟门户建设的成功实施,实现了上海市电力公司身份管理的集中和统一,体现了企业门户作为企业信息系统核心的价值,并且企业门户满足了国家电网公司相关典型设计的要求。
上海市电力公司身份管理和企业门户的紧密结合将持续为用户提供方便的访问和完善的功能,进而提高了各部门的工作效率。身份管理接人规范和应用系统与企业门户接入规范的制定和执行从管理层面对相关信息系统建设统一明确了要求和规章,也因此对运行维护体系造成部分变动,对其进一步做了明确划分。同时,身份管理实现了与国家电网公司LDAP的纵向级联。企业门户成功实现了与国家电网公司企业门户初步的纵向贯通,使国家电网公司用户也能够便捷地使用上海市电力公司的信息化相关平台。通过为基层单位建设虚拟门户,实现了门户的分级分域管理,充分利用基层的运行维护资源,有效分散运行维护压力,降低运行维护风险,提高门户维护的响应能力,更好的为基层员工服务。
在项目实施过程中,部分应用系统因系统策略尚未满足企业门户接入规范,因此在本次实施过程中未接人企业门户,待未来这部分应用系统改造达标后,将被接入企业门户系统。同时,企业门户和统一身份管理的实施对原先的运行维护流程也提出了更高的要求,上海市电力公司将逐步改善运行维护流程,为用户提供更好的IT服务。
5 结语
通过对上海市电力公司身份整合和企业门户的优化.可以大幅提升公司业务应用信息系统的实用性和可扩展性,平台的总体效能得到了更大的发挥,从而推动了公司知识管理建设再上新台阶,并进一步提升了公司的信息化水平。
下阶段,上海市电力公司将把企业门户推广覆盖到本部和所有的基层单位,进一步积极探索、实践企业门户的深化应用和实用化,满足公司管理对信息化的更高要求。
