طريقة المصادقة التي تستخدمها في البوابة الإلكترونية، وما إذا كان يؤثر السماح بالوصول إليها من خارج جدار الحماية على كيفية تنفيذك لـ ArcGIS Enterpriseالمتاحة إلى كبير.
ما يلي يعد صحيحًا لكل السيناريوهات المعروضة في هذا الموضوع:
- تُخزّن أجهزة البوابة الإلكترونية (p1 وp2 في الرسم التخطيطي) المحتوى في نفس الدليل، والذي تم وضعه في خادم ملف متاح إلى حد كبير.
- تُشارك أجهزة GIS Server (s1 وs2) في خادم الاستضافة دلائل الخادم ومخزن تكوين، تم وضعها في خادم ملف متاح إلى حد كبير.
- بيانات ارتباطية متاحة إلى حد كبير مكونة من جهاز (ds1) رئيسي وجهاز (ds2) استعداد مُسجلة في خادم الاستضافة. وأنشأ ArcGIS Data Store آلية مدمجة لتجاوز الفشل يُصبح بواسطتها مخزن البيانات الارتباطية للاستعداد جهاز مخزن البيانات الرئيسي إذا فشل الجهاز الرئيسي. يفحص مخزن البيانات حالة أجهزة GIS Server للموقع المسجل فيه مخزن البيانات حتى يمكنك تكوين مخزن البيانات من خلال أي من عنوان URL لجهاز GIS Server.
يتم توضيح الاختلافات في بروتوكولات اتصال ومصادقة العميل/البوابة الإلكترونية في الأقسام التالية.
يتمتع العملاء، المستخدمون المدمجون بالوصول إلى البوابة الإلكترونية من خلال منفذي 80 و443.
في هذا السيناريو، تستخدم مصادقة البوابة الإلكترونية المستخدمين المدمجين وكل الاتصالات بين العملاء (المعروضة أعلى الرسم التخطيطي)، وتوجد البوابة الإلكترونية داخل جدار الحماية.
في المثال أعلاه، يصل العملاء إلى موقع البوابة الإلكترونية على الويب من خلال موازن التحميل بعنوان URL، https://<lb>.<domain>.com/<context>/home/، ويمكن الوصول إلى دليل ArcGIS Server REST من خلال https://<lb>.<domain>.com/<context>/rest. تتصل البوابة الإلكترونية المتاحة إلى حد كبير (جهازي Portal for ArcGIS ، p1 وp2) مع خادم الاستضافة - موقع GIS Server متاح إلى حد كبير ArcGIS Server دليل مسئول عنوان URL (https://<lb>.<domain>.com/<context>/admin). تتصل الأجهزة في موقع خادم الاستضافة (s1 وs2) بالبوابة الإلكترونية من خلال عنوان URL للبوابة الإلكترونية الخاصة (https://<lb>.<domain>.com/<context>). يمُر عنوان URL لدليل مسئول ArcGIS Server وعنوان URL الخاص للبوابة الإلكترونية خلال موزان التحميل (lb) لتوضيح التكرار. إذا فشل جهاز Portal for ArcGIS أو إذا تعذّر الوصول إليه، لا يزال بإمكان خادم الاستضافة الاتصال بجهاز البوابة الإلكترونية المتبقي؛ وذلك لأن موازن التحميل سيُوجّه حركة المرور إلى الجهاز المتبقي. وبنفس الطريقة، إذا فشل أحد أجهزة خادم الاستضافة أو تعذّر الوصول إليه، سيُوجه موازن التحميل حركة المرور من البوابة الإلكترونية إلى جهاز GIS Server المتبقي.
المستخدمون المُدمجون بوصول عام إلى البوابة الإلكترونية
في هذا السيناريو، تَستخدم مصادقة البوابة الإلكترونية المستخدمين المدمجين، وسيصل بعض العملاء على الأقل إلى البوابة الإلكترونية عبر جدار الحماية. يجب تعطيل الوصول الإداري من خارج جدار الحماية.
يصل العملاء إلى مع البوابة الإلكترونية على الويب ونقطة نهاية ArcGIS Server REST خلال موزان التحميل خارج جدار الحماية (lb). تتواصل البوابة الإلكترونية مع خادم الاستضافة من خلال ArcGIS Server عنوان URL لدليل المسئول، الذي يفحص موزان تحميل ثان (lb2) داخل جدار الحماية (https://<lb2>.<domain>.com:6443/arcgis، الخطوط الخضراء في الرسم التخطيطي). يتصل خادم الاستضافة مع البوابة الإلكترونية من خلال عنوان URL خاص للبوابة الإلكترونية، وذلك خلال Ib2 (https://<lb2>.<domain>.com:7443/arcgis، الخطوط الصفراء في الرسم التخطيطي) حتى لا يجب على الاتصال المرور من خلال جدار الحماية. إذا فشلت إحدى البوابات الإلكترونية، لا يزال بإمكان خادم الاستضافة الاتصال بجهاز البوابة الإلكترونية المتبقي؛ وذلك لأن lb2 سيرسل الطلبات إلى جهاز البوابة الإلكترونية المتبقي. وبنفس الطريقة، إذا فشل أحد أجهزة GIS Server ، سيُوجه lb2 حركة المرور من البوابة الإلكترونية إلى جهاز GIS Server المتبقي.
يمر الوصول من العملاء خارج جدار الحماية مباشرةً إلى موقع GIS Server خلال موزان التحميل خارج جدار الحماية (lb).
يتم حظر وصول المسئول إلى ArcGIS Server دليل مسئول، ومدير ArcGIS Server بإعداد القواعد في موزان التحميل خارج جدار الحماية (lb).
مصادقة IWA أو LDAP بدخول عميل داخلي
في هذا السيناريو، يقوم مستخدمو البوابة الإلكترونية بالمصادقة باستخدام مصادقة Windows المتكاملة (IWA) أو بروتوكول الوصول الخفيف إلى الدليل (LDAP) ويكون كل العملاء الذين يصلون إلى البوابة الإلكترونية داخل جدار الحماية.
عندما لا يكون الوصول العام إلى البوابة الإلكترونية غير مطلوب، ولكن سيقوم العملاء بالمصادقة مع البوابة الإلكترونية باستخدام مصادقة IWA أو LDAP، يتطلب كل جهاز في البوابة الإلكترونية المتاحة إلى حد كبير محول ويب (wa1 وwa2). يُرسل موازن التحميل (lb) حركة المرور إلى محولات الويب، والتي تعمل على موازنة الطلبات بين جهازي البوابة الإلكترونية (p1 وp2). يجب على أي اتصال من خادم الاستضافة إلى البوابة الإلكترونية المرور بتحدي المصادقة في طبقة الويب عبر محول الويب. لذا، يتم تكوين موازن التحميل للتجاوب مع المنفذين 7080 و7443، كما يتم إرسال حركة المرور مباشرةً إلى البوابة الإلكترونية في منفذي 7080 أو 7443 خلال عنوان URL الخاص للبوابة الإلكترونية.
نظرًا لأن الوصول العام إلى البوابة الإلكترونية غير مطلوب، يمكن استخدام موازن التحميل لكل من عناوين URL العامة وكذلك عناوين URL للمسئول الداخلي. عنوان URL الخاص للبوابة الإلكترونية هو https://<lb>.<domain>.com:7443/arcgis. كل عناوين URL الأخرى هي https://<lb>.<domain>.com/<context>.
مصادقة SAML أو ADFS بوصول عام إلى البوابة الإلكترونية
في هذا السيناريو، يقوم مستخدمو البوابة الإلكترونية بالمصادقة باستخدام لغة تمييز التأكيدات الأمنية (SAML) أو خدمات توحيد الدليل النشط (ADFS)، ولكن يكون بعض العملاء الذين يصلون إلى البوابة الإلكترونية خارج جدار الحماية. في هذه الحالة، يجب عليك تعطيل وصول المسئول إلى أجهزة GIS Server لخادم الاستضافة لتأمين الخدمات. لديك خيارين لذلك، كما هو موضح في القسمين التاليين.
تأمين البوابة الإلكترونية ذات الوصول العام باستخدام مجموعة قواعد في موازن التحميل.
في هذا السيناريو، يتصل العملاء من خلال موزان التحميل (lb) خارج جدار الحماية (الخط الأحمر في الرسم التخطيطي)، وهو ما يرسل حركة المرور مباشرةً إلى جهازي البوابة الإلكترونية (p1 وp2) في منفذي 7443 و7080، وجهازي GIS Server (s1 وs2) في منفذي 6443 و6080. تحظر قواعد موزان التحميل الوصول إلى عنوان URL دليل مسئول ArcGIS Server ودليل ArcGIS Portal.
يتعذر على موزان التحميل خارج جدار الحماية الاتصال من خلال منفذ 6080 أو 6443 أو 7080 أو 7443. ومن ثمّ يتم تكوين موزان تحميل آخر (Ib2) داخل جدار الحماية لمعالجة الاتصال بين البوابة الإلكترونية وخادم الاستضافة. ستتصل البوابة الإلكترونية مع خادم الاستضافة باستخدام عنوان URL مُعرّف لـ عنوان URL للإدارة أثناء التوحيد (الخطوط الخضراء في الرسم التخطيطي) وسيتصل خادم الاستضافة مع البوابة الإلكترونية مع البوابة الإلكترونية من خلال عنوان URL للبوابة الإلكترونية الخاصة (الخطوط الصفراء في الرسم التخطيطي) حتى لا يلجأ الاتصال إلى المرور عبر جدار الحماية. يضمن Lb2 التكرار في حالة فشل أحد أجهزة GIS Server أو أحد أجهزة البوابة الإلكترونية.
عنوان URL الخاص للبوابة الإلكترونية في هذا السيناريو هو https://<lb2>.<domain>.com:7443/arcgis. عنوان URL لدليل مسئول ArcGIS Server هو https://<lb2>.<domain>.com:6443/arcgis/admin.
تأمين بوابة إلكترونية يصل إليها أي مستخدم باستخدام محولات ويب في موقع GIS Server
في هذا السيناريو، يتصل العملاء من خلال موزان التحميل (lb1) خارج جدار الحماية (الخط الأحمر في الرسم التخطيطي)، وهو ما يرسل حركة المرور مباشرةً إلى جهازي البوابة الإلكترونية (p1 وp2) في منفذي 7443 و7080، كما يرسل حركة المرور إلى محولي ويب (wa1 وwa2) المكونين مع جهازي GIS Server (s1 وs2). يُعالج موزان التحميل الآخر (lb2) حركة المرور بين البوابة الإلكترونية وخادم استضافة البوابة الإلكترونية، ويضمن التكرار في حالة فشل أحد أجهزة GIS Server أو أحد أجهزة البوابة الإلكترونية.
يصل العملاء إلى البوابة الإلكترونية من خلال موزان تحميل (lb1) https://<lb1>.<domain>.com/<context>/home/, وهو ما يرسل حركة المرور إلى جهازي البوابة الإلكترونية من خلال منفذي 7080 و7443. نظرًا لتكوين البوابة الإلكترونية مع مصادقة SAML أو ADFS، يقوم موفر SAML أو ADFS بمصادقة المستخدمين عند وصولهم إلى البوابة الإلكترونية.
يمكن للعملاء الوصول إلى موقع GIS Server من خلال موزان تحميل (lb1) خارج جدار الحماية، وهو ما يرسل حركة المرور إلى محولي GIS Server على الويب (wa1 وwa2). تُعيد محولات الويب توجيه حركة المرور إلى أجهزة GIS Server عبر منفذي 6080 و6443.
يتصل موقع GIS Server مع البوابة الإلكترونية من خلال عنوان URL خاص للبوابة الإلكترونية (https://<lb2>.<domain>.com:7443/arcgis، الخطوط الصفراء في الرسم التخطيطي) حتى لا يجب على الاتصال المرور من خلال جدار الحماية. يتم توحيد موقع GIS Server مع البوابة الإلكترونية لاستخدام Ib لعنوان URL للخدمات. تمر حركة المرور خلال محولي الويب wa1 وwa2، ويتم تكوينهما لحظر وصول المسئول إلى ArcGIS Server Manager ودليل مسئول ArcGIS Server. يتم استخدام موزان التحميل الثاني (lb2) لوصول دليل مسئول ArcGIS Server ( https://<lb2>.<domain>.com:6443/arcgis) إلى التكرار (الخطوط الخضراء في الرسم التخطيطي).