Selon la méthode d'authentification que vous utilisez avec votre portail et selon que vous autorisez ou non l'accès depuis l'extérieur de votre pare-feu, la manière dont vous implémentez un site ArcGIS Enterprise haute disponibilité varie.
Les conditions suivantes sont vraies pour tous les scénarios décrits dans cette rubrique :
- Les machines du portail (p1 et p2 dans les diagrammes) stockent du contenu dans le même répertoire, qui a été placé sur un serveur de fichiers haute disponibilité.
- Les machines GIS Server (s1 et s2) sur le serveur d'hébergement partagent des répertoires du serveur et un emplacement de la configuration, qui ont été placés sur un serveur de fichiers haute disponibilité.
- Un stockage des données relationnelles haute disponibilité composé d'une machine principale (ds1) et d'une machine de secours (ds2) est inscrit sur le serveur d'hébergement. ArcGIS Data Store comporte un mécanisme de basculement intégré par lequel le stockage des données relationnelles de secours devient la machine de stockage des données principale en cas d'échec de la machine principale. Comme le stockage des données vérifie la condition des machines GIS Server pour le site auprès duquel il est inscrit, vous pouvez le configurer via l'URL de n'importe laquelle des machines GIS Server.
Les différences entre les protocoles d'authentification et de communication client/portail sont décrites dans les sections suivantes.
Utilisateurs intégrés, les clients ont accès au portail via les ports 80 et 443
Dans ce scénario, l'authentification du portail utilise les utilisateurs intégrés et toutes les communications entre les clients (en haut du diagramme) et le portail ont lieu à l'intérieur du pare-feu.
Dans l’exemple ci-dessus, les clients accèdent au site web du portail via le système d’équilibrage de la charge avec l’URL https://<lb>.<domain>.com/<context>/home/ et le répertoire REST d’ArcGIS Server est accessible via https://<lb>.<domain>.com/<context>/rest. Le portail haute disponibilité (deux machines Portal for ArcGIS, p1 et p2) communique avec son serveur d'hébergement, un site GIS Server haute disponibilité, via l’URL du répertoire d’administrateur d’ArcGIS Server (https://<lb>.<domain>.com/<context>/admin). Les machines sur le site du serveur d'hébergement (s1 et s2) communiquent avec le portail via l'URL de portail privée (https://<lb>.<domain>.com/<context>). L'URL du répertoire administrateur ArcGIS Server et l'URL de portail privée passent toutes les deux par le système d'équilibrage de la charge pour tenir compte de la redondance. Si une machine Portal for ArcGIS échoue ou est inaccessible, le serveur d'hébergement peut toujours communiquer avec la machine du portail restante, car le système d'équilibrage de la charge dirige le trafic vers la machine restante. De même, si une des machines du serveur d'hébergement échoue ou est inaccessible, le serveur d'hébergement dirige le trafic du portail vers la machine GIS Server restante.
Utilisateurs intégrés avec accès public au portail
Dans ce scénario, l'authentification du portail utilise les utilisateurs intégrés et au moins certains clients ont accès au portail via le pare-feu. L'accès administratif depuis l'extérieur du pare-feu doit être désactivé.
Les clients accèdent au site web du portail et à l'extrémité REST ArcGIS Server via un système d'équilibrage de la charge à l'extérieur du pare-feu (lb). Le portail communique avec le serveur d’hébergement via l’URL du répertoire d’administrateur d’ArcGIS Server, qui passe par un deuxième système d’équilibrage de la charge (lb2) à l’intérieur du pare-feu (https://<lb2>.<domain>.com:6443/arcgis, les lignes vertes dans le diagramme). Le serveur d’hébergement communique avec le portail via l’URL de portail privée, qui passe aussi par lb2 (https://<lb2>.<domain>.com:7443/arcgis, les lignes jaunes dans le diagramme) pour que la communication n’ait pas à passer par le pare-feu Si une machine du portail échoue, le serveur d'hébergement peut toujours communiquer avec la machine du portail restante, car lb2 envoie des requêtes à la machine du portail restante. De même, si une des machines GIS Server échoue, lb2 dirige le trafic du portail vers la machine GIS Server restante.
L'accès direct des clients à l'extérieur du pare-feu au site GIS Server passe également par le système d'équilibrage de la charge à l'extérieur du pare-feu (lb).
L'accès administrateur au répertoire administrateur ArcGIS Server et à ArcGIS Server Manager est également bloqué en définissant des règles sur le système d'équilibrage de la charge à l'extérieur du pare-feu (lb).
Authentification IWA ou LDAP avec accès interne des clients
Dans ce scénario, les utilisateurs du portail s'authentifient à l'aide de l'authentification Windows intégrée (IWA) ou de l'authentification LDAP (Lightweight Access Directory Protocol) et tous les clients qui accèdent au portail se situent à l'intérieur du pare-feu.
Lorsque l'accès public au portail n'est pas requis, mais que les clients vont s'authentifier auprès du portail avec l'authentification IWA ou LDAP, chaque machine du portail haute disponibilité requiert un adaptateur web (wa1 et wa2). Le système d'équilibrage de la charge (lb) envoie le trafic aux adaptateurs web, qui équilibrent ensuite les requêtes entre les deux machines du portail (p1 et p2). Toute communication du serveur d'hébergement au portail doit contourner le défi de l'authentification au niveau du web via l'adaptateur web. Par conséquent, le système d'équilibrage de la charge est configuré de façon à écouter les ports 7080 et 7443 et à ce que le trafic soit envoyé directement au portail sur les ports 7080 ou 7443 via l'URL de portail privée.
Comme l'accès public au portail n'est pas requis, le système d'équilibrage de la charge n'est pas utilisé pour les deux URL publiques, ainsi que pour les URL d'administrateur internes. L'URL de portail privée est https://<lb>.<domain>.com:7443/arcgis. Toutes les autres URL sont https://<lb>.<domain>.com/<context>.
Authentification SAML ou ADFS avec accès public au portail
Dans ce scénario, les utilisateurs du portail s'authentifient à l'aide de l'authentification SAML (Security Assertion Markup Language) ou de l'authentification ADFS (Active Directory Federation Services), mais certains clients qui accèdent au portail se situent à l'extérieur du pare-feu. Dans ce cas, vous devez désactiver l’accès administrateur aux machines GIS Server du serveur d’hébergement pour sécuriser les services. La section suivante décrit les deux configurations qui permettent cela.
Remarque :
L’utilisation de l’authentification SAML ou ADFS pour votre portail rend inutile la configuration d’adaptateurs web avec le portail. Vous pouvez utiliser ArcGIS Web Adaptor avec votre portail dans les deux scénarios suivants, mais cela n’apporte aucun avantage fonctionnel à la configuration.
Sécuriser un portail d’accès public à l’aide des règles définies dans le système d’équilibrage de la charge
Dans ce scénario, les clients se connectent via le système d’équilibrage de la charge (lb) en dehors du pare-feu (ligne rouge dans le diagramme), qui envoie le trafic directement aux deux machines du portail (p1 et p2) sur les ports 7443 et 7080 et les deux machines GIS Server (s1 et s2) sur les ports 6443 et 6080. Les règles du système d’équilibrage de la charge bloquent l’accès à l’URL du répertoire d’administrateur d’ArcGIS Server et au répertoire Portal for ArcGIS.
Le système d’équilibrage de la charge en dehors du pare-feu ne peut pas communiquer via les ports 6080, 6443, 7080 ou 7443. Par conséquent, un autre système d’équilibrage de la charge (lb2) est configuré à l'intérieur du pare-feu afin de gérer les communications entre le portail et le serveur d’hébergement. Le portail communiquera avec le serveur d’hébergement avec l’URL définie comme URL d’administration lors de la fédération (lignes vertes dans le diagramme) et le serveur d’hébergement communiquera avec le portail via l’URL de portail privée (lignes jaunes dans le diagramme) de sorte que la communication n’ait pas à passer par le pare-feul. Lb2 garantit la redondance sir l’une des machines GIS Server ou l’une des machines du portail présente une défaillance.
L'URL de portail privée dans ce scénario est https://<lb2>.<domain>.com:7443/arcgis. L'URL du répertoire administrateur ArcGIS Server est https://<lb2>.<domain>.com:6443/arcgis/admin.
Sécuriser un portail d'accès public à l'aide des adaptateurs web sur le site GIS Server
Dans ce scénario, les clients se connectent via le système d’équilibrage de la charge (lb1) en dehors du pare-feu (ligne rouge dans le diagramme), qui envoie le trafic directement aux deux machines du portail (p1 et p2) sur les ports 7443 et 7080 et aux deux adaptateurs web (wa1, wa2) configurés avec les machines GIS Server (s1 et s2). Un autre système d’équilibrage de la charge (lb2) gère le trafic entre le portail et le serveur d’hébergement du portail et garantit la redondance si l’une des machines GIS Server ou l'une des machines du portail présente une défaillance.
Les clients accèdent au portail via le système d’équilibrage de la charge (lb1) https://<lb1>.<domain>.com/<context>/home/, qui envoie le trafic au deux machines du portail via les ports 7080 et 7443. Puisque le portail est configuré avec l’authentification SAML ou ADFS, le fournisseur SAML ou ADFS authentifie les utilisateurs lorsqu’ils accèdent au portail.
Les clients peuvent accéder au site GIS Server via le système d’équilibrage de la charge (lb1) en dehors du pare-feu, qui envoie le trafic aux adaptateurs web GIS Server (wa1 et wa2). Les adaptateurs web transmettent le trafic aux machines GIS Server via les ports 6080 et 6443.
Le site GIS Server communique avec le portail via l’URL de portail privée (https://<lb2>.<domain>.com:7443/arcgis, les lignes jaunes dans le diagramme) pour que la communication n’ait pas à passer par le pare-feu Le site GIS Server est fédéré sur le portail avec lb comme URL des services. Ce trafic passe par les adaptateurs web wa1 et wa2, qui sont configurés pour bloquer l’accès de l’administrateur à ArcGIS Server Manager et au répertoire d’administrateur d'ArcGIS Server. Un deuxième système d’équilibrage de la charge (lb2) est utilisé pour accéder au répertoire d’administrateur d’ArcGIS Server ( https://<lb2>.<domain>.com:6443/arcgis) afin de fournir la redondance (lignes vertes dans le diagramme).
Vous avez un commentaire à formuler concernant cette rubrique ?