Si planea federar su sitio de ArcGIS Server con el portal de ArcGIS Enterprise, tenga presente que la forma de administrar su sitio de ArcGIS Server cambiará tras la federación. Las principales diferencias que presenta la administración de un servidor federado se enumeran a continuación.
Diferencias de seguridad
Al federar un sitio de ArcGIS Server con un portal, el almacén de seguridad del portal controla todos los accesos al servidor. Esto repercute en la forma de acceder y administrar el servidor federado.
Usuarios, roles y permisos
Al federar, todos los usuarios, roles y permisos configurados anteriormente en ArcGIS Server, los servicios de dejan de ser válidos. En su lugar, el acceso a los servicios está determinado por los miembros, roles y permisos de uso compartido del portal.
Al igual que ArcGIS Server, el portal ofrece niveles de privilegio de usuario, responsable de publicación y administrador. El portal también proporciona un rol de visor, que tiene un conjunto limitado de privilegios. Además, el portal incluye un rol personalizado que el servidor federado considera como rol de usuario. Debe configurar y comprobar estos permisos en su portal antes de exponer su servidor federado a los usuarios finales.
Durante la federación, en el portal se crean automáticamente los elementos de todos los servicios ArcGIS Server web existentes. Estos elementos pertenecen al administrador que realiza la federación. Tras la federación, la titularidad puede reasignarse a los miembros actuales del portal de la manera deseada. Los elementos o servicios agregados al portal tras la federación pertenecen de forma explícita al miembro que los creó.
Cuando se federa un servidor, se elimina la posibilidad de aislar el acceso al mismo. Por ejemplo, cualquier persona que sea miembro del rol de editor integrado puede publicar en cualquier servidor federado. No obstante, se puede actualizar la configuración de seguridad de un servidor federado para restringir el acceso administrativo y de publicador. Consulte Control detallado del acceso de servidores federados a continuación para obtener más detalles.
Rol de visor
Los miembros a quienes se les ha asignado este rol pueden conectarse a ArcGIS Server y usar sus servicios. Cuando se conecta a un servidor federado como visor, se pueden ver y consumir los servicios compartidos con el visor o un grupo al cual pertenece el visor. Los visores ven una vista personalizada del sitio web del portal, pueden usar los mapas, las aplicaciones, las capas y las herramientas, y unirse a los grupos pertenecientes a la organización. Los visores no tienen privilegios para crear, compartir o ser propietarios de elementos.
Rol del usuario
Los miembros a quienes se les ha asignado este rol pueden conectarse a ArcGIS Server y usar sus servicios. Cuando se conecta a un servidor federado como usuario, se pueden ver y consumir los servicios compartidos con el usuario o un grupo al cual pertenece el usuario. Los usuarios ven una vista personalizada del sitio web del portal, pueden usar los mapas, las aplicaciones, las capas y las herramientas, y unirse a los grupos pertenecientes a la organización. Los usuarios también pueden crear mapas y aplicaciones, agregar elementos, compartir contenido y crear grupos.
Rol de publicador
Los editores solo pueden eliminar o modificar los servicios que hayan creado en el portal. No pueden modificar ni eliminar los servicios de otros responsables de publicación. Sin embargo, los editores tienen privilegios de usuario y pueden usar cualquier capa que otros editores compartan con ellos.
Cualquier persona con permisos de publicación puede publicar en cualquier servidor federado. Los servicios publicados en un servidor federado se agregan automáticamente como elementos en el portal. Los servicios alojados que se publican directamente en el portal aparecen como elementos en el portal y como servicios en el servidor de alojamiento.
Rol de administrador
Los administradores tienen permisos de usuario y de responsable de publicación, y tienen permisos para todos los servicios alojados por el servidor federado. Los administradores también tienen permisos para administrar el portal y todos sus miembros. Un portal debe tener al menos un administrador. Sin embargo, no existen límites sobre cuántos pueden administrar una organización. Por ejemplo, si un portal tiene cinco miembros, todos pueden ser administradores.
Rol personalizado
Los roles personalizados incluyen un conjunto específico de permisos definidos por el administrador. Por ejemplo, los miembros con el rol personalizado podrían crear contenido, pero no crear grupos; podrían publicar entidades, pero no teselas. Para permitir a los miembros publicar servicios en un sitio ArcGIS Server federado, el rol debe tener asignado el privilegio Publicar capas basadas en servidor.
Si se crea un rol personalizado con cualquier privilegio administrativo, ArcGIS Server Server otorga acceso administrativo limitado a los miembros con ese rol. Entre otros, se incluyen derechos para publicar cualquier tipo de servicio directamente en ArcGIS Server y la capacidad de visualizar y acceder a todos los servicios. Tenga en cuenta los riesgos de seguridad antes de crear para cualquier miembro un rol personalizado que incluya privilegios administrativos.
Control detallado del acceso de servidores federados
Es posible actualizar la configuración de seguridad de un servidor federado para restringir el acceso administrativo y de publicador. Después de la actualización, todos los administradores del portal seguirán teniendo privilegios de administración en el servidor. Los miembros del portal con privilegios de publicador no dispondrán de acceso de publicación al servidor de forma predeterminada. En su lugar, el acceso de publicación al servidor está controlado mediante un grupo llamado [nombre del servidor federado]_Publishers o el elemento [nombre del servidor federado]_Publishers. Para obtener privilegios de publicación en el servidor, el miembro del portal debe ser un miembro del grupo [nombre del servidor federado]_Publishers o del grupo con el que está compartido el elemento [nombre del servidor federado]_Publishers. De forma parecida, el acceso administrativo adicional al servidor está controlado mediante un grupo llamado [nombre del servidor federado]_Administrators o el elemento [nombre del servidor federado]_Administrators. El miembro del portal debe ser un miembro de este grupo o del grupo con el que está compartido el elemento para obtener acceso administrativo al servidor.
El control de accesos detallado se configura en el directorio de Portal for ArcGIS. Una vez que se ha federado un servidor con un portal, siga los pasos siguientes para actualizar el servidor con el fin de permitir este control.
- Inicie sesión en el directorio de Portal for ArcGIS como miembro del portal con privilegios de administración.
La dirección URL del Directorio de Portal for ArcGIS tiene el formato https://portal.domain.com/arcgis/portaladmin.
- Vaya a Federación > Servidores y haga clic en el servidor que desee editar.
- Haga clic en Actualizar.
- En el menú desplegable Rol del servidor, seleccione Servidor federado con publicación restringida.
- Haga clic en Actualizar servidor.
Ahora verá los grupos [nombre del servidor federado]_Administrators y [nombre del servidor federado]_Publishers, así como los elementos correspondientes en la página Mi contenido. Estos son propiedad del miembro del portal que haya actualizado el servidor.
Conectarse a Server Manager
Solo se puede conectar al ArcGIS Server Manager si su cuenta del portal está asignada al rol de administrador o responsable de publicación. No puede iniciar sesión en Server Manager con una cuenta asignada al rol de visor, usuario o rol personalizado. Tampoco puede iniciar sesión con la cuenta de administrador de sitio principal del sitio. Al conectarse, use una URL que utilice HTTPS e incluya el nombre de dominio totalmente cualificado del servidor:
- Si se conecta directamente a ArcGIS Server, la dirección URL tiene el formato https://gisserver.domain.com:6443/arcgis/manager. Si el sitio incluye varias máquinas, será la dirección URL del equipo que especificó para la URL de administración al federar el sitio.
- Si se conecta a través de ArcGIS Web Adaptor, debe asegurarse de que el acceso administrativo esté habilitado en ArcGIS Web Adaptor. La dirección URL que se utiliza para conectarse tiene el formato https://webadaptorhost.domain.com/webadaptorname/manager.
Si el portal está configurado con un almacén de identidades integrado con Lightweight Directory Access Protocol (LDAP), tiene que introducir el nombre de usuario y la contraseña de su cuenta del portal.
Modificar el acceso directo de escritorio de Server Manager
ArcGIS Server ofrece un acceso directo de escritorio de ArcGIS Server Manager. La URL de acceso directo predeterminada tiene el formato http://localhost:6080/arcgis/manager, que es una ruta válida siempre y cuando el servidor no se haya federado con un portal de ArcGIS Enterprise. Como se indica en la sección anterior, se accede a un servidor federado con el formato de URL https://gisserver.domain.com:6443/arcgis/manager, por lo que la URL de acceso directo predeterminada da un mensaje de error de Invalid redirect_uri. Siga estos pasos para actualizar la ruta del acceso directo de un servidor federado:
- Localice el archivo de acceso directo en la carpeta <ArcGIS Server installation directory>/Support/Shortcuts.
- Abra el archivo de acceso directo de ArcGIS Server Manager en un editor de texto.
El archivo debería quedar como sigue, aunque si utiliza un navegador de Internet distinto podría variar:
[Desktop Entry] Comment=ArcGIS Server Manager Encoding=UTF-8 Exec=firefox localhost:6080/arcgis/manager Icon=web-browser Name=ArcGIS Server Manager Terminal=false Type=Application Keywords=arcgis;esri;
- Modifique la URL de la línea Exec al formato https://gisserver.domain.com:6443/arcgis/manager.
- Guarde los cambios y salga del programa.
El elemento de acceso directo ahora abrirá ArcGIS Server Manager con la URL actualizada.
Conectarse al servidor en ArcGIS Pro
Cuando se conecta al portal en ArcGIS Pro, puede elegir el servidor federado cuando publique. Consulte Administrar conexiones de portal desde ArcGIS Pro e Introducción a compartir capas web en la ayuda ayuda ArcGIS Pro.
Conectarse al Directorio del administrador de ArcGIS Server y al Directorio de servicios
Al conectarse con el Directorio del administrador de ArcGIS Server, es posible que tenga que proporcionar un token del portal. La página de inicio de sesión proporciona instrucciones sobre la obtención de este token. Para obtener más información, consulte Acceder al Directorio del administrador en un servidor federado. De forma alternativa, puede iniciar sesión con la cuenta del administrador de sitio principal del servidor si se conecta directamente a través del puerto 6080 o 6443.
Al conectarse con el Directorio de servicios de ArcGIS Server, no necesita proporcionar ningún token. Inicie sesión con unas credenciales de administrador del portal. No puede iniciar sesión con la cuenta de administrador de sitio principal.
Comportamiento del servidor de alojamiento de un portal
Cuando designa un sitio federado de ArcGIS GIS Server para que ejerza de servidor de alojamiento del portal, ofrece a los editores la posibilidad de crear mosaicos de mapas en caché, servicios de entidades y servicios de escena (capas de teselas, capas de entidades y capas de escena). Puede que estos usuarios no tengan productos de ArcGIS en sus equipos; solo pueden publicar los servicios cargando un shapefile o un archivo .csv a través del sitio web del portal; sin embargo, la publicación a través de ArcGIS Pro sigue siendo una opción.
Los servicios publicados directamente en el portal son servicios alojados y se ubican en una carpeta de ArcGIS Server denominada Hosted en el servidor de alojamiento. De esta forma, se puede realizar un seguimiento de los servicios que son servicios alojados y los que no.
Si elimina un elemento de la capa alojada en el portal, el servicio también se elimina del servidor de alojamiento. Del mismo modo, si elimina un elemento que hace referencia a un servicio en un servidor federado, eliminar el elemento del portal elimina el servicio. Lo mismo se aplica a los servicios publicados en el servidor federado y a los servicios alojados publicados directamente en el portal.
La tabla siguiente enumera los servicios alojados admitidos y sus tipos de componentes:
Tipo de servicio de ArcGIS Server | Tipo de elemento de portal |
---|---|
Servicio de mapas en caché | |
Servicio de mapas en caché con servicio de entidades | |
Servicio de entidades | |
Servicio de imágenes* | |
Servicio de escena | |
Servicio WFS | |
Servicio de teselas vectoriales | |
Servicio de gráficos de conocimiento** | Gráfico de conocimiento |
*El servicio de imágenes que hace referencia a una capa de imágenes alojada se ejecuta en el servidor de análisis de ráster del portal o en el servidor de alojamiento de imágenes, no en el servidor de alojamiento del portal.
**El servicio de gráfico de conocimiento al que hace referencia un gráfico de conocimiento alojado se ejecuta en el servidor de conocimiento del portal, no en el servidor de alojamiento del portal.
Cuando visualice y edite las propiedades del servicio alojado en Server Manager, solo está disponible un subconjunto de ArcGIS Server capacidades u operaciones. Por ejemplo, algunos servicios no mostrarán información de instancias en la galería de servicios ni en la pestaña Agrupar en Server Manager.
Un servidor de alojamiento necesita suficiente espacio de almacenamiento, CPU y memoria para acomodar los servicios que alojará. Forme a sus editores para que entiendan que repercusiones tienen los servicios en los recursos del servidor de alojamiento y supervise las métricas de los equipos del servidor de alojamiento para evitar exceder la capacidad.
Consideraciones sobre las capas de teselas y los trabajos de almacenamiento en caché
Las capas en teselas presentan desafíos especiales debido a la potencia de procesamiento que puede exigir un solo trabajo grande de almacenamiento en caché o varios trabajos concurrentes. Al publicar una capa de teselas a gran escala en un área indiscriminadamente amplia, un publicador del portal sin formación podría enviar al servidor un trabajo de almacenamiento en caché muy grande que consumiría los recursos del portal durante un largo periodo de tiempo.
Puede mitigar potencialmente el efecto de almacenar en caché trabajos ejecutando el servicio CachingTools en un clúster de ArcGIS Server independiente desde otros servicios. Si esto no es posible, puede reducir el número de instancias del servicio CachingTools que se permitan para ejecutarse de una vez; de ese modo, se dejan disponibles ciclos de CPU para otros servicios.
También puede limitar el número de trabajos de almacenamiento en caché que se puedan ejecutar de una vez reduciendo el número máximo de instancias permitidas para el servicio CachingControllers. De forma predeterminada, se pueden ejecutar tres trabajos simultáneamente.
Consulte Asignación de los recursos del servidor para almacenar en la caché si desea conocer más detalles sobre cómo se distribuyen los recursos del servidor para el almacenamiento en caché de los trabajos.
Anular la federación de un servidor en el portal
Precaución:
Puede optar por anular la federación de un sitio de ArcGIS Server desde el portal para permitir que uno y otro sigan funcionando de manera independiente. Sin embargo, anular la federación de un sitio ArcGIS Server tiene diversas consecuencias importantes y no se debe hacer como parte de la solución de problemas rutinaria. No se puede deshacer fácilmente y puede tener consecuencias irreversibles. La eliminación de un servidor de alojamiento del portal de ArcGIS Enterprise convierte en inutilizables las capas web alojadas. La adición de nuevo de un servidor de alojamiento no devuelve los servicios alojados a un estado utilizable. Anule la federación de un sitio solamente si entiende claramente el impacto.
Solo los sitios que cumplen un número limitado de roles pueden ejecutarse como sitios independientes de ArcGIS Server. Por ejemplo, los sitios de ArcGIS GeoAnalytics Server y los sitios de ArcGIS Knowledge Server no pueden funcionar como sitios independientes y no federarlos los inutiliza.
Para anular la federación es necesario realizar los siguientes pasos:
- Eliminar servicios
Si los servicios están en un servidor de alojamiento, debe eliminarlos. Si los servicios están en un servidor federado que puede actuar como sitio independiente de ArcGIS Server site, puede omitir este paso.
- Si el servidor federado que desea eliminar no es el servidor host, y los servicios que se publicaron en este servidor federado ya no se necesitan, puede iniciar sesión en ArcGIS Server Manager como administrador y eliminar los servicios.
- Si este servidor federado es el servidor de alojamiento, inicie sesión en el sitio web del portal y elimine las capas web alojadas que se publicaron en el portal.
- Elimine el sitio de ArcGIS Server del portal, lo que restaura la configuración predeterminada del almacenamiento de seguridad de ArcGIS Server y elimina los elementos del portal que se unieron desde el servidor cuando este estaba federado.
- Configure la seguridad de ArcGIS Server de modo que use los almacenes de roles y de usuarios.