El método de autenticación que utilice con el portal y si permite o no el acceso al mismo desde fuera de su firewall afecta al modo en que lleva a cabo la implementación de ArcGIS Enterprise de alta disponibilidad.
Lo siguiente se cumple en todas las situaciones descritas en este tema:
- Los equipos del portal (p1 y p2 en los diagramas) almacenan contenido en el mismo directorio, que se ha colocado en un servidor de archivos de alta disponibilidad.
- Los equipos de GIS Server (s1 y s2) en el servidor de alojamiento comparten directorios de servidor y un almacén de configuración, que se han colocado en un servidor de archivos de alta disponibilidad.
- Un data store relacional de alta disponibilidad compuesto por un equipo principal (ds1) y un equipo de respaldo (ds2) se registra en el servidor de alojamiento. ArcGIS Data Store dispone de un mecanismo de conmutación por error integrado mediante el cual el data store relacional de respaldo se convierte en el equipo de data store principal si el equipo principal falla. El data store comprueba el estado de los equipos de GIS Server para el sitio con el cual está registrado, de forma que puede configurar el data store a través de la URL de cada equipo de GIS Server.
Las diferencias en los protocolos de comunicación y autenticación del cliente/portal se describen en las secciones siguientes.
Usuarios incorporados, los clientes tienen acceso al portal a través de los puertos 80 y 443
En este escenario, la autenticación del portal utiliza usuarios incorporados y toda la comunicación entre los clientes (que se muestran en la parte superior del diagrama) y el portal se produce dentro del firewall.
En el ejemplo anterior, los clientes acceden al sitio web del portal a través del equilibrador de carga con la URL https://<lb>.<domain>.com/<context>/home/ y al directorio REST de ArcGIS Server se puede llegar a través de https://<lb>.<domain>.com/<context>/rest. El portal de alta disponibilidad (dos equipos de Portal for ArcGIS p1 y p2) se comunica con su servidor de alojamiento, un sitio de GIS Server de alta disponibilidad, a través de la URL del Directorio del administrador de ArcGIS Server (https://<lb>.<domain>.com/<context>/admin). Los equipos del sitio del servidor de alojamiento (s1 y s2) se comunican con el portal a través de la URL privada del portal (https://<lb>.<domain>.com/<context>). Tanto la URL del Directorio del administrador ArcGIS Server como la URL privada del portal pasan por el equilibrador de carga (lb) para tener en cuenta la redundancia. Si un equipo de Portal for ArcGIS falla o se puede acceder a él, el servidor de alojamiento todavía puede comunicarse con el equipo restante del portal, ya que el equilibrador de carga dirigirá el tráfico al equipo restante. Del mismo modo, si uno de los equipos del servidor de alojamiento falla o no se puede acceder a él, el equilibrador de carga dirigirá el tráfico del portal al equipo de GIS Server estante.
Usuarios incorporados con acceso público al portal
En este escenario, la autenticación del portal utiliza los usuarios incorporados y al menos algunos clientes accederán al portal a través del firewall. El acceso administrativo desde fuera del firewall tiene que estar deshabilitado.
Los clientes acceden al sitio web del portal y el extremo REST de ArcGIS Server a través del equilibrador de carga (lb) fuera del firewall. El portal se comunica con el servidor de alojamiento a través de la URL del Directorio del administrador de ArcGIS Server, que pasa por un segundo equilibrador de carga (lb2) dentro del firewall (https://<lb2>.<domain>.com:6443/arcgis, las líneas verdes del diagrama). El servidor de alojamiento se comunica con el portal a través de la URL privada del portal, que también pasa por el lb2 (https://<lb2>.<domain>.com:7443/arcgis, las líneas amarillas del diagrama) de modo que la comunicación no tiene que pasar a través del firewall. Si uno de los equipos del portal falla, el servidor de alojamiento todavía puede comunicarse con el equipo restante del portal, ya que lb2 enviará solicitudes al equipo restante del portal. Del mismo modo, si uno de los equipos de GIS Server falla, lb2 dirigirá el tráfico del portal al equipo de GIS Server restante.
El acceso de clientes de fuera del firewall directamente al sitio de GIS Server también pasará por el equilibrador de carga (lb) fuera del firewall.
El acceso de administrador al Directorio del administrador de ArcGIS Server y a ArcGIS Server Manager se bloquean estableciendo reglas en el equilibrador de carga (lb) fuera del firewall.
Autenticación IWA o LDAP con acceso interno del cliente
En este escenario, los usuarios del portal se autentican mediante la autenticación de Windows integrada (IWA) o la autenticación del protocolo de acceso al directorio ligero (LDAP) y todos los clientes que acceden al portal están dentro del firewall.
Cuando el acceso público al portal no es necesario pero los clientes se autenticarán con el portal utilizando la autenticación IWA o LDAP, cada equipo del portal de alta disponibilidad requiere un Web Adaptor (wa1 y wa2). El equilibrador de carga (lb) envía el tráfico a los Web Adaptors, que equilibran las solicitudes entre los dos equipos del portal (p1 y p2). Cualquier comunicación del servidor de alojamiento al portal debe sortear el desafío de autenticación en el nivel web a través del Web Adaptor. Por consiguiente, el equilibrador de carga está configurado para escuchar en los puertos 7080 y 7443 y el tráfico se envía directamente al portal en los puertos 7080 o 7743 a través de la URL privada del portal.
Como el acceso público al portal no es necesario, el equilibrador de carga puede utilizarse tanto para la URL pública como para las URL internas y del administrador. La URL privada del portal es https://<lb>.<domain>.com:7443/arcgis. Todas las demás URL son https://<lb>.<domain>.com/<context>.
Autenticación SAML o ADFS con acceso público al portal
En este escenario, los usuarios del portal se autentican utilizando el lenguaje de marcado para confirmaciones de seguridad (SAML) o la autenticación de los Servicios de federación de Active Directory (ADFS), pero algunos clientes que acceden al portal están fuera del firewall. En este caso, tiene que deshabilitar el acceso de administrador a los equipos de GIS Server del servidor de alojamiento para proteger los servicios. En la siguiente sección se describen las dos configuraciones para realizarlo.
Nota:
El uso de la autenticación SAML o ADFS para su portal hace innecesario configurar Web Adaptors con el portal. Aunque puede usar ArcGIS Web Adaptor con su portal en los dos escenarios siguientes, este no aporta ninguna ventaja funcional a la configuración.
Proteger un portal de acceso público utilizando reglas definidas en el equilibrador de carga
En este escenario, los clientes se conectan a través del equilibrador de carga (lb) que está fuera del firewall (línea roja del diagrama), que envía el tráfico directamente a los dos equipos del portal (p1 y p2) en los puertos 7443 y 7080 y a los dos equipos de GIS Server (s1 y s2) en los puertos 6443 y 6080. Las reglas del equilibrador de carga bloquean el acceso a la URL del Directorio del administrador de ArcGIS Server y al Directorio de Portal for ArcGIS.
El equilibrador de carga que está fuera del firewall no se puede comunicar a través de los puertos 6080, 6443, 7080 ni 7443. Por tanto, se configura otro equilibrador de carga (lb2) dentro del firewall para manejar la comunicación entre el portal y el servidor de alojamiento. El portal se comunicará con el servidor de alojamiento usando la dirección URL definida para la URL de administración durante la federación (líneas verdes del diagrama) y el servidor de alojamiento se comunicará con el portal a través de la URL del portal privado, (líneas amarillas del diagrama) de forma que la comunicación no tiene que pasar por el firewall. El Lb2 garantiza la redundancia si uno de los equipos de GIS Server o uno de los equipos del portal falla.
En este escenario, la URL privada del portal es https://<lb2>.<domain>.com:7443/arcgis. La URL del Directorio del administrador de ArcGIS Server es https://<lb2>.<domain>.com:6443/arcgis/admin.
Proteger un portal de acceso público usando Web Adaptors en el sitio de GIS Server
En este escenario, los clientes se conectan a través del equilibrador de carga (lb1) que está fuera del firewall (línea roja del diagrama), que envía tráfico directamente a los dos equipos del portal (p1 y p2) en los puertos 7443 y 7080 y envía tráfico a los dos Web Adaptors (wa1, wa2) que están configurados con los equipos de GIS Server (s1 y s2). Otro equilibrador de carga (lb2) maneja el tráfico entre el portal y el servidor de alojamiento del portal y garantiza la redundancia si uno de los equipos de GIS Server o uno de los equipos del portal falla.
Los clientes acceden al portal a través del equilibrador de carga (lb1) https://<lb1>.<domain>.com/<context>/home/, que envía tráfico a los dos equipos del portal a través de los puertos 7080 y 7443. Como el portal está configurado con la autenticación SAML o ADFS, el proveedor SAML o ADFS autentica a los usuarios cuando acceden al portal.
Los clientes pueden acceder al sitio de GIS Server a través del equilibrador de carga (lb1) que está fuera del firewall, que envía tráfico a los Web Adaptors de GIS Server (wa1 y wa2). Los Web Adaptors reenvían el tráfico a los equipos de GIS Server a través de los puertos 6080 y 6443.
El sitio de GIS Server se comunica con el portal a través de la dirección URL del portal privado (https://<lb2>.<domain>.com:7443/arcgis, líneas amarillas del diagrama), de modo que la comunicación no tiene que pasar a través del firewall. El sitio de GIS Server está federado al portal que utiliza el lb para los servicios URL. Este tráfico pasa por los Web Adaptors wa1 y wa2, que están configurados para bloquear el acceso del administrador a ArcGIS Server Manager y al Directorio del administrador de ArcGIS Server. Se usa un segundo equilibrador de carga (lb2) para el acceso al Directorio del administrador de ArcGIS Server ( https://<lb2>.<domain>.com:6443/arcgis) con el fin de proporcionar redundancia (líneas verdes del diagrama).