如何做好大型OA系统的总体设计方案.docx

1、如何做好大型OA系统的总体设计方案如何做好大型OA系统的总体设计？OA（Office Automation）系统是广大企事业单位信息化建设过程必然要经过的里程碑，本系列文拟从项目管理和功能规划两个视角来探讨建设企业级的办公自动化系统的全景 ,分别有“需求分析篇”、“总体设计篇”、“功能设计篇”三篇文章。“他山之石,可以攻玉”，如果您也面临着同样的问题, 希望这些文章的阐述对你能有所裨益。本文主要介绍了如何做好系统的总体设计。 1 设计原则 由于S省邮政的办公自动化建设的目标是能建立一个基础的信息平台，并依托这个平台逐步完善相应的应用系统，因此是一个规模庞大、结构复杂、信息量大的综合信息系统建设

2、，在展开本项目时，一定要在设计规划阶段进行细致认真的工作，确定系统建设的终极目标和当前目标，这样才能保证系统建设的顺利进行和规避不必要的风险。 以下是在系统建设过程中所需要遵循的一些原则。 1.1 阶段性 考虑到系统建设是一项复杂的工程，因此系统建设可以分成多个阶段来逐步实现。在第一阶段需要确定系统建设的整体架构、技术选型，并在此基础上构建系统平台框架以及开发当前最迫切需要的业务系统，随着时间的推移及企业的发展，逐渐开发新的业务系统，并将业务系统集成到系统平台框架中去，从而最终实现一个可靠、可扩展、可互连的系统。 1.2 先进性 作为支撑S省邮政日常重要工作的信息系统，除了必须满足当前的应用要

3、求外，在整套系统的设计过程中，还必须强调先进性。 1.3 成熟性 作为一套庞大而复杂的应用系统建设，如何降低系统的实施风险，避免出现建设失败是在系统分析阶段所必须关注的重要环节。而系统平台和使用技术是否成熟，往往会直接影响到信息化建设的结果。 1.4 实用性 为确保投资的有效性和系统的实用性，因此我们需要选择合适的技术和产品，使整个系统达到最高的性价比性能，并尽量简化用户的操作步骤，使系统容易被使用。 1.5 可扩展性 我们在前面提到整个系统结构的重要性，其中十分重要的一点就在于整套系统应该具有可扩展性。系统可扩展性的程度，直接影响到系统的生命周期。2 总体结构 2.1 体系结构 设计采用多层

4、结构：各个子系统在软件架构基础上、通过工作流集成机制建成统一的集成管理信息平台，包括办公系统及业务系统之间的数据和流程集成。 图1：系统体系结构图基础环境：该平台提供了系统运行的硬件环境和系统软件平台，包括操作系统、数据库等必不可少的系统软件。数据层：数据层位于服务层和基础环境之间。由应用数据存储平台和多媒体内容存储平台、数据交换平台组成。应用数据存储平台存储交易应用数据，采用关系型数据库。多媒体内容存储平台:用来存储公文、网页等非结构化的多;媒体文档和数据。数据交换平台：实现与其他应用系统的信息交换和应用集成。服务层：由基础组件构成，组件就像建设一栋大厦使用的砖和预制板，为系统提供了标准化的

5、模块。应用层：采用集成机制、通过工作流将组件定制成公文管理、文档管理、行政管理、个人办公、信息交流和应用系统。表示层：构成信息门户，为内部员工、领导和外部客户提供一个统一的个性化服务门户界面。安全保障体系：安全性是办公平台、网站建设的一个重要原则。 2.3 软件整体设计图2： 软件系统架构 集成的管理信息平台在总体设计架构下，由企业门户、应用服务器、办公自动化系统、邮件系统、数据存储、应用集成和信息交换平台、集中系统管理服务等六大部分组成。企业门户：门户平台上为企业提供统一服务窗口，能创造一个集成的办公环境，使所有的办公人员都在同一个桌面环境下一起工作, 不受时间和地域的限制，实现协同工作与知

6、识管理。应用服务器：提供应用开发环境。办公自动化系统是一个集公文流转系统（发文处理、收文处理、公文流程管理、公文催办、归档公文管理等）、业务审批系统（申请、审批、汇报材料）、个人事务（领导办公、日程、通讯录）、文档管理（资料中心和档案管理）、会议管理、车辆管理、网上讨论交流和信息发布的完整系统，能够满足日常办公和内部信息发布的需要,提供内部即时消息交流、多种通讯方式集成(短信、电话、传真、电子邮件等)，支持协同工作和移动办公，支持企业级实时协作。邮件系统数据存储：系统设计采用文档数据库+ 关系数据库的模式，业务系统采用关系型型数据库应用集成和信息交换平台。集中系统管理：我们开发的集中系统管理服

7、务器，提供统一的用户认证、用户管理、权限维护，并集成了第三方的目录服务、认证服务。使整个系统具有极高的安全稳定性，可以实现单点登陆（single sign once），并对整个网络资源统一集中监控管理，大大简化了各级系统管理员的管理的复杂性。 3 统一目录服务 邮政内部有必要建立一个集中式的基础平台，这个平台是邮政办公系统的重点之一，将来也会发展成邮政内部涵盖其他系统的基础平台，它的规划和选型是非常重要的，既要反映出目前邮政内部的组织架构，又能满足将来的应用系统和业务系统不断发展的需要，所以，该基础平台必须是一个提供了目录服务的平台，因为目录服务是一种网络资源集中式管理模型，可以提供单一登录和

8、单一验证等功能。目前市场上主流的LDAP产品主要有Microsoft Active Directory、IBM Directory Server、SUN Directory Server、Novel NDS等。 目前市场上主流的LDAP产品主要有Microsoft Active Directory、IBM Directory Server、 Novel NDS等。 部署LDAP 的好处包括： 最大程度上保护用户现有的投资。提供统一登录功能。对特大型 Windows 网络进行集中式管理。能够消除资源域，包括它们所需要的硬件和管理。基于策略的桌面锁定和软件分发。在合适的情况下能够委派对资源的管理控

9、制。共享资源的定位和使用得以简化为多种新安全功能提供基础结构。使用相互身份验证，客户机便可以在传送敏感数据之前验证服务器身份。使用公钥安全支持，用户可以用智能卡代替密码进行登录。4功能架构 根据前述需求分析，我们可以把信息系统建设重点归纳为两个方面的建设：首先是建立企业知识门户系统进行用户整合和企业应用整合。其次是建立OA办公系统和事务处理系统。 OA办公系统和事务处理系统仍旧属于业务系统，而企业知识门户系统才是整个业务系统整合的基础，因此我们可以得出系统建设完毕后的一个功能体系架构图如下所示：图3：功能体系架构图5 实现重点和关键技术 5.1 单点登陆实现方案 通过Credential Va

10、ult（凭证保险库），Portal可以实现统一认证，单点登录，还可以非常方便地与外部B/S架构的业务系统实现单点登录。前面所述的在非Portal环境下实现的单点登录功能是通过由开发商开发相应的单点登录服务模块和认证插件实现，或购买第三方单点登录认证工具实现，其实现原理是：通过Credential Vault（凭证保险库）建立Portal的用户资源库（本系统为LDAP）与外部B/S系统的用户资源库的对应关系，而对外部系统用户资源库的形式不作要求。用户在由 Portal环境下进入被整合的外部系统时，凭证保险库会将当前登录用户在该系统中的身份信息传递到该系统进行认证，如果身份合法就直接进入系统，只有

11、当凭证保险库中的用户对应关系不正确时，系统才会显示出该系统的用户登录界面。 需要说明的一点是， Portal的凭证保险库的建立并不是由系统管理员完成的，系统管理员只是将外部系统集成到Portal环境中，用户在第一次登录时，会被要求输入用户名和口令，登录成功后，即在凭证保险库中建立了对应关系，以后就可通过凭证保险库直接进入系统了。 实现单点登录有以下好处：免除了用户频繁登录和管理多套密码。提高密码管理的安全性。提高系统的整合度。为应用整合，统一用户管理作好基础准备。SharePoint Single Sign-on提供了两种Credential 的映射数据库的方式。Per-user creden

12、tials 方式在SSO服务上设置了对应应用的帐号后，可以为每个域用户配置此应用系统的登录凭证。可以后台管理也可以开发应用程序让用户在第一次登录系统时自动配置。Group credentials在SSO服务上设置了对应应用的帐号后，可以配置此应用系统的组登录凭证。可以为域用户指定一个组登录凭证去登录应用系统。图4： 其中待办事宜部分为工作流系统单点登录进来的效果。 5.2 统一目录服务设计方案 目前S省省邮政公司办公环境以工作组模式组织管理计算机，而部署活动目录会带来如下好处：支持更大的网络，得到更高的效益。众所周知，工作组只适用于很小的网络环境。要想有一个规模可以做的很大，而且运行效率又很高

13、的网络，只有部署活动目录。轻松实现网络的集中管理。在部署活动目录之后，您可以通过活动目录的管理工具对网络中的服务器、客户机、用户账号、网络资源等进行方便的管理。保证用户账号和网络资源的安全 。实现用户对网络资源的快速访问。 提供很好的收缩和扩展能力。活动目录的逻辑结构和物理结构都有很好的伸缩性，当您公司的网络规模由于种种原因需要调整时，您不需要有大的动作，轻而易举地完成网络的伸缩。部署活动目录是作为后续众多关键服务和应用的基础。本方案采用单林单域结构，建议的域名为目前已在公网中使用的域名：。该域不仅是其所属树的根域，也是其所属森林的根域。域控制器的规划域控制器的数量：目前规划在省中心架设两台域

14、控制器（假定的名字为DC1和DC2），其中一台主域服务器DC1专用，另一台DC2同时担当LCS应用服务器。操作主机（Operating Master）的角色：在DC1上保留架构操作主机（Schema Master）、域命名操作主机（Domain Naming Master）、PDC模拟器（PDC Emulator）和RID Master，把结构操作主机（Infrestructure Master）转移到DC2上。其中主DC1作为AD、DNS、DHCP等基础服务。 由于用户帐号、计算机资源等都由域进行管理，而且还是其他服务的基础，所以数据备份很重要。 服务范围：除了负责整合管理邮件服务器、门户、

15、数据库、即时消息等中心服务器外，在第一期还将所有的省公司机关用户的终端加入域中，统一管理各种资源。应用服务器规划所有和本方案有关的，以及如后新增加的OA类服务器，都要加入到本域中，由域统一对服务器进行管理和用户访问权限控制和身份验证。因此在这些服务器上运行的应用系统，也推荐使用集成Windows用户验证模式。客户机规划在省中心的公司域网内的所有用户终端都加入域，用户都以域用户账号登录终端，做到一次登录就可以访问整个域内的包括邮件、即时消息、门户在内的多种服务。OU结构的设计和规划总部下属的市场部、计划财务部、综合办公室等省公司直属部门，省信息公司、省储汇公司、省报刊公司以及各个地市公司单位都用

16、相应的OU来表达。在各个顶级OU内，还可以根据单位的规模和人员划分建立更多的层次性的OU。5 实现重点和关键技术 5.1 单点登陆实现方案 通过Credential Vault（凭证保险库），Portal可以实现统一认证，单点登录，还可以非常方便地与外部B/S架构的业务系统实现单点登录。前面所述的在非Portal环境下实现的单点登录功能是通过由开发商开发相应的单点登录服务模块和认证插件实现，或购买第三方单点登录认证工具实现，其实现原理是：通过Credential Vault（凭证保险库）建立Portal的用户资源库（本系统为LDAP）与外部B/S系统的用户资源库的对应关系，而对外部系统用户资源

17、库的形式不作要求。用户在由 Portal环境下进入被整合的外部系统时，凭证保险库会将当前登录用户在该系统中的身份信息传递到该系统进行认证，如果身份合法就直接进入系统，只有当凭证保险库中的用户对应关系不正确时，系统才会显示出该系统的用户登录界面。 需要说明的一点是， Portal的凭证保险库的建立并不是由系统管理员完成的，系统管理员只是将外部系统集成到Portal环境中，用户在第一次登录时，会被要求输入用户名和口令，登录成功后，即在凭证保险库中建立了对应关系，以后就可通过凭证保险库直接进入系统了。 实现单点登录有以下好处：免除了用户频繁登录和管理多套密码。提高密码管理的安全性。提高系统的整合度。

18、为应用整合，统一用户管理作好基础准备。SharePoint Single Sign-on提供了两种Credential 的映射数据库的方式。Per-user credentials 方式在SSO服务上设置了对应应用的帐号后，可以为每个域用户配置此应用系统的登录凭证。可以后台管理也可以开发应用程序让用户在第一次登录系统时自动配置。Group credentials在SSO服务上设置了对应应用的帐号后，可以配置此应用系统的组登录凭证。可以为域用户指定一个组登录凭证去登录应用系统。图4： 其中待办事宜部分为工作流系统单点登录进来的效果。 5.2 统一目录服务设计方案 目前S省省邮政公司办公环境以工作

19、组模式组织管理计算机，而部署活动目录会带来如下好处：支持更大的网络，得到更高的效益。众所周知，工作组只适用于很小的网络环境。要想有一个规模可以做的很大，而且运行效率又很高的网络，只有部署活动目录。轻松实现网络的集中管理。在部署活动目录之后，您可以通过活动目录的管理工具对网络中的服务器、客户机、用户账号、网络资源等进行方便的管理。保证用户账号和网络资源的安全 。实现用户对网络资源的快速访问。 提供很好的收缩和扩展能力。活动目录的逻辑结构和物理结构都有很好的伸缩性，当您公司的网络规模由于种种原因需要调整时，您不需要有大的动作，轻而易举地完成网络的伸缩。部署活动目录是作为后续众多关键服务和应用的基础

20、。本方案采用单林单域结构，建议的域名为目前已在公网中使用的域名：。该域不仅是其所属树的根域，也是其所属森林的根域。域控制器的规划域控制器的数量：目前规划在省中心架设两台域控制器（假定的名字为DC1和DC2），其中一台主域服务器DC1专用，另一台DC2同时担当LCS应用服务器。操作主机（Operating Master）的角色：在DC1上保留架构操作主机（Schema Master）、域命名操作主机（Domain Naming Master）、PDC模拟器（PDC Emulator）和RID Master，把结构操作主机（Infrestructure Master）转移到DC2上。其中主DC1作

21、为AD、DNS、DHCP等基础服务。 由于用户帐号、计算机资源等都由域进行管理，而且还是其他服务的基础，所以数据备份很重要。 服务范围：除了负责整合管理邮件服务器、门户、数据库、即时消息等中心服务器外，在第一期还将所有的省公司机关用户的终端加入域中，统一管理各种资源。应用服务器规划所有和本方案有关的，以及如后新增加的OA类服务器，都要加入到本域中，由域统一对服务器进行管理和用户访问权限控制和身份验证。因此在这些服务器上运行的应用系统，也推荐使用集成Windows用户验证模式。客户机规划在省中心的公司域网内的所有用户终端都加入域，用户都以域用户账号登录终端，做到一次登录就可以访问整个域内的包括邮

22、件、即时消息、门户在内的多种服务。OU结构的设计和规划总部下属的市场部、计划财务部、综合办公室等省公司直属部门，省信息公司、省储汇公司、省报刊公司以及各个地市公司单位都用相应的OU来表达。在各个顶级OU内，还可以根据单位的规模和人员划分建立更多的层次性的OU。图5 用户组规划除了方便进行用户权限管理，还由于Exchange 2007支持对用户组设置邮箱，实现邮件列表的功能，所以，需要对S省邮政AD的组进行规划，并规划开通组邮箱。计划建立如下安全组：全体人员。部门全体人员组、部门内职位职能组：使用组的方式可以避免人员职位更换后日常习惯和系统中配置好的邮箱地址变更。项目组：临时性的、跨部门的为了特

23、点项目而组成的用户组。跨单位的职能组，例如所有地市公司的信息管理员隶属于同一个组，发送邮件公告时只需要发邮件到该组的邮箱即可。活动目录的扩展目前采用集中部署对AD域的方式，而地市公司用户在目前使用要求不高的状况下可以全部访问省中心的AD域控制器，在网络带宽和用户访问量大以后，可以通过在各个分支机构部署域控制器的方式将整个邮政域深入到各个地市公司。如果需要，还可以在本根域的基础上建立子域域用户和组管理由于S省邮政AD涉及到全企业，用户和计算机数量较大，需要考虑采用集中管理，还是委派管理模式。 用户和设备命名约定为了规范和统一用户以及计算机命令，特约定如下：用户采用如下几种帐号命名方式，在发生某种

24、命名规则下重名时可以选择其他方式：MingZhiXing、MZXing、XingMZ、XingMingZhi。计算机命令则采用位置和功能编号方式组合：SJ-SRV-DC-1，表示省公司-服务器-与控制器-一号。图5 用户组规划除了方便进行用户权限管理，还由于Exchange 2007支持对用户组设置邮箱，实现邮件列表的功能，所以，需要对S省邮政AD的组进行规划，并规划开通组邮箱。计划建立如下安全组：全体人员。部门全体人员组、部门内职位职能组：使用组的方式可以避免人员职位更换后日常习惯和系统中配置好的邮箱地址变更。项目组：临时性的、跨部门的为了特点项目而组成的用户组。跨单位的职能组，例如所有地市

25、公司的信息管理员隶属于同一个组，发送邮件公告时只需要发邮件到该组的邮箱即可。活动目录的扩展目前采用集中部署对AD域的方式，而地市公司用户在目前使用要求不高的状况下可以全部访问省中心的AD域控制器，在网络带宽和用户访问量大以后，可以通过在各个分支机构部署域控制器的方式将整个邮政域深入到各个地市公司。如果需要，还可以在本根域的基础上建立子域域用户和组管理由于S省邮政AD涉及到全企业，用户和计算机数量较大，需要考虑采用集中管理，还是委派管理模式。 用户和设备命名约定为了规范和统一用户以及计算机命令，特约定如下：用户采用如下几种帐号命名方式，在发生某种命名规则下重名时可以选择其他方式：MingZhiXing、MZXing、XingMZ、XingMingZhi。计算机命令则采用位置和功能编号方式组合：SJ-SRV-DC-1，表示省公司-服务器-与控制器-一号。