上海市电力公司身份管理与企业门户研究实践-北极星电力软件网

投稿

我要投稿

随着上海市电力公司企业管理信息化建设要求的提高。以及国家电网公司“SGl86工程”建设的深入，上海市电力公司在身份管理和企业门户建设中。对如何更好地适应企业的发展及业务需要方面进行了研究，最终提出了相关方案和应对措施，并成功地在上海市电力公司进行了实施。

1 身份管理与企业门户建设现状及需求

经过多年的企业信息化建设，上海市电力公司在身份管理和企业门户建设上已经形成了一定的基础，初步建立了身份整合和企业门户平台。但该平台还存在一些问题.因而限制了平台实用性的提升，阻碍了系统效益的进一步发挥。

1)在身份管理整合方面，上海市电力公司采用Novell LDAP作为公司身份管理的轻量级目录访问协议(LDAP)平台，建立了公司的身份认证系统，接入门户的部分系统纳入了身份认证系统。但公司没有对身份认证进行全面统一的管理，接人身份认证的用户范围有限。且各应用系统的用户名编码规则不同，需要用户掌握多个系统的不同用户名和密码;需要用户手工维护系统间账号映射关系，密码维护繁琐。

2)在企业门户方面，因上海市电力公司采用了MY SAP套件实施企业资源计划(ERP)工程。故利用SAP Enterprise Portal产品作为企业门户平台。公司现有的企业门户已完成“SGl86工程”验收内容，实现了和国家电网公司门户的初步贯通，并已接入了系统办公、邮件、绩效管理、应急指挥、员工支付、新闻、经营管理分析平台、专业数据仓库(BW)、员工自助、项目立项与投资计划预算(BPS)等系统。但原有门户并存了两种登陆方式，且基层单位尚未建立企业门户，不符合国家电网公司典型设计要求;同时在硬件架构方面。企业门户系统与数据仓库系统共用同一套硬件和用户源数据，导致在管理及运行维护上无法对两个系统进行清晰的划分.以及推广后许可授权用户数上将存在着较大的风险;门户用户数据未和身份认证系统同步;各系统在门户上的接入方式不统一，且维护工作比较复杂。

为完成国家电网公司相关的典型设计，通过国家电网公司信息系统实用化评价验收等工作，上海市电力公司需要对现有的身份整合和企业门户进行优化。以实现各应用系统功能的集成及身份账户的集中管理。进一步提高公司信息化平台的使用效率。同时。也需要按照国家电网公司典型设计完成与国家电网公司身份认证的级联，并完善与国家电网公司门户的纵向贯通。

2 身份管理与企业门户建设中存在的难点问题

上海市电力公司现有的身份管理和企业门户所存在的问题是相互联系、相互影响的，只有基于通盘的考虑。进行统一的规划和设计，从总体上进行优化和提升才能有效地解决这些问题。在身份管理的优化方面。亟待完成的工作和存在的难点：①建设全公司范围内的目录服务;②实现接入门户各应用系统的身份账户统一管理;③按国家电网公司典型设计完成与国家电网公司身份认证级联。

在企业门户的优化方面，亟待完成的工作和存在的难点：①优化公司统一的企业门户;②建立基层虚拟门户;③按国家电网公司典型设计完善与国家电网公司门户的纵向贯通。

3 身份管理与企业门户建设中的应对措施

要解决上海市电力公司现有身份管理和企业门户存在的问题，需从以下5个层次依次推进。

第一，要建立全公司范围内的目录服务，集中统一管理各应用系统的身份认证信息，并完成和国家电网公司身份认证的级联，以此实现用户身份的整合和集中管理。

第二，对现有门户系统的硬件进行优化，并与数据仓库系统进行彻底的剥离.为虚拟门户推广时更大的并发用户数进行硬件上的优化。

第三，通过单点登录(SSO)实现为登入上海市电力公司企业门户的用户提供对其他应用系统的自动认证功能，并建立上海市电力公司门户与身份认证服务器之间的信任关系，以使得国家电网公司的用户能够通过认证服务器中级联的用户信息登录上海市电力公司的企业门户。

第四，设计将各相关应用系统界面嵌入到企业门户的方式.完成用户界面的整合，便于用户直接在门户界面上进行相关系统的业务操作，真正地将企业门户摆放到核心的位置，同时根据国家电网公司典型设计完成从国家电网公司门户到上海市电力公司门户的纵向贯通。

第五。通过虚拟门户的基层单位试点对虚拟门户的应用推广进行实际探索，并进而将虚拟门户推广实施到所有基层单位。

3.1 身份整合

在身份管理系统总体架构中，采用LDAP作为用户源，用以维护用户的相关信息。而上海市电力公司用户的LDAP服务器将成为公司用户访问门户应用唯一的用户认证信息源，相关用户的账户信息都在用户目录中统一管理。此外，上海市电力公司用户LDAP服务器还将与国家电网公司用户LDAP服务器实现级联。上海市电力公司身份整合构架图如图1所示。

图1 上海市电力公司身份整合构架图

由于各应用系统本身所采用的认证机制不同，而其中有些并不支持I。DAP作为其用户源，需要分别保证其用户源中维护的用户信息与LDAP中集中管理的权威数据相一致。这一点利用LDAP本身提供的推送功能来完成，将LDAP中的权威数据同步到多个应用系统的异构用户源中。

在实施过程中。根据上海市电力公司的实际情况制定了身份管理接入规范，对所有接人身份管理的已有系统、在建系统和未来实施系统制定了统一的身份管理接人方式及细节，从管理源头上对企业信息化系统建设中的身份管理制定了规章守则。同时，该规范的落实也对原有的运行维护体系有较大变更，公司的身份这一主数据的管理和维护不再散落于各应用系统中，而是由权威数据源处统一进行变更运行维护，再经过LDAP统一分发或推送至各应用系统中。另外，上海市电力公司用户LDAP统一身份实现了与国家电网公司用户LDAP统一身份的级联，国家电网公司用户LDAP统一身份中维护的用户数据将推送到上海市电力公司的用户LDAP统一身份中。至此，身份整合工作已经完成，成功实现了在上海市电力公司的用户LDAP服务器中集中维护所有用户信息的功能。

3.2 门户认证整合

门户认证整合需从两个部分来进行阐述。

1)上海市电力公司企业门户与其他各应用系统认证整合的实现比较简单。通过上述的身份整合过程，已经完成了用户信息的集中维护，在此后的认证整合工作中，就可以通过配置单点登录来实现用户只在企业门户登录一次，门户就自动为用户进行其他各应用系统的身份认证。

2)实现上海市电力公司企业门户与国家电网公司企业门户的级联认证是一个相对复杂的过程。在身份整合中已实现上海市电力公司用户LDAP服务器与国家电网公司用户LDAP服务器的级联.但因推送数据中不可能包含用户登录口令等敏感信息。因此必须建立上海市电力公司门户和LDAP之间的基于SS0协议的信任关系。

根据国家电网公司已选用ToKENS认证级联方式作为与网省公司级联认证的原则。故上海市电力公司门户级联重点应关注级联认证协议规则、SSo服务认证算法、SSo过滤器算法和注销框架。上海市电力公司门户级联过程见图2。

图2 上海市电力公司门户级联过程

通过图2的门户级联过程，上海市电力公司企业门户已经实现了对各应用系统的接入，以及与国家电网公司企业门户的认证整合。

投稿与新闻线索：陈女士微信/手机：13693626116 邮箱：chenchen#bjxmail.com（请将#改成@）

订阅北极星周刊，精彩内容不再错过！

特别声明：北极星转载其他网站内容，出于传递更多信息而非盈利之目的，同时并不代表赞成其观点或证实其描述，内容仅供参考。版权归原作者所有，若有侵权，请联系我们删除。

凡来源注明北极星*网的内容为北极星原创，转载需获授权。

阅读下一篇

鄱阳供电推进PMS系统促农电管理水平

上海市电力公司查看更多>信息化建设查看更多>身份管理查看更多>

姓名：
性别：
出生日期：
邮箱：
所在地区：
行业类别：
工作经验：
学历：
公司名称：
任职岗位：

上海市电力公司身份管理与企业门户研究实践

鄱阳供电推进PMS系统促农电管理水平

登录注册

绑定账号

想要获取更精准资讯推荐？建议您完善以下信息~

订阅成功

想要获取更精准资讯推荐？建议您
完善以下信息~