Si planea federar su sitio ArcGIS Server con Portal for ArcGIS, tenga presente que la forma de administrar su sitio ArcGIS Server cambiará tras la federación. Las principales diferencias que presenta la administración de un servidor federado se enumeran a continuación.
Diferencias de seguridad
Cuando se federa un sitio ArcGIS Server con un portal, el almacén de seguridad del portal controla todos los accesos al servidor. Esto repercute en la forma de acceder y administrar el servidor federado.
Usuarios, roles y permisos
Cuando se federa, dejan de ser válidos los usuarios, roles y permisos configurados anteriormente en los servicios ArcGIS Server. En su lugar, el acceso a los servicio está determinado por los miembros, roles y permisos de uso compartido del portal.
Al igual que ArcGIS Server, el portal ofrece niveles de permisos de usuario, responsable de publicación y administrador. Además, el portal incluye un rol personalizado que el servidor federado considera como rol de usuario. Debe configurar y comprobar estos permisos en su portal antes de exponer su servidor federado a los usuarios finales.
Durante la federación, en el portal se crean automáticamente los elementos de todos los servicios ArcGIS Server existentes. Estos elementos pertenecen al administrador que realiza la federación. Tras la federación, la titularidad puede reasignarse a los miembros actuales del portal de la manera deseada. Los elementos o servicios agregados al portal tras la federación pertenecen de forma explícita al miembro que los creó.
Cuando se federa un servidor, se elimina la posibilidad de aislar el acceso al mismo. Por ejemplo, cualquier persona con permisos de publicación puede publicar en cualquier servidor federado. No obstante, se puede actualizar la configuración de seguridad de un servidor federado para restringir el acceso administrativo y de publicador. Consulte Control detallado del acceso de servidores federados a continuación para obtener más detalles.
Rol del usuario
Los miembros a quienes se les ha asignado este rol pueden conectarse a ArcGIS Server y usar sus servicios. Cuando se conecta a un servidor federado como usuario, se pueden ver y consumir los servicios compartidos con el usuario o un grupo al cual pertenece el usuario. Los usuarios ven una vista personalizada del sitio web del portal, pueden usar los mapas, las aplicaciones, las capas y las herramientas, y unirse a los grupos pertenecientes a la organización. Los usuarios también pueden crear mapas y aplicaciones, agregar elementos, compartir contenido y crear grupos.
Rol de publicador
Los responsables de publicación solo pueden trabajar con los servicios que hayan creado en el portal. No pueden modificar ni eliminar los servicios de otros responsables de publicación. Por ejemplo, cuando se conecta al servidor federado en ArcMap, solo aparecen los servicios publicados por el responsable de publicación. Los publicadores tienen privilegios de usuario y también pueden realizar análisis en capas de mapas.
Cualquier persona con permisos de publicación puede publicar en cualquier servidor federado. Los servicios publicados en un servidor federado se agregan automáticamente como elementos en el portal. Los servicios alojados que se publican directamente en el portal aparecen como elementos en el portal y como servicios en el servidor host.
Rol de administrador
Los administradores tienen permisos de usuario y de responsable de publicación, y tienen permisos para todos los servicios alojados por el servidor federado. Los administradores también tienen permisos para administrar el portal y todos sus miembros. Un portal debe tener al menos un administrador. Sin embargo, no existen límites sobre cuántos pueden administrar una organización. Por ejemplo, si un portal tiene cinco miembros, todos pueden ser administradores.
Rol personalizado
Los roles personalizado incluyen un conjunto específico de permisos definidos por el administrador. Por ejemplo, se puede tener acceso a mapas y aplicaciones, pero no poder crear grupos. O podrías disponer de privilegios para publicar entidades pero no teselas. El servidor federado no admite roles personalizados; los roles personalizados con algún nivel de permiso se consideran roles de usuario.
Control detallado del acceso de servidores federados
Es posible actualizar la configuración de seguridad de un servidor federado para restringir el acceso administrativo y de publicador. Después de la actualización, todos los administradores del portal seguirán teniendo privilegios de administración en el servidor. Los miembros del portal con privilegios de publicador no dispondrán de acceso de publicación al servidor de forma predeterminada. En su lugar, el acceso de publicación al servidor está controlado mediante un grupo llamado [nombre del servidor federado]_Publishers o el elemento [nombre del servidor federado]_Publishers. Para obtener privilegios de publicación en el servidor, el miembro del portal debe ser un miembro del grupo [nombre del servidor federado]_Publishers o del grupo con el que está compartido el elemento [nombre del servidor federado]_Publishers. De forma parecida, el acceso administrativo adicional al servidor está controlado mediante un grupo llamado [nombre del servidor federado]_Administrators o el elemento [nombre del servidor federado]_Administrators. El miembro del portal debe ser un miembro de este grupo o del grupo con el que está compartido el elemento para obtener acceso administrativo al servidor.
El control de accesos detallado se configura en el directorio de Portal for ArcGIS. Una vez que se ha federado un servidor con un portal, siga los pasos siguientes para actualizar el servidor con el fin de permitir este control.
- Inicie sesión en el directorio de Portal for ArcGIS como miembro del portal con privilegios de administración. La dirección URL del Directorio de Portal for ArcGIS tiene el formato https://portal.domain.com/arcgis/portaladmin.
- Vaya a Federación > Servidores y haga clic en el servidor que desee editar.
- Haga clic en Actualizar.
- En el menú desplegable Rol del servidor, seleccione Servidor federado con publicación restringida.
- Haga clic en Actualizar servidor.
- Ahora verá los grupos [nombre del servidor federado]_Administrators y [nombre del servidor federado]_Publishers, así como los elementos correspondientes en la página Mi contenido. Estos son propiedad del miembro del portal que haya actualizado el servidor.
Conectar con el Administrador
Solo se puede conectar al Administrador si su cuenta del portal está asignada al rol de administrador o responsable de publicación. No puede iniciar sesión en el Administrador con una cuenta asignada al rol de usuario. Tampoco puede iniciar sesión con la cuenta de administrador de sitio principal del sitio. Al conectarse, se debe usar una URL que utilice HTTPS e incluya el nombre de dominio totalmente cualificado del servidor:
- Si se conecta directamente desde ArcGIS Server, la dirección URL tiene el formato https://gisserver.domain.com:6443/arcgis/manager. Si el sitio incluye varios servidores SIG, será la dirección URL del equipo que especificó para la URL de administración al federar el sitio.
- Si se conecta a través de ArcGIS Web Adaptor, deberá asegurarse de que el acceso administrativo esté habilitado en ArcGIS Web Adaptor. La dirección URL que se utiliza para conectarse tiene el formato https://webadaptor.domain.com/arcgis/manager.
Si su portal está configurado con un almacén de identidades integrado con Lightweight Directory Access Protocol (LDAP), deberá introducir el nombre de usuario y la contraseña de su cuenta del portal. Si su portal está configurado con Windows Active Directory, es posible que se le soliciten sus credenciales de Windows o que se le inicie sesión en el Administrador automáticamente.
Conéctese al servidor en ArcGIS for Desktop.
Puede conectarse al servidor en ArcGIS for Desktop con cualquier cuenta del portal, como, por ejemplo, las cuentas asignadas al rol de usuario, responsable de publicación o administrador. También es posible conectarse al servidor utilizando la cuenta de administrador principal del sitio de ArcGIS Server.
Al indicar la Dirección URL del servidor para conectarse al servidor utilizando el asistente Agregar ArcGIS Server, se debe especificar una URL que utilice HTTPS e incluya el nombre de dominio del servidor totalmente cualificado:
- Si se conecta directamente desde ArcGIS Server, la dirección URL tiene el formato https://gisserver.domain.com:6443/arcgis.
- Si se conecta a través de ArcGIS Web Adaptor como responsable de publicación o administrador, deberá asegurarse de que el acceso administrativo esté habilitado en Web Adaptor. La dirección URL que se utiliza para conectarse tiene el formato https://webadaptor.domain.com/arcgis/manager.
Si su portal está configurado con un almacén de identidades integrado con Lightweight Directory Access Protocol (LDAP), deberá introducir el nombre de usuario y la contraseña de su cuenta del portal. Si su portal está configurado con Windows Active Directory, no introduzca sus credenciales de Windows en el asistente. Haga clic en Finalizar para conectarse automáticamente al servidor. Si desea conectarse a ArcGIS Server utilizando la cuenta de administrador principal del sitio, introduzca las credenciales de la cuenta.
Conectarse al Directorio del administrador de ArcGIS Server y al Directorio de servicios
Al conectarse con el Directorio del administrador de ArcGIS Server, es posible que tenga que proporcionar un token del portal. La página de inicio de sesión proporciona instrucciones sobre la obtención de este token. Para obtener más información, consulte Acceder al Directorio del administrador en un servidor federado. De forma alternativa, puede iniciar sesión con la cuenta del administrador de sitio principal del servidor si se conecta directamente a través del puerto 6080 o 6443.
Al conectarse con el Directorio de servicios de ArcGIS Server, no necesita proporcionar ningún token. Iniciará sesión con sus credenciales para el portal. No puede iniciar sesión con la cuenta de administrador de sitio principal.
Comportamiento del servidor de alojamiento de un portal
Cuando designa su servidor federado para actuar también como servidor de alojamiento del portal, proporciona al portal un potente back-end. Permite que los usuarios del portal con permisos mínimos de publicador publiquen mapas, servicios de entidades y servicios de escena (capas de teselas, capas de entidades y capas de escena) en caché. Puede que estos usuarios no tengan productos de ArcGIS en sus equipos; solo pueden publicar los servicios cargando un shapefile o un archivo CSV a través del sitio web del portal; sin embargo, la publicación a través de ArcMap sigue siendo una opción.
Todos los servicios que los usuarios del portal publican directamente en el portal son servicios alojados y se guardan en una carpeta de ArcGIS Server denominada Hosted. De esta forma, se puede realizar un seguimiento de los servicios que son servicios alojados y los que no. Si se elimina un servicio alojado a través del portal, también se eliminará del servidor. Esto no es así en el caso de los servicios publicados en el servidor federado; si se elimina del portal un servicio que se había publicado en el servidor federado, el servicio no se elimina del servidor.
Los tipos servicios contenidos en la carpeta Alojados difieren de los contenidos en otras carpetas del servidor. Esto sirve para buscar coincidencias con los tipos de elementos que aparecen en Portal for ArcGIS. La tabla siguiente enumera todos los servicios alojados admitidos y sus tipos de componentes actualizados:
Tipo de servicio de ArcGIS Server | Carpeta alojada/tipo de elemento de Portal for ArcGIS |
---|---|
Servicio de mapas en caché | Capa de teselas |
Servicio de mapas en caché con servicio de entidades | Capa de teselas y entidades |
Servicio de entidades | Capa de la Entidad |
Servicio de escena | Capa de escena |
Cuando visualice y edite las propiedades de servicios alojados en Manager o ArcGIS for Desktop, solo habrá un subconjunto de los recursos previstos o de las operaciones disponibles de ArcGIS Server. Por ejemplo, algunos servicios no mostrarán información de instancias en la galería de servicios ni en la pestaña Agrupar servicios de Manager.
Cuando usa la ventana Catálogo en ArcGIS for Desktop para administrar sus servicios alojados, debe realizar su trabajo a través del nodo Mis servicios alojados en lugar de su nodo de conexión del servidor SIG. Esto ayudará a garantizar que solo usted verá las capacidades disponibles a través del portal.
Un servidor de alojamiento debe tener suficiente espacio de almacenamiento, CPU y memoria para acomodar los servicios que alojará. Debe formar bien a sus responsables de publicación y supervisar las métricas del servidor para que no se sobrepase la capacidad.
Consideraciones sobre las capas de teselas y los trabajos de almacenamiento en caché
Las capas en teselas presentan desafíos especiales debido a la potencia de procesamiento que puede exigir un solo trabajo grande de almacenamiento en caché o varios trabajos concurrentes. Al publicar una capa de teselas a gran escala en un área indiscriminadamente amplia, un publicador del portal sin formación podría enviar al servidor un trabajo de almacenamiento en caché muy grande que consumiría los recursos del portal durante un largo periodo de tiempo.
Puede mitigar potencialmente el efecto de almacenar en caché trabajos ejecutando el servicio CachingTools en un clúster independiente de ArcGIS Server desde los demás servicios. Si esto no es posible, puede reducir el número de instancias del servicio CachingTools que se permitan para ejecutarse de una vez; de ese modo, se dejan disponibles ciclos de CPU para otros servicios.
También puede limitar el número de trabajos de almacenamiento en caché que se puedan ejecutar de una vez reduciendo el número máximo de instancias permitidas para el servicio CachingControllers. De forma predeterminada, se pueden ejecutar tres trabajos simultáneamente.
Consulte Asignación de los recursos del servidor para almacenar en la caché si desea conocer más detalles sobre cómo se distribuyen los recursos del servidor para el almacenamiento en caché de los trabajos.
Anular la federación del servidor en el portal
Puede optar por anular la federación del servidor en el portal para permitir que uno y otro sigan funcionando de manera independiente. Este proceso de separación requiere varios pasos.
- Si los servicios alojados que publicaron los miembros del portal ya no son necesarios, puede iniciar sesión en ArcGIS Server Manager y eliminarlos. Los servicios alojados se encuentran en la carpeta Hosted del servidor. Si los servicios seguirán en uso, omita este paso.
- Deshabilite el servidor de alojamiento para que los usuarios del portal no puedan seguir publicando en él.
- Elimine el sitio de ArcGIS Server del portal, lo que restaura la configuración predeterminada del almacenamiento de seguridad de ArcGIS Server y elimina los elementos del portal que se unieron desde el servidor cuando este estaba federado.
- Configure la seguridad de ArcGIS Server de modo que use los almacenamientos de usuarios y roles que desee.