Si vous projetez de fédérer votre site ArcGIS Server avec le portail ArcGIS Enterprise, sachez que la façon dont vous administrez votre site ArcGIS Server changera après la fédération. Les principales différences d'administration d'un serveur fédéré sont présentées ci-après.
Différences en matière de sécurité
Lorsque vous fédérez un site ArcGIS Server avec un portail, le magasin de sécurité du portail contrôle tous les accès au serveur. Cela a un impact sur l'accès et l'administration du serveur fédéré.
Utilisateurs, rôles et autorisations
Lorsque vous fédérez le serveur, les utilisateurs, les rôles et les autorisations que vous avez configurés auparavant sur les services ArcGIS Server ne sont plus valides. L'accès aux services est à la place déterminé par les membres du portail, les rôles et les autorisations de partage.
Tout comme ArcGIS Server, le portail offre les niveaux de privilèges utilisateur, éditeur et administrateur. Le portail assure également un rôle de consultation, doté de privilèges limités. Il comprend également un rôle personnalisé qui est considéré comme un rôle utilisateur par le serveur fédéré. Il est conseillé de configurer et de vérifier ces autorisations dans votre portail avant de mettre votre serveur fédéré à la disposition des utilisateurs finaux.
Au moment de la fédération, les éléments sont automatiquement créés dans le portail pour tous les services Web ArcGIS Server existants. Ces éléments appartiennent à l'administrateur qui effectue la fédération. Après la fédération, la propriété peut être réattribuée aux membres existants du portail le cas échéant. Tout élément ou service ajouté au portail après la fédération devient explicitement la propriété du membre qui les a créés.
Lors de la fédération, la capacité à isoler l'accès au serveur est supprimée. Par exemple, tout utilisateur doté des privilèges d'éditeur peut effectuer une publication sur un serveur fédéré. Cependant, vous pouvez mettre à jour la configuration de sécurité d'un serveur fédéré pour limiter l'accès administrateur et éditeur. Reportez-vous à la section Contrôle d'accès détaillé des serveurs fédérés ci-dessous pour en savoir plus.
Rôle de consultation
Les membres qui se voient attribuer ce rôle peuvent se connecter aux services ArcGIS Server et les utiliser. Lors d'une connexion à un serveur fédéré avec un rôle de consultation, tous les services partagés avec cet utilisateur ou un groupe dont cet utilisateur est membre peuvent être affichés et consommés. Les utilisateurs dotés du rôle de consultation voient une vue personnalisée du site Web du portail, ils peuvent utiliser les cartes, applications, couches et outils de l'organisation et rejoindre les groupes détenus par l'organisation. Les utilisateurs dotés du rôle de consultation ne peuvent pas créer, partager ou détenir des éléments.
Rôle d'utilisateur
Les membres qui se voient attribuer ce rôle peuvent se connecter aux services ArcGIS Server et les utiliser. Lors d'une connexion à un serveur fédéré en tant qu'utilisateur, tous les services partagés avec l'utilisateur ou un groupe dont l'utilisateur est membre peuvent être affichés et consommés. Les utilisateurs voient une vue personnalisée du site Web du portail, ils peuvent utiliser les cartes, applications, couches et outils de l'organisation et rejoindre les groupes détenus par l'organisation. Les utilisateurs peuvent également créer des cartes et des applications, ajouter des éléments, partager du contenu et créer des groupes.
Rôle d'éditeur
Les éditeurs peuvent uniquement travailler avec les services qu'ils ont créés dans le portail. Ils ne peuvent pas modifier ou supprimer les services d'autres éditeurs. Par exemple, lors de la connexion avec le serveur fédéré dans ArcMap, seuls les services publiés par l'éditeur s'affichent. Les éditeurs disposent de privilèges utilisateur et peuvent également effectuer une analyse sur les couches des cartes.
Tout utilisateur doté des privilèges d'éditeur peut effectuer une publication sur un serveur fédéré. Les services publiés sur un serveur fédéré sont ajoutés automatiquement en tant qu'éléments du portail. Les services hébergés publiés directement sur le portail s'affichent en tant qu'éléments dans le portail et en tant que services sur le serveur d'hébergement.
Rôle d'administrateur
Les administrateurs disposent de privilèges d'utilisateur et d'éditeur, ainsi que d'autorisations d'accès à tous les services hébergés par le serveur fédéré. Les administrateurs détiennent également des privilèges de gestion du portail et de tous ses membres. Un portail doit comporter au moins un administrateur. Toutefois, le nombre de rôles qu'il est possible d'administrer dans une organisation est illimité. Par exemple, si un portail compte cinq membres, tous peuvent avoir le rôle d'administrateur.
Rôle personnalisé
Les rôles personnalisés sont un ensemble spécifique de privilèges définis par l'administrateur. Par exemple, les membres ayant le rôle personnalisé peuvent être en mesure de créer du contenu, mais ne peuvent pas créer de groupes ; il se peut qu'ils puissent publier des entités, mais pas des tuiles. Dans la version 10.5.1 et les versions antérieures, un rôle personnalisé avec un privilège de publication (pour les entités, tuiles ou scènes) pouvait créer d’autres types de services ArcGIS Server. À partir de la version 10.6, un privilège Publish server-based layers (Publier des couches basées sur les serveurs) est nécessaire pour publier un service directement dans ArcGIS Server.
Si un rôle personnalisé est créé avec des privilèges administratifs, ArcGIS Server accorde un accès administratif intégral aux membres ayant ce rôle. Ceci inclut les droits de publier n’importe quel type de service directement dans ArcGIS Server et la possibilité d’afficher tous les services et d’y accéder. Considérez les risques de sécurité avant de créer pour un membre un rôle personnalisé incluant des privilèges administratifs.
Contrôle d'accès détaillé des serveurs fédérés
Vous pouvez mettre à jour un serveur fédéré pour limiter l'accès de publication et d'administration. Après la mise à jour, tous les administrateurs du portail conservent les privilèges d'administration sur le portail. L'accès de publication sur le serveur n'est pas accordé aux membres du portail dotés de privilèges d'éditeur par défaut. En revanche, l'accès éditeur sur le serveur est contrôlé par un groupe nommé [federated server name]_Publishers ou l'élément [federated server name]_Publishers. Pour obtenir des privilèges d'éditeur sur le serveur, le membre du portail doit être membre du groupe [federated server name]_Publishers ou membre d'un groupe avec lequel l'élément [federated server name]_Publishers a été partagé. De même, l'accès administratif supplémentaire sur le serveur est contrôlé par un groupe nommé [federated server name]_Administrators ou l'élément [federated server name]_Administrators. Un membre du portail doit être membre de ce groupe ou membre du groupe avec lequel l'élément a été partagé pour obtenir l'accès administratif sur le serveur.
Le contrôle d'accès détaillé est configuré dans le répertoire Portal for ArcGIS. Une fois que vous avez fédéré un serveur avec votre portail, suivez la procédure ci-dessous pour mettre à jour le serveur et activer ce contrôle.
- Connectez-vous au répertoire Portal for ArcGIS en tant que membre du portail doté de privilèges administratifs. L'URL du répertoire du portail est au format https://portal.domain.com/arcgis/portaladmin.
- Accédez à Fédération > Serveurs et cliquez sur le serveur à mettre à jour.
- Cliquez sur Mettre à jour.
- Dans le menu déroulant Rôle du serveur, choisissez Serveur fédéré avec publication limitée.
- Cliquez sur Mettre à jour le serveur.
Vous voyez maintenant les groupes [federated server name]_Administrators et [federated server name]_Publishers, ainsi que les éléments correspondants sur la page Mon contenu. Ils seront détenus par le membre du portail qui a mis à jour le serveur.
Se connecter au gestionnaire
Vous pouvez vous connecter à ArcGIS Server Manager seulement si votre compte de portail possède le rôle d'administrateur ou d'éditeur. Vous ne pouvez pas vous connecter au gestionnaire via un compte doté du rôle de consultation ou d'utilisateur. Vous ne pouvez pas non plus vous connecter à l'aide du compte d'administrateur du site principal. Lorsque vous vous connectez, vous devez utiliser une URL qui fait appel à HTTPS et inclut le nom de domaine complet du serveur :
- Si vous vous connectez directement à ArcGIS Server, l'URL est formatée comme suit : https://gisserver.domain.com:6443/arcgis/manager. Si le site comprend plusieurs serveurs SIG, il s'agit de l'URL de la machine que vous avez spécifiée comme URL d'administration lors de la fédération de votre site.
- Si vous vous connectez via ArcGIS Web Adaptor, vous devez veiller à ce que l'accès administratif soit activé sur ArcGIS Web Adaptor. L'URL que vous utiliserez pour vous connecter est au format suivant : https://webadaptorhost.domain.com/webadaptorname/manager.
Si votre portail est configuré avec un magasin d'identifiants intégré ou le protocole LDAP (Lightweight Directory Access Protocol), vous devez entrer le nom d'utilisateur et le mot de passe de votre compte de portail.
Modifier le raccourci de bureau pour Manager
ArcGIS Server offre un raccourci bureau pour ArcGIS Server Manager. L’URL du raccourci par défaut est au format http://localhost:6080/arcgis/manager, ce qui constitue un chemin valide à condition que le serveur n’ait pas été fédéré à un portail ArcGIS Enterprise. Comme indiqué dans la section ci-dessus, vous pouvez accéder à un serveur fédéré via une URL au format https://gisserver.domain.com:6443/arcgis/manager ; l’URL de raccourci par défaut envoie donc un message d'erreur du type : Invalid redirect_uri. Suivez les étapes suivantes pour mettre à jour le chemin de raccourci pour un serveur fédéré :
- Recherchez le fichier de raccourci dans le dossier <ArcGIS Server installation directory>/Support/Shortcuts.
- Ouvrez le fichier de raccourci ArcGIS Server Manager dans le programme d’édition de votre choix. Votre navigateur internet peut être différent, mais voici ce que vous devriez obtenir :
[Desktop Entry] Comment=ArcGIS Server Manager Encoding=UTF-8 Exec=firefox localhost:6080/arcgis/manager Icon=web-browser Name=ArcGIS Server Manager Terminal=false Type=Application Keywords=arcgis;esri;
- Modifiez l’URL dans la ligne Exec au format https://gisserver.domain.com:6443/arcgis/manager.
- Enregistrez vos modifications et quittez le programme.
L’élément de raccourci ouvre désormais ArcGIS Server Manager avec l’URL mise à jour.
Connectez-vous au serveur dans ArcGIS Desktop.
Vous pouvez vous connecter au serveur dans ArcGIS Desktop à l'aide d'un compte de portail quelconque, par exemple, des comptes dotés du rôle de consultation, d'utilisateur, d'éditeur ou d'administrateur. Vous pouvez également vous connecter au serveur en utilisant le compte d'administrateur de site principal à partir de votre site ArcGIS Server.
Remarque :
Vous ne pouvez établir des connexions utilisateur à un site ArcGIS Server que depuis ArcGIS Pro. Par conséquent, même si vous fournissez un compte d'éditeur ou d'administrateur, vous ne pouvez pas publier sur ou administrer le site ArcGIS Server dans ArcGIS Pro. Pour établir une connexion éditeur ou administrateur depuis un client ArcGIS Desktop, utilisez ArcMap.
Lorsque vous fournissez l'URL du serveur pour vous connecter à votre serveur à l'aide de l'assistant Ajouter un site ArcGIS Server, vous devez spécifier une URL qui fait appel à HTTPS et qui inclut le nom de domaine complet du serveur :
- Si vous vous connectez directement à ArcGIS Server, l'URL est formatée comme suit : https://gisserver.domain.com:6443/arcgis.
- Si vous vous connectez via ArcGIS Web Adaptor en tant qu'éditeur ou administrateur, vous devez veiller à ce que l'accès administratif soit activé sur l'adaptateur Web. L'URL que vous utiliserez pour vous connecter est au format suivant : https://webadaptorhost.domain.com/webadaptorname/manager.
Si votre portail est configuré avec un magasin d'identifiants intégré ou le protocole LDAP (Lightweight Directory Access Protocol), vous devez entrer le nom d'utilisateur et le mot de passe de votre compte de portail. Si vous souhaitez vous connecter à un site ArcGIS Server avec le compte d'administrateur de site principal, entrez les informations d'identification de ce compte.
Se connecter au répertoire administrateur d'ArcGIS Server ou au répertoire des services
Pour vous connecter au répertoire administrateur d'ArcGIS Server, vous devrez peut-être fournir un jeton de portail. La page de connexion explique comment se procurer ce jeton. Pour plus d'informations, reportez-vous à la rubrique Accès au répertoire administrateur sur un serveur fédéré. Vous pouvez également vous connecter grâce au compte administrateur du site principal du serveur si vous vous connectez directement via le port 6080 ou 6443.
Pour vous connecter au répertoire de services d'ArcGIS Server, vous n'avez pas besoin de fournir un jeton. Vous vous connectez avec vos informations d'identification du portail. Vous ne pouvez pas vous connecter à l'aide du compte d'administrateur du site principal.
Comportement du serveur d'hébergement d'un portail
Lorsque vous désignez votre serveur fédéré comme serveur d'hébergement du portail, vous dotez le portail d'un puissant serveur principal. Vous autorisez les utilisateurs du portail bénéficiant au moins des privilèges Editeur à publier des cartes mises en cache, des services d'entités et des services de scènes (couches de tuiles, d'entités et de scènes). Ces utilisateurs n'ont pas besoin d'installer de produits ArcGIS sur leurs ordinateurs ; ils peuvent simplement publier les services en chargeant un fichier de formes ou un fichier CSV via le site Web du portail. La publication par l'intermédiaire d'ArcMap reste toutefois toujours possible.
Tous les services publiés par les utilisateurs du portail directement sur le portail sont des services hébergés et sont placés dans un dossier ArcGIS Server nommé Hébergé. Vous pouvez ainsi suivre les services qui sont hébergés et ceux qui ne le sont pas.
Si vous supprimez un service sur le portail, il est également supprimé du serveur. Cela concerne à la fois les services publiés sur le serveur fédéré et les services hébergés publiés directement sur le portail.
Remarque :
Avant la version 10.6.1, la suppression d’un service non hébergé du portail ne supprimait pas automatiquement ce service du serveur fédéré. Les services hébergés étaient automatiquement supprimés du serveur lorsqu’ils étaient supprimés du portail.
Les types de services figurant dans le dossier Hébergé diffèrent de ceux des autres dossiers du serveur. Cela afin de correspondre aux types d’éléments affichés dans le portail ArcGIS Enterprise. La table suivante répertorie tous les services hébergés pris en charge et leurs types d'éléments mis à jour :
Type de service ArcGIS Server. | Type d’élément du dossier hébergé/portail |
---|---|
Service de carte mis en cache | Couche de tuiles |
Service de carte mis en cache avec service d'entités | Couche de tuiles et d'entités |
Service d'entités | Couche d'entités |
Service d'imagerie* | Couche d'images |
Service de scène | Couche de la scène |
service WFS | Couche WFS |
*Le service d'imagerie sous-jacent à une couche d'imagerie hébergée s'exécute sur le serveur d'analyse raster du portail, et non sur le serveur d'hébergement du portail.
Lorsque vous affichez et modifiez des propriétés de services hébergés dans le gestionnaire ou dans ArcMap, seul un seul sous-jeu des fonctionnalités ou opérations ArcGIS Server attendues est disponible. Ainsi, certains services n'affichent pas les informations d'instance dans la bibliothèque de services ou sous l'onglet Groupage du service dans le gestionnaire.
Lorsque vous utilisez la fenêtre Catalogue dans ArcMap pour administrer vos services hébergés, réalisez vos tâches via le nœud Mes services hébergés au lieu du nœud de connexion Serveurs SIG. Vous ne verrez ainsi que les fonctionnalités disponibles par l'intermédiaire du portail.
Un serveur d'hébergement doit disposer d'un espace de stockage, d'une unité centrale et d'une mémoire suffisants pour accueillir les services qu'il va héberger. Vous devez former attentivement vos éditeurs et surveiller les données de votre serveur pour éviter tout dépassement de la capacité.
Considérations relatives aux couches de tuiles et aux tâches de mise en cache
Les couches de tuiles présentent des défis particuliers, en raison de la puissance de traitement qui peut être requise par une seule tâche de mise en cache volumineuse ou plusieurs tâches simultanées. En publiant une couche de tuiles à grande échelle sur une très vaste surface, un seul éditeur du portail non formé peut être amené à envoyer une tâche de mise en cache très volumineuse au serveur, ce qui risque d'utiliser les ressources du portail pendant une longue période.
Vous avez la possibilité de limiter l'effet des tâches de mise en cache en exécutant votre service CachingTools dans une grappe ArcGIS Server distincte des autres services. Si cela n'est pas possible, vous pouvez réduire le nombre d'instances du service CachingTools qui sont autorisées à s'exécuter simultanément, ce qui libère des cycles de l'unité centrale pour d'autres services.
Vous pouvez par ailleurs limiter le nombre de tâches de mise en cache pouvant s'exécuter simultanément en réduisant le nombre maximal d'instances autorisées pour le service CachingControllers. Par défaut, trois tâches peuvent s'exécuter simultanément.
Reportez-vous à la rubrique Allocation de ressources serveur à la mise en cache pour en savoir plus sur la répartition des ressources du serveur pour les tâches de mise en cache.
Annuler la fédération entre un serveur et le portail
Vous pouvez choisir d’annuler la fédération entre un serveur et le portail afin que chacun retrouve son indépendance vis-à-vis de l’autre.
Attention :
Annuler la fédération d’un site de serveur a des conséquences significatives et ne doit pas s’effectuer dans le cadre d’un dépannage de routine. Cet action est difficile à annuler et peut avoir des conséquences irréversibles. La suppression d’un serveur d’hébergement à partir du portail ArcGIS Enterprise rend inutilisables les couches web hébergées existantes. Le rajout du serveur d'hébergement ne permet pas de rendre réutilisables les services hébergés. N’annulez la fédération d’un site que si vous comprenez clairement l’impact de cette opération.
L’annulation de la fédération d’un site implique les deux étapes suivantes :
- Si le serveur fédéré que vous voulez supprimer n'est pas le serveur d'hébergement et que les services qui ont été publiés sur ce serveur fédérés ne sont plus nécessaires, vous pouvez vous connecter à ArcGIS Server Manager et supprimer les services. Ignorez cette étape si les services demeurent nécessaires.
- Si ce serveur fédéré est le serveur d'hébergement, connectez-vous au site Web du portail et supprimez les couches Web hébergées qui ont été publiées sur le portail.
- Si ce serveur fédéré est également le serveur d'hébergement et que vous n'avez plus besoin des services s'exécutant sur le serveur d'hébergement, désactivez ce dernier afin que les utilisateurs du portail ne puissent plus effectuer de publication dessus.
- Supprimez le site ArcGIS Server de votre portail, ce qui a pour effet de restaurer les paramètres par défaut de votre magasin de sécurité ArcGIS Server et de supprimer les éléments du portail issus du serveur lorsqu'il était fédéré.
- Configurez la sécurité ArcGIS Server de manière à utiliser les magasins d'utilisateurs et de rôles souhaités.
Vous avez un commentaire à formuler concernant cette rubrique ?