越来越多的信息变作无效，越来越多的资源被浪费，是国有企业普遍存在的一个问题。然而在推行“简单管理”的长沙卷烟厂，这一管理理念落实在信息管理部的成果之一，就是“信息仓库”二期工程门户应用系统的规划和实施。通过这一项目，原先分散的应用实现了有效集成，用户访问管理实现了安全的单点登录（Single-Sign-On，以下简称SSO），同时对用户进行了高度个性化的设置。
　　
诞生于1947年的长沙卷烟厂，经过不断发展，2003年产销量已突破100万箱。企业的迅速成长对IT提出了更高的要求，“信息仓库”二期工程门户应用系统应运而生。
　　
与众多国际供应商接触后，长沙卷烟厂最终选择了BEA公司。
　　
长沙卷烟厂信息管理部余军部长评价说：“Web Logic Platform提供了一个统一的技术平台和运行框架，用户可以使用单一的技术标准完成系统的设计、开发、集成和维护工作，降低了在软件投资上的成本。BEA的产品遵循业界标准，为用户今后的升级和拓展打下了良好的基础。”
　　
化繁为简　三位一体
　　
在已经建设的长沙卷烟厂信息系统中，存在信息仓库、数据仓库、市场采集系统等相对分散的应用系统。这是国内企业信息化进程中普遍存在的一个现象。不同分支机构在不同的时间分别上马了不同供应商提供的不同应用，随着业务的成长和系统的拓展，“信息孤岛”之间有效的集成必然被提上信息主管们的议事日程。
按照长沙卷烟厂信息管理部的规划，这些应用系统都需要集成到即将建设的“信息仓库”门户系统上。除了要满足用户从门户系统登录上述各种已有的用户系统，还要保证能访问诸如Brio商业智能软件生成的报表信息，或者从信息仓库文档数据库中读取信息仓库列表信息。
　　
在执行中可以发现这些应用的集成并非易事。其中信息仓库是基于微软的，Net技术是使用Asp.net实现的，数据仓库是基于tomcat上的Jsp实现的，而市场采集系统则是运行在Web Logic Server上的应用。BEA专业服务部的顾问们经过深入广泛的客户需求分析，提出了如下建议。
　　
将三大应用的页面整合到门户中有多种可行的方式：最简单也很有效的是从形式上集成的超链接；另一种简单可靠的解决方案是IFRAME；Web Logic门户提供的用以集成其它B/S应用程序页面的标记；通过编程实现集成的Http URL Connection，以及BEA合作厂商提供的定制工具Kapow。
　　
对于这么多的集成方式，长沙卷烟厂可以综合使用、融会贯通。对于复杂页面集成可以考虑Kapow，Kapow的Robo Suite能够方便地定制其它页面到Web Logic Portal的集成，而在Web Logic Portal的授权中也包含20个免费的网站页面集成，因此对于长沙卷烟厂的需求，应该能够应付自如。而对于Brio报表的集成，由于其独具一格的页面展示，可以采用IFRAME或者Kapow的方式来集成报表展示。
　　
相对应的是，需要根据各个系统的用户授权来控制用户能访问到的具体内容。此外，尚须考虑到门户系统应用的升级，为未来提供扩充的余地。
　　
求同存异　因人而宜
　　
长沙卷烟厂的系统用户可以分为三类：内网用户，也是系统的高级用户，基本上都是卷烟厂内部的重要员工，拥有RSA Secury ID，通过连接卷烟厂内部的VPN系统登录系统内网；外网用户，包括供应商和经销商，只能通过Internet，输入用户名和密码访问企业门户，并且能够进入一定的应用系统；普通用户（通常所说的游客）仅能浏览企业门户。
　　
而已经建成的几个应用系统分别采用不同的认证方式，信息仓库采用的是基于Active Directory的浏览器的BASE认证，而数据仓库和市场采集系统采用的则是基于Form的认证方式。这几种认证方式都需要集成到门户的应用中来，实现用户统一登录。
　　
针对这些用户的特点，长沙卷烟厂信息管理部提出，在门户系统中实现对访问的应用用户单点登录（SSO）。例如，一个内网用户在内部网中拥有访问信息仓库的权限，而在登录门户后，如果该用户通过门户访问信息仓库就不需要再输入密码。同时，用户需要一种易于管理的机制，用来管理门户中的用户和角色。此外，在很多情况下外网用户需要访问到内网的部分内容。例如，一个供应商访问一些市场采集系统的数据信息。
　　
仅这三大类、三大系统就涵盖了基于用户属性的通用定义。在门户系统中需要对用户进行高度的个性化设置，从界面上的外观选择、门户页面上的条目摆放位置到根据一些用户属性（如：主管区域）进行的内容定制。例如：湖南地区的销售主管所看到的只是湖南辖区内的相关信息。
　　
对于企业门户的个性化设置，一方面可以通过用户自己定义，另一方面也可以通过系统管理员在企业门户运行时或运行前设置。而基于用户属性的通用定义，则既可以是已有系统定义的用户属性，也可以是新创建的用户属性。
　　
权衡与抉择
　　
根据用户需求分析，BEA专业服务部认为，用户需要从外网访问内网的应用需求对整个应用系统架构具有至关重要的影响。关键在于非内部用户需要访问系统内部的应用，尽管通过Web Server和Web Logic Server的相关功能实现并非难事，但实际上等同于令内网到外网的防火墙门户洞开，恶意的访问者由此得以长驱直入，构成对整个系统安全性的严重威胁。
　　
BEA顾问提出了以下两个方案供选择：
　　
其一，将Web Logic Portal Server置入内网内部，所有通过外网对于Portal Server的访问，将通过Web Server上的代理把请求发送到企业门户。换句话说，外网用户没有办法访问到企业门户上集成的内网应用，而能访问的内容是通过定制在企业门户上的应用，通过JDBC或者Web Services、EJB的方式访问到已有的应用系统，但在物理上是相隔离的。
　　
而内网用户既可以在内部网直接登录到企业门户访问集成的应用，也可以通过VPN（虚拟专用网络）登录到内网，使用Token认证后访问企业门户。通过这样的架构，得以建立一种高效、安全的系统架构，同时利用长沙卷烟厂现有的软件资源（主要是RSA Secury ID）充分保护客户投资。
　　
其二，通过RSA Security的Clear Trust基于Web Logic Portal的解决方案实现。该解决方案实现了基于Token认证、Password认证以及Digital Certificates认证的集成，通过Clear Ttust的Acess Control Module提供了一种从外网到内网的安全访问机制，使任何未经认证的用户无法访问到内网应用。同时，Clear Trust通过其核心的策略服务器实现单点登录等网络安全功能。但由于目前还没有与Web Logic Portal8.1相匹配的Clear Trust版本发布，因此该方案现阶段还难以实施。
　　
比较两个方案，BEA建议用户采用方案一，而一旦支持Web Logic Portal8.1届时发布，如果需要升级到方案二，只需对门户系统进行一些配置工作。
　　
由于长沙卷烟厂现有的系统实现技术和认证方式均不相同，给单点登录的实现带来很大不便。BEA专业服务部建议内部用户使用工号作为统一的登录ID，同时也方便今后对于CRM、SCM等系统的统一。
　　
在统一以工号登录的基础上，建立相应的用户表。用户通过门户系统访问其它的应用，需要先获取其它应用中该用户ID的密码，然后模拟认证，再返回认证成功的页面给客户端实现单点登录。此外，为了统一实现管理各种用户角色，BEA建议采用单一的门户。用户登录后，根据其所在不同群组将跳转到不同页面。
　　
而个性化的需求，可以划分为界面的个性化、内容的个性化和规则的个性化。界面的个性化通过Web Logic Portal内置的个性化引擎由用户根据需要自由设计，内容的个性化有赖于通过Web Logic Portal内置的User Unified Profiles从企业环境所有的系统获取用户属性，而Web Logic Portal内部提供了静态的群组和动态的角色两种分类方式，加之通过定制一系列分类，结合使用User Unified Profiles，实现了基于规则的个性化。BEA Workshop提供了强大实时的应用开发部署的架构，所有在Workshop中的改动可以立即更新到Portal应用上。
　　
余军在总结项目的成功经验时说：“BEA为我们提供了灵活的开发应用，使我们可以迅速进入市场。它允许我们集成一系列复杂的异构系统。Web Logic Portal的组件还具有快速构建门户的功能。借助BEA的平台，我们的Portal仅用了几个月的时间就开始运行了。”