Wenn Sie planen, Ihre ArcGIS Server-Site mit dem ArcGIS Enterprise-Portal zu verbinden, sollten Sie beachten, dass die ArcGIS Server-Site nach erfolgter Verbindung auf andere Weise verwaltet wird. Die Hauptunterschiede bei der Verwaltung eines Verbundservers sind nachstehend aufgeführt.
Unterschiede bei der Sicherheit
Wenn Sie eine ArcGIS Server-Site mit einem Portal verbinden, steuert der Sicherheitsspeicher des Portals den gesamten Zugriff auf den Server. Dies wirkt sich darauf aus, wie Sie auf den Verbundserver zugreifen und ihn verwalten.
Benutzer, Rollen und Berechtigungen
Wenn Sie Verbindungen herstellen, sind Benutzer, Rollen und Berechtigungen, die Sie zuvor für ArcGIS Server-Services konfiguriert haben, nicht weiter gültig. Der Zugriff auf Services wird stattdessen durch Portal-Mitglieder, Rollen und Freigabeberechtigungen bestimmt.
Ähnlich wie ArcGIS Server bietet das Portal Berechtigungsebenen für Benutzer, Publisher und Administratoren. Das Portal bietet auch eine Viewer-Rolle mit eingeschränkten Berechtigungen. Das Portal umfasst außerdem eine benutzerdefinierte Rolle, die vom Verbundserver als Benutzerrolle betrachtet wird. Sie sollten diese Berechtigungen in Ihrem Portal einrichten und überprüfen, bevor Sie den Verbundserver Endbenutzern zur Verfügung stellen.
Beim Herstellen der Verbindung werden Elemente automatisch im Portal für alle vorhandenen ArcGIS Server-Services erstellt. Diese Elemente befinden sich im Besitz des Administrators, der die Verbindung herstellt. Nach erfolgter Verbindung kann der Besitz nach Wunsch vorhandenen Portal-Mitgliedern neu zugewiesen werden. Alle Elemente oder Services, die dem Portal nach erfolgter Verbindung hinzugefügt wurden, sind explizit im Besitz des Mitglieds, von dem sie erstellt wurden.
Nach erfolgter Verbindung kann der Zugriff auf den Server nur beschränkt entfernt werden. Beispielsweise können alle Benutzer mit Publisher-Berechtigungen auf jeden Verbundserver zugreifen. Sie können jedoch die Sicherheitskonfiguration eines Verbundservers aktualisieren, um den Administrator- oder Publisher-Zugriff zu beschränken. Nähere Informationen finden Sie unter Detaillierte Zugriffssteuerung von Verbundservern.
Viewer-Rolle
Mitglieder, die dieser Rolle zugewiesen sind, können Verbindungen mit ArcGIS Server-Services herstellen und sie nutzen. Wenn eine Verbindung mit einem Verbundserver als Viewer hergestellt wurde, können alle Services, die für den Viewer oder eine Gruppe freigegeben wurden, dessen Mitglied der Viewer ist, angezeigt und verwendet werden. Viewern wird eine benutzerdefinierte Ansicht der Portal-Website angezeigt, sie können die Karten, Apps, Layer und Werkzeuge der Organisation verwenden und Gruppen beitreten, die die Organisation besitzt. Viewer verfügen über keine Berechtigungen zum Erstellen, Freigeben oder Besitzen von Inhalten.
Benutzerrolle
Mitglieder, die dieser Rolle zugewiesen sind, können Verbindungen mit ArcGIS Server-Services herstellen und sie nutzen. Wenn eine Verbindung mit einem Verbundserver als Benutzer hergestellt wurde, können alle Services, die für den Benutzer oder eine Gruppe freigegeben wurden, dessen Mitglied der Benutzer ist, angezeigt und verwendet werden. Benutzern wird eine benutzerdefinierte Ansicht der Portal-Website angezeigt, sie können die Karten, Anwendungen, Layer und Werkzeuge der Organisation verwenden und Gruppen beitreten, die die Organisation besitzt. Benutzer können außerdem Karten und Anwendungen erstellen, Elemente hinzufügen, Inhalt freigeben und Gruppen erstellen.
Publisher-Rolle
Publisher können nur mit Services arbeiten, die sie im Portal erstellt haben. Sie können keine Services anderer Publisher ändern oder löschen. Wenn eine Verbindung mit dem Verbundserver in ArcMap besteht, werden nur die Services angezeigt, die vom Publisher veröffentlicht wurden. Publisher verfügen über Benutzerberechtigungen und können auch Analysen für Layer in Karten durchführen.
Jeder Benutzer mit Publisher-Berechtigungen kann auf jeden Verbundserver zugreifen. Services, die auf einem Verbundserver veröffentlicht wurden, werden dem Portal automatisch als Elemente hinzugefügt. Gehostete Services, die direkt im Portal veröffentlicht wurden, werden im Portal als Elemente und auf dem Hosting-Server als Services angezeigt.
Administrator-Rolle
Administratoren verfügen über Benutzer- und Publisher-Berechtigungen sowie über Berechtigungen für alle Services, die vom Verbundserver gehostet werden. Administratoren weisen außerdem Berechtigungen zum Verwalten des Portals und all seiner Mitglieder auf. Ein Portal muss mindestens über einen Administrator verfügen. Es liegen keine Einschränkungen vor, wie viele Administratoren eine Organisation verwalten können. Wenn ein Portal beispielsweise aus fünf Mitgliedern besteht, können alle fünf Mitglieder Administratoren sein.
Benutzerdefinierte Rolle
Benutzerdefinierte Rollen umfassen bestimmte Berechtigungen, die vom Administrator definiert werden. So können Mitglieder mit einer benutzerdefinierten Rolle vielleicht Inhalte erstellen, aber keine Gruppen; sie können Features veröffentlichen, aber keine Kacheln. In der Version 10.5.1 oder früher konnten mit einer benutzerdefinierten Rolle, die über eine Veröffentlichungsberechtigung (für Features, Kacheln oder Szenen) verfügte, auch andere ArcGIS Server-Servicetypen erstellt werden. Ab der Version 10.6 gibt es eine Berechtigung zum Veröffentlichen serverbasierter Layer, die erforderlich ist, um einen Service direkt in ArcGIS Server zu veröffentlichen.
Wird eine benutzerdefinierte Rolle mit Administratorberechtigungen erstellt, gewährt ArcGIS Server Mitgliedern mit dieser Rolle eingeschränkten administrativen Zugriff. Dieser beinhaltet das Recht, jeden Servicetyp direkt in ArcGIS Server zu veröffentlichen, sowie die Möglichkeit, sämtliche Services anzuzeigen bzw. auf diese zuzugreifen. Bevor Sie für ein Mitglied eine benutzerdefinierte Rolle erstellen, die Administratorberechtigungen umfasst, sollten Sie die Sicherheitsrisiken sorgfältig abwägen.
Detaillierte Zugriffssteuerung von Verbundservern
Sie können einen Verbundserver aktualisieren, um den Administrator- oder Publisher-Zugriff zu beschränken. Nach der Aktualisierung verfügen alle Portal-Administratoren weiterhin über Administratorberechtigungen für den Server. Portal-Mitglieder mit Publisher-Berechtigungen erhalten nicht standardmäßig Veröffentlichungszugriff auf den Server. Stattdessen wird der Publisher-Zugriff auf den Server durch eine Gruppe namens [Name des Verbundservers]_Publishers oder das Element [Name des Verbundservers]_Publishers gesteuert. Um Publisher-Berechtigungen für den Server zu erhalten, muss das Portal-Mitglied entweder Mitglied der Gruppe [Name des Verbundservers]_Publishers oder Mitglied einer Gruppe sein, für die das Element [Name des Verbundservers]_Publishers freigegeben wurde. Ebenso wird zusätzlicher Administratorzugriff auf den Server durch eine Gruppe namens [Name des Verbundservers]_Administrators oder das Element [Name des Verbundservers]_Administrators gesteuert. Ein Portal-Mitglied muss entweder Mitglied dieser Gruppe oder Mitglied der Gruppe sein, für die das Element freigegeben wurde, um Administratorzugriff auf den Server zu erhalten.
Die detaillierte Zugriffssteuerung wird im ArcGIS-Portalverzeichnis konfiguriert. Nachdem Sie einen Verbundserver mit dem Portal verbunden haben, führen Sie die folgenden Schritte aus, um den Server für die Aktivierung dieser Steuerung zu aktualisieren
- Melden Sie sich beim ArcGIS-Portalverzeichnis als Portal-Mitglied mit Administratorberechtigungen an. Die URL zum Portal-Verzeichnis hat das Format https://portal.domain.com/arcgis/portaladmin.
- Wechseln Sie zu Verbund > Server, und klicken Sie auf den Server, den Sie bearbeiten möchten.
- Klicken Sie auf Update.
- Wählen Sie im Dropdown-Menü Server role Federated Server With Restricted Publishing aus.
- Klicken Sie auf Update Server.
Nun werden die Gruppen [Name des Verbundservers]_Administrators und [Name des Verbundservers]_Publishers sowie die entsprechenden Elemente auf der Seite Eigene Inhalte angezeigt. Diese sind im Besitz des Portal-Mitglieds, der den Server aktualisiert hat.
Verbinden mit Manager
Sie können nur eine Verbindung mit ArcGIS Server Manager herstellen, wenn dem Portal-Konto die Administrator- oder Publisher-Rolle zugewiesen ist. Sie können sich nicht mit einem Konto bei Manager anmelden, dem die Viewer- oder Benutzer-Rolle zugewiesen ist. Sie können sich auch nicht mit dem primären Site-Administratorkonto der Site anmelden. Wenn Sie eine Verbindung herstellen, sollten Sie eine URL verwenden, die HTTPS verwendet und den vollständig qualifizierten Domänennamen des Servers enthält:
- Wenn Sie eine direkte Verbindung mit ArcGIS Server herstellen, hat die URL das Format https://gisserver.domain.com:6443/arcgis/manager. Wenn die Site mehrere GIS-Server umfasst, ist dies die URL des Computers, den Sie beim Verbinden Ihrer Site für die Verwaltungs-URL angegeben haben.
- Wenn Sie die Verbindung über ArcGIS Web Adaptor herstellen, müssen Sie darauf achten, dass administrativer Zugriff auf ArcGIS Web Adaptor aktiviert ist. Die URL, die Sie für die Verbindung verwenden, hat das Format https://webadaptorhost.domain.com/webadaptorname/manager.
Wenn im Portal ein integrierter Identitätsspeicher oder LDAP (Lightweight Directory Access Protocol) konfiguriert ist, müssen Sie den Benutzernamen und das Kennwort Ihres Portalkontos eingeben. Wenn im Portal Windows Active Directory konfiguriert ist, werden Sie möglicherweise aufgefordert, Ihre Windows-Anmeldeinformationen einzugeben, oder Sie werden automatisch bei Manager angemeldet.
Ändern der Desktop-Verknüpfung für Manager
ArcGIS Server stellt eine Desktop-Verknüpfung für ArcGIS Server Manager bereit. Die standardmäßige Verknüpfungs-URL weist das Format http://localhost:6080/arcgis/manager auf. Hierbei handelt es sich um einen gültigen Pfad, solange der Server nicht mit einem anderen ArcGIS Enterprise Portal verbunden wird. Wie im obigen Abschnitt erläutert wurde, erfolgt der Zugriff auf einen Verbundserver mit dem URL-Format https://gisserver.domain.com:6443/arcgis/manager. Das bedeutet, dass die standardmäßige Verknüpfungs-URL die Fehlermeldung Invalid redirect_uri verursacht. Führen Sie die folgenden Schritte aus, um den Verknüpfungspfad für einen Verbundserver zu aktualisieren:
- Suchen Sie die Verknüpfung von ArcGIS Server Manager im Windows-Startmenü. Klicken Sie mit der rechten Maustaste auf das Element, und wählen Sie Mehr > Dateispeicherort öffnen.
- Klicken Sie in dem angezeigten Explorer-Fenster mit der rechten Maustaste auf das Verknüpfungselement ArcGIS Server Manager, und wählen Sie noch einmal Dateispeicherort öffnen. Hierdurch wird der Verknüpfungslink im Ordner C:\Program Files\Common Files\ArcGIS\Support\Shortcuts geöffnet.
- Kopieren Sie das Verknüpfungselement von Manager, und fügen Sie es auf dem Desktop ein. Löschen Sie das Verknüpfungselement an seinem ursprünglichen Speicherort.
- Klicken Sie mit der rechten Maustaste auf Eigenschaften, und ändern Sie die Eigenschaft URL in das Format https://gisserver.domain.com:6443/arcgis/manager. Klicken Sie auf OK, um die Änderungen zu speichern und das Fenster zu schließen.
- Kopieren Sie das geänderte Verknüpfungselement, und fügen Sie es wieder in den Ordner C:\Program Files\Common Files\ArcGIS\Support\Shortcuts ein.
Das Verknüpfungselement öffnet jetzt ArcGIS Server Manager über das Windows-Startmenü.
Stellen Sie eine Verbindung mit dem Server in ArcGIS Desktop her.
Sie können die Verbindung mit dem Server in ArcGIS Desktop mit einem beliebigen Portal-Konto herstellen, z. B. mit Konten, denen die Viewer-, Benutzer-, Publisher- oder Administrator-Rolle zugewiesen ist. Außerdem können Sie die Verbindung mit dem Server mit dem primären Site-Administratorkonto der ArcGIS Server-Site herstellen.
Hinweis:
Sie können nur über ArcGIS Server Benutzerverbindungen mit einer ArcGIS Pro-Site herstellen. Daher ist es selbst bei Angabe eines Publisher- oder Administrator-Kontos nicht möglich, etwas auf der ArcGIS Server-Site in ArcGIS Pro zu veröffentlichen oder sie zu verwalten. Verwenden Sie zum Herstellen einer Publisher- oder Administrator-Verbindung von einem ArcGIS Desktop-Client ArcMap.
Wenn Sie bei der Herstellung der Verbindung mit dem Server über den Assistenten ArcGIS-Server hinzufügen die Server-URL angeben, sollten Sie eine URL angeben, die HTTPS verwendet und den vollständig qualifizierten Domänennamen des Servers enthält:
- Wenn Sie eine direkte Verbindung mit ArcGIS Server herstellen, hat die URL das Format https://gisserver.domain.com:6443/arcgis.
- Wenn Sie die Verbindung als Publisher oder Administrator über ArcGIS Web Adaptor herstellen, müssen Sie darauf achten, dass der administrative Zugriff auf Web Adaptor aktiviert ist. Die URL, die Sie für die Verbindung verwenden, hat das Format https://webadaptorhost.domain.com/webadaptorname/manager.
Wenn im Portal ein integrierter Identitätsspeicher oder LDAP (Lightweight Directory Access Protocol) konfiguriert ist, müssen Sie den Benutzernamen und das Kennwort Ihres Portalkontos eingeben. Wenn im Portal Windows Active Directory konfiguriert ist, geben Sie nicht Ihre Windows-Anmeldeinformationen in den Assistenten ein. Klicken Sie auf Fertig stellen und Sie werden automatisch mit dem Server verbunden. Wenn Sie die Verbindung mit einer ArcGIS Server-Site mit dem primären Site-Administratorkonto herstellen möchten, geben Sie die Anmeldeinformationen für das Konto ein.
Herstellen einer Verbindung mit dem ArcGIS Server-Administratorverzeichnis und dem -Services-Verzeichnis
Wenn Sie eine Verbindung mit dem ArcGIS Server-Administratorverzeichnis herstellen, müssen Sie ein Portal-Token bereitstellen. Die Anmeldeseite enthält Anweisungen zum Abrufen dieses Tokens. Weitere Informationen finden Sie unter Zugreifen auf das Administratorverzeichnis auf einem Verbundserver. Sie können sich auch mit dem primären Site-Administratorkonto des Servers anmelden, wenn Sie eine direkte Verbindung über Port 6080 oder 6443 herstellen.
Wenn Sie eine Verbindung mit dem ArcGIS Server-Services-Verzeichnis herstellen, brauchen Sie kein Token bereitzustellen. Melden Sie sich einfach mit Ihren Portal-Anmeldedaten an. Sie können sich nicht mit dem primären Site-Administratorkonto anmelden.
Verhalten des Hosting-Servers eines Portals
Wenn Sie den Verbundserver so festlegen, dass er auch als Hosting-Server des Portals fungiert, stellen Sie dem Portal ein leistungsfähiges Back-End zur Verfügung. Sie erlauben Portal-Benutzern, die zumindest über Publisher-Berechtigungen verfügen, die Veröffentlichung gecachter Karten, Feature-Services und Szenen-Services (Kachel-Layer, Feature-Layer und Szenen-Layer). Auf den Computern dieser Benutzer sind möglicherweise keine ArcGIS-Produkte vorhanden, sie können die Services nur durch Hochladen eines Shapefile oder einer CSV-Datei über die Portal-Website veröffentlichen, Veröffentlichungen können jedoch weiterhin über ArcMap erfolgen.
Alle von den Portal-Benutzern direkt im Portal veröffentlichten Services sind gehostete Services und werden in einem ArcGIS Server-Ordner namens Gehostet abgelegt. Auf diese Weise können Sie nachverfolgen, welche Services gehostete Services sind und welche nicht.
Wenn Sie einen Service im Portal löschen, wird er auch vom Server gelöscht. Dies gilt für Services, die auf dem Verbundserver veröffentlicht wurden, wie auch für gehostete Services, die direkt im Portal veröffentlicht wurden.
Hinweis:
Wenn vor Version 10.6.1 ein nicht gehosteter Service im Portal gelöscht wurde, wurde der Service nicht automatisch vom Verbundserver gelöscht. Gehostete Services hingegen wurden automatisch vom Server gelöscht, wenn sie im Portal gelöscht wurden.
Im Ordner Gehostet aufgelistete Service-Typen unterscheiden sich von in anderen Server-Ordnern enthaltenen Typen. Dies dient der Anpassung der Elementtypen, die im ArcGIS Enterprise-Portal angezeigt werden. In der folgenden Tabelle werden alle unterstützten gehosteten Services und ihre aktualisierten Elementtypen aufgeführt.
ArcGIS Server-Servicetyp | Gehosteter Ordner/Portalelementtyp |
---|---|
Gecachter Kartenservice | |
Gecachter Kartenservice mit Feature-Service | |
Feature-Service | |
Image-Service* | |
Szenenservice | |
WFS-Service | |
Vektorkachelservice |
* Der einem gehosteten Bilddaten-Layer zugrunde liegende Image-Service wird auf dem Raster-Analyse- bzw. Image-Hosting-Server des Portals ausgeführt, nicht auf dem Hosting-Server des Portals.
Wenn Sie Eigenschaften gehosteter Services in Server Manager oder ArcMap anzeigen oder bearbeiten, steht dafür nur ein Teil der erwarteten ArcGIS Server-Funktionen bzw. -Operationen zur Verfügung. Beispielsweise werden in der Service-Galerie oder auf der Registerkarte Pooling in Manager nicht für alle Services Instanzinformationen angezeigt.
Wenn Sie die gehosteten Services über das Fenster Katalog in ArcMap verwalten, verwenden Sie den Knoten Eigene gehostete Services anstelle des GIS-Server-Verbindungsknotens. Dadurch wird sichergestellt, dass nur die im Portal verfügbaren Funktionen angezeigt werden.
Der Speicherplatz, die CPU und der Arbeitsspeicher eines Hosting-Servers müssen für die gehosteten Services ausgelegt sein. Sie sollten die Publisher entsprechend schulen und die Servermetrik überwachen, um zu vermeiden, dass die Kapazität überstiegen wird.
Überlegungen zu Kachel-Layern und Caching-Aufträgen
Kachel-Layer stellen aufgrund der Rechenleistung, die für einen einzelnen umfangreichen Caching-Auftrag oder mehrere gleichzeitig ausgeführte Aufträge erforderlich sein kann, eine besondere Herausforderung dar. Wenn ein Kachel-Layer mit großem Maßstab über einen wahllos großen Bereich veröffentlicht wird, könnte ein ungeschulter Portal-Publisher einen sehr großen Caching-Auftrag an den Server senden, der die Portal-Ressourcen für einen langen Zeitraum belegen würde.
Sie können die Auswirkungen von Caching-Aufträgen potenziell reduzieren, indem Sie den CachingTools-Service in einem getrennten ArcGIS Server-Cluster über die anderen Services ausführen. Falls dies nicht möglich ist, können Sie die Anzahl der gleichzeitig ausführbaren Instanzen des CachingTools-Service reduzieren, wodurch CPU-Zyklen für andere Services verfügbar bleiben.
Zudem können Sie die Anzahl der gleichzeitig ausführbaren Caching-Aufträge einschränken, indem Sie die für den CachingControllers-Service maximal zulässige Anzahl von Instanzen herabsetzen. Standardmäßig können drei Aufträge gleichzeitig ausgeführt werden.
Weitere Informationen zum Aufteilen von Serverressourcen für Caching-Aufträge finden Sie unter Zuordnung von Serverressourcen zum Caching.
Aufheben der Verbindung eines Servers mit dem Portal
Sie können die Verbindung eines Servers mit dem Portal aufheben und damit zulassen, dass deren Betrieb jeweils unabhängig voneinander fortgesetzt wird.
Vorsicht:
Das Aufheben der Verbindung mit einer Server-Site hat erhebliche Auswirkungen und sollte nicht im Rahmen einer routinemäßigen Fehlerbehandlung durchgeführt werden. Es lässt sich nicht ohne Weiteres wieder rückgängig machen und kann irreversible Folgen haben. Wenn ein Hosting-Server vom ArcGIS Enterprise-Portal entfernt wird, werden die vorhandenen gehosteten Web-Layer unbrauchbar. Wird der Hosting-Server danach wieder hinzugefügt, werden die gehosteten Services nicht wieder nutzbar. Heben Sie die Verbindung mit einer Site nur auf, wenn Sie sich über die Konsequenzen im Klaren sind.
Um die Verbindung aufzuheben, müssen folgende Schritte durchgeführt werden:
- Wenn der Verbundserver, den Sie entfernen möchten, nicht der Hosting-Server ist und die auf diesem Verbundserver veröffentlichten Services nicht mehr benötigt werden, können Sie sich bei ArcGIS Server Manager anmelden und die Services löschen. Falls die Services noch verwendet werden, können Sie diesen Schritt überspringen.
- Wenn es sich bei dem Verbundserver um den Hosting-Server handelt, melden Sie sich bei der Portal-Website an, und löschen Sie die gehosteten Web-Layer, die im Portal veröffentlicht wurden.
- Entfernen Sie die ArcGIS Server-Site aus dem Portal, wobei der ArcGIS Server-Sicherheitsspeicher auf die Standardeinstellungen zurückgesetzt wird und alle während des Verbundes vom Server kommenden Portal-Elemente entfernt werden.
- Konfigurieren Sie die ArcGIS Server-Sicherheit, um die gewünschten Benutzer- und Rollenspeicher zu verwenden.