Un servidor proxy inverso es un equipo implementado dentro de una red perimetral (también conocida como zona desmilitarizada [DMZ] o subred filtrada) que gestiona las solicitudes de Internet y las reenvía a los equipos de la red interna. El reenvío de solicitudes en nombre del servidor proxy inverso enmascara la identidad de los equipos detrás del firewall de la organización, protegiendo así los equipos internos del ataque directo de los usuarios de Internet. Se pueden implementar funciones de seguridad adicionales en el servidor proxy inverso para proteger aún más la red interna de los usuarios externos.
Si su servidor proxy inverso admite una función de verificación de estado, puede utilizar el extremo de verificación de estado de Portal for ArcGIS para determinar si el portal está disponible para recibir solicitudes. Esto resulta útil para determinar rápidamente si hay un fallo de software o hardware en el sitio. Para obtener más información, consulte el tema Verificación de estado del portal en la API REST de ArcGIS.
Precaución:
La configuración que se detalla en este tema se debe realizar antes de federar cualquier sitio de ArcGIS Server en su portal de ArcGIS Enterprise. Dejar sin federar un sitio de ArcGIS Server tiene varias consecuencias importantes y no se puede subsanar fácilmente. Para obtener más información, consulte Administrar un servidor federado.
Agregar Portal for ArcGIS a su servidor proxy inverso
Antes de agregar Portal for ArcGIS al servidor proxy inverso de su organización, debe completar los siguientes pasos:
- Configure HTTPS (HTTP y HTTPS o solo HTTPS) en el servidor proxy inverso. Por defecto, Portal for ArcGIS utiliza HTTPS para la comunicación. Consulte la documentación del producto de su servidor proxy para conocer el procedimiento de configuración de HTTPS.
- Configure ArcGIS Web Adaptor con su portal si este último va a utilizar la autenticación integrada de Windows. Portal for ArcGIS requiere el uso de ArcGIS Web Adaptor y esto permitirá que el servidor proxy inverso se comunique correctamente con el portal. Para obtener instrucciones completas, consulte el tema de configuración correspondiente a Java (Linux).
Verifique que el servidor proxy admite la codificación gzip y que está configurado para permitir el encabezado Accept-Encoding. Este encabezado permite que se compriman las respuestas de HTTP 1.1 con la codificación de gzip. Por ejemplo, si se permite el encabezado, una solicitud para cargar el Map Viewer devolverá una respuesta comprimida de alrededor de 1,4 MB al navegador. Si el encabezado se omite o no se permite, la solicitud devolverá una respuesta descomprimida de alrededor de 6,8 MB al navegador. Si la velocidad de su red es lenta, el Map Viewer puede tardar bastante en cargarse si las respuestas no se comprimen. Esri recomienda encarecidamente permitir este encabezado como parte de la configuración de su servidor proxy inverso.
Agregar ArcGIS Web Adaptor a las directivas del servidor proxy
Tras configurar ArcGIS Web Adaptor con Portal for ArcGIS, ArcGIS Web Adaptor puede utilizarse con el servidor proxy inverso de su organización agregando componentes directamente a las directivas del proxy. Por ejemplo, si utiliza Apache como servidor proxy inverso, deberá agregar ArcGIS Web Adaptor a las directivas ProxyPass del archivo de configuración del servidor web de Apache httpd.conf:
ProxyPass /arcgis https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /arcgis https://webadaptorhost.domain.com/webadaptorname
Las directivas ProxyPass deben coincidir con el nombre designado para ArcGIS Web Adaptor (/webadaptorname en la muestra anterior). Si la dirección URL del sitio no termina con la cadena de caracteres predeterminada /arcgis, especifique el nombre no predeterminado de ArcGIS Web Adaptor (por ejemplo, /myorg).
Agregar un encabezado X-Forwarded-Host a su proxy
En la configuración de carga del servidor proxy inverso, configure un encabezado X-Forwarded-Host. Portal for ArcGIS espera que esta propiedad esté configurada en el encabezado enviado por el proxy inverso y devolverá las solicitudes que coincidan con la URL del servidor proxy inverso. Por ejemplo, una solicitud enviada al extremo REST de Portal for ArcGIS (https://reverseproxy.domain.com/arcgis/sharing/rest) se devolverá al cliente como la misma URL. Si la propiedad no está definida, Portal for ArcGIS puede devolver la URL del equipo interno donde se dirigió la solicitud (por ejemplo, https://portal.domain.com/arcgis/sharing/rest en lugar de https://reverseproxy.domain.com/arcgis/sharing/rest). Esto es problemático, ya que no clientes no podrán acceder a esta URL (marcado comúnmente como error 404 del navegador). Además, el cliente tiene acceso así a cierta información sobre el equipo interno.
Establecer la propiedad WebContextURL
La propiedad WebContextURL del portal le ayuda a construir las direcciones URL de todos los recursos que envía al usuario final.
Nota:
Si no utiliza ArcGIS Web Adaptor en su implementación, asegúrese de que el nombre de contexto del servidor proxy inverso solo profundice un nivel en la URL. Por ejemplo, puede tener una URL de proxy inverso como https://proxy.domain.com/enterprise, pero no puede tener una URL de proxy inverso como https://proxy.domain.com/myorg/enterprise.
- Abra un navegador web e inicie sesión en el Directorio de Portal for ArcGIS como miembro del rol de administrador predeterminado de la organización de su portal. La dirección URL tiene el formato https://portal.domain.com:7443/arcgis/portaladmin.
- Haga clic en Sistema > Propiedades > Actualizar propiedades.
- En el cuadro de diálogo Update System Properties, inserte el JSON siguiente, sustituyendo la dirección URL de alias DNS o de su propio servidor proxy inverso tal como la ven los usuarios de fuera del firewall de su organización.
{ "WebContextURL": "https://reverseproxy.domain.com/enterprise" }
Nota:
Portal for ArcGIS solo admite un único DNS.
Nota:
No puede utilizar un puerto no estándar (es decir, un puerto que no sea el 7443) al configurar la propiedad WebContextURL.
- Haga clic en Actualizar propiedades.
Rehacer las tareas administrativas
Una vez que haya configurado el servidor proxy inverso con el portal, podrá acceder al portal a través de la dirección URL del servidor proxy inverso en lugar de la dirección URL de ArcGIS Web Adaptor. Todo aquello a lo que se acceda del sitio Web del portal o del directorio de Portal for ArcGIS devolverá la dirección URL del servidor proxy inverso.
Es necesario volver a completar las tareas administrativas siguientes usando la dirección URL del servidor proxy inverso:
Si había agregado servicios protegidos como elementos del portal con anterioridad, deberá eliminar los elementos originales y volverlos a agregar. Esto se debe a que los elementos originales utilizan la dirección URL de ArcGIS Web Adaptor en lugar de la dirección URL del servidor del proxy inverso. Consulte las instrucciones en Conectarse a servicios protegidos.