Skip To Content

Administrer un serveur fédéré

Si vous projetez de fédérer votre site ArcGIS Server avec le portail ArcGIS Enterprise, sachez que la façon dont vous administrez votre site ArcGIS Server changera après la fédération. Les principales différences d'administration d'un serveur fédéré sont présentées ci-après.

Différences en matière de sécurité

Lorsque vous fédérez un site ArcGIS Server avec un portail, le magasin de sécurité du portail contrôle tous les accès au serveur. Cela a un impact sur l'accès et l'administration du serveur fédéré.

Utilisateurs, rôles et autorisations

Lors de la fédération, les utilisateurs, les rôles et les autorisations que vous avez configurés auparavant sur les services ArcGIS Server ne sont plus valides. L’accès aux services est à la place déterminé par les membres du portail, les rôles et les autorisations de partage.

Tout comme ArcGIS Server, le portail offre les niveaux de privilèges Utilisation, Publication et Administration. Le portail assure également un rôle de consultation, doté de privilèges limités. Il comprend également un rôle personnalisé qui est considéré comme un rôle utilisateur par le serveur fédéré. Il est conseillé de configurer et de vérifier ces autorisations dans votre portail avant de mettre votre serveur fédéré à la disposition des utilisateurs finaux.

Au moment de la fédération, les éléments sont automatiquement créés dans le portail pour tous les services Web ArcGIS Server existants. Ces éléments appartiennent à l'administrateur qui effectue la fédération. Après la fédération, la propriété peut être réattribuée aux membres existants du portail le cas échéant. Tout élément ou service ajouté au portail après la fédération devient explicitement la propriété du membre qui les a créés.

Lors de la fédération, la capacité à isoler l'accès au serveur est supprimée. Par exemple, tout utilisateur ayant le rôle intégré Publication peut effectuer une publication sur un serveur fédéré. Cependant, vous pouvez mettre à jour la configuration de sécurité d'un serveur fédéré pour limiter l'accès administrateur et éditeur. Reportez-vous à la section Contrôle d'accès détaillé des serveurs fédérés ci-dessous pour en savoir plus.

Rôle de consultation

Les membres qui se voient attribuer ce rôle peuvent se connecter aux services ArcGIS Server et les utiliser. Lors d'une connexion à un serveur fédéré avec un rôle de consultation, tous les services partagés avec cet utilisateur ou un groupe dont cet utilisateur est membre peuvent être affichés et consommés. Les Viewers consultent une vue personnalisée du site Web du portail ; ils peuvent utiliser les cartes, applications, couches et outils de l’organisation et se joindre aux groupes détenus par l’organisation. Les utilisateurs dotés du rôle de consultation ne peuvent pas créer, partager ou détenir des éléments.

Rôle d'utilisateur

Les membres qui se voient attribuer ce rôle peuvent se connecter aux services ArcGIS Server et les utiliser. Lors d'une connexion à un serveur fédéré en tant qu'utilisateur, tous les services partagés avec l'utilisateur ou un groupe dont l'utilisateur est membre peuvent être affichés et consommés. Les utilisateurs consultent une vue personnalisée du site Web du portail ; ils peuvent utiliser les cartes, applications, couches et outils de l’organisation et se joindre aux groupes détenus par l’organisation. Les utilisateurs peuvent également créer des cartes et des applications, ajouter des éléments, partager du contenu et créer des groupes.

Rôle d'éditeur

Les Publishers peuvent uniquement supprimer ou modifier les services qu’ils ont créés dans le portail. Ils ne peuvent pas modifier ou supprimer les services d'autres éditeurs. Les Publishers disposent de privilèges utilisateur et peuvent également utiliser n’importe quelle couche que les autres publishers ont partagé avec eux.

Tout utilisateur doté des privilèges d'éditeur peut effectuer une publication sur un serveur fédéré. Les services publiés sur un serveur fédéré sont ajoutés automatiquement en tant qu'éléments du portail. Les services hébergés publiés directement sur le portail s'affichent en tant qu'éléments dans le portail et en tant que services sur le serveur d'hébergement.

Rôle d'administrateur

Les administrateurs disposent de privilèges d'utilisateur et d'éditeur, ainsi que d'autorisations d'accès à tous les services hébergés par le serveur fédéré. Les administrateurs détiennent également des privilèges de gestion du portail et de tous ses membres. Un portail doit comporter au moins un administrateur. Toutefois, le nombre de rôles qu'il est possible d'administrer dans une organisation est illimité. Par exemple, si un portail compte cinq membres, tous peuvent tous avoir le rôle d'administrateur.

Rôle personnalisé

Les rôles personnalisés sont un ensemble spécifique de privilèges définis par l'administrateur. Par exemple, les membres ayant le rôle personnalisé peuvent être en mesure de créer du contenu, mais ne pas pouvoir créer de groupes ; ils sont libres de publier des entités, mais pas des tuiles. Pour autoriser les membres à publier des services sur un site ArcGIS Server, le rôle doit détenir le privilège de contenu général Publish server-based layers (Publier des couches basées sur les serveurs).

Si un rôle personnalisé est créé avec des privilèges administratifs, ArcGIS Server accorde un accès administratif limité aux membres ayant ce rôle. Ceci inclut les droits de publier n’importe quel type de service directement dans ArcGIS Server et la possibilité d’afficher tous les services et d’y accéder. Considérez les risques de sécurité avant de créer pour un membre un rôle personnalisé incluant des privilèges administratifs.

Contrôle d'accès détaillé des serveurs fédérés

Vous pouvez mettre à jour un serveur fédéré pour limiter l'accès de publication et d'administration. Après la mise à jour, tous les administrateurs du portail conservent les privilèges d'administration sur le portail. L'accès de publication sur le serveur n'est pas accordé aux membres du portail dotés de privilèges d'éditeur par défaut. En revanche, l'accès éditeur sur le serveur est contrôlé par un groupe nommé [federated server name]_Publishers ou l'élément [federated server name]_Publishers.

Remarque :

Les noms de l’élément et du groupe par défaut ne doivent pas être modifiés.

Pour obtenir des privilèges d'éditeur sur le serveur, le membre du portail doit être membre du groupe [federated server name]_Publishers ou membre d'un groupe avec lequel l'élément [federated server name]_Publishers a été partagé. De même, l’accès administratif supplémentaire sur le serveur est contrôlé par un groupe nommé [federated server name]_Administrators ou l’élément [federated server name]_Administrators. Un membre du portail doit être membre de ce groupe ou membre du groupe avec lequel l'élément a été partagé pour obtenir l'accès administratif sur le serveur.

Le contrôle d'accès détaillé est configuré dans le répertoire Portal for ArcGIS. Une fois que vous avez fédéré un serveur avec votre portail, suivez la procédure ci-dessous pour mettre à jour le serveur et activer ce contrôle.

  1. Connectez-vous au répertoire Portal for ArcGIS en tant que membre du portail doté de privilèges administratifs.

    L’URL du répertoire du portail est au format https://portal.domain.com/arcgis/portaladmin.

  2. Accédez à Fédération > Serveurs et cliquez sur le serveur à mettre à jour.
  3. Cliquez sur Update (Mettre à jour).
  4. Dans le menu déroulant Server Role (Rôle du serveur), choisissez Federated Server With Restricted Publishing (Serveur fédéré avec publication limitée).
  5. Cliquez sur Update Server (Mettre à jour le serveur).

    Vous voyez maintenant les groupes [federated server name]_Administrators et [federated server name]_Publishers, ainsi que les éléments correspondants sur la page Mon contenu. Ils seront détenus par le membre du portail qui a mis à jour le serveur.

Se connecter à Server Manager

Vous pouvez vous connecter à ArcGIS Server Manager seulement si votre compte de portail possède le rôle Administration ou Publication. Vous ne pouvez pas vous connecter à Server Manager via un compte doté du rôle de consultation, d’utilisateur ou d’un rôle personnalisé. Vous ne pouvez pas non plus vous connecter à l'aide du compte d'administrateur du site principal. Lorsque vous vous connectez, utilisez une URL qui fait appel à HTTPS et inclut le nom de domaine complet du serveur :

  • Si vous vous connectez directement à ArcGIS Server, l’URL a le format suivant : https://gisserver.domain.com:6443/arcgis/manager. Si le site comprend plusieurs machines, il s’agit de l’URL de la machine que vous avez spécifiée pour le paramètre Administration URL (URL d’administration) au cours de la fédération de votre site.
  • Si vous vous connectez via ArcGIS Web Adaptor, vous devez vous assurer que l’accès administratif est activé sur ArcGIS Web Adaptor. L’URL que vous utilisez pour vous connecter est au format suivant : https://webadaptorhost.domain.com/webadaptorname/manager.

Si le portail est configuré avec un magasin d’identités intégré ou le protocole LDAP (Lightweight Directory Access Protocol), vous devez indiquer le nom d’utilisateur et le mot de passe de votre compte de portail. Si le portail est configuré avec Windows Active Directory, vos informations d’identification Windows peuvent vous être demandées ou vous pouvez être connecté automatiquement à Server Manager.

Modifier le raccourci de Bureau pour Server Manager

ArcGIS Server fournit un raccourci de Bureau pour ArcGIS Server Manager. L’URL du raccourci par défaut observe le format http://localhost:6080/arcgis/manager, ce qui constitue un chemin valide tant que le serveur n’est pas fédéré à un portail ArcGIS Enterprise. Comme indiqué dans la section ci-dessus, vous pouvez accéder à un serveur fédéré via une URL au format https://gisserver.domain.com:6443/arcgis/manager ; l’URL de raccourci par défaut envoie donc un message d’erreur du type : Invalid redirect_uri. Suivez les étapes suivantes pour mettre à jour le chemin de raccourci pour un serveur fédéré :

  1. Dans le menu Démarrer de Windows sur le serveur fédéré, cliquez avec le bouton droit sur le raccourci ArcGIS Server Manager, cliquez sur Plus et sur Ouvrir l’emplacement du fichier.
  2. Dans la fenêtre d’exploration de fichiers qui s’ouvre, effectuez un clic droit sur l’élément de raccourci ArcGIS Server Manager, puis sélectionnez à nouveau Open file location (Ouvrir l’emplacement de fichier).

    Le lien de raccourci s’ouvre dans le dossier C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.

  3. Coupez l’élément de raccourci Manager (Gestionnaire) et collez-le sur votre Bureau.

    L’élément de raccourci Manager (Gestionnaire) est supprimé de son emplacement d’origine.

  4. Cliquez avec le bouton droit sur l’élément collé, ouvrez Properties (Propriétés) et modifiez la propriété URL de sorte que l’URL utilise le protocole HTTPS et le port 6443 pour se connecter.

    Ainsi, l’URL doit ressembler à ce qui suit :https://gisserver.domain.com:6443/arcgis/managergisserver.domain.com désigne le nom de domaine complet de l’une des machines du site ArcGIS Server.

  5. Cliquez sur OK pour appliquer la modification et fermer la fenêtre des propriétés.
  6. Coupez l’élément de raccourci modifié et collez-le à nouveau dans le dossier C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.Capture d’écran de l’emplacement de fichier

L’élément de raccourci ouvre désormais ArcGIS Server Manager depuis le menu Démarrer de Windows.

Se connecter au serveur dans ArcGIS Pro

Lorsque vous vous connectez au portail dans ArcGIS Pro, vous pouvez choisir le serveur fédéré au moment de la publication. Reportez-vous aux rubriques Gérer les connexions au portail à partir de ArcGIS Pro et Introduction au partage des couches Web dans l’aide de ArcGIS Pro.

Se connecter au répertoire administrateur de ArcGIS Server et au répertoire des services

Pour vous connecter au répertoire administrateur de ArcGIS Server, vous devrez peut-être fournir un jeton de portail. La page de connexion explique comment se procurer ce jeton. Pour plus d'informations, reportez-vous à la rubrique Accès au répertoire administrateur sur un serveur fédéré. Vous pouvez également vous connecter grâce au compte administrateur du site principal du serveur si vous vous connectez directement via le port 6080 ou 6443.

Pour vous connecter au répertoire de services de ArcGIS Server, vous n’avez pas besoin de fournir un jeton. Connectez-vous à l’aide des informations d’identification fournis par un administrateur de portail. Vous ne pouvez pas vous connecter à l’aide du compte d’administrateur du site principal.

Comportement du serveur d'hébergement d'un portail

Lorsque vous désignez un site ArcGIS GIS Server fédéré comme serveur d’hébergement pour le portail, vous offrez aux éditeurs la possibilité de créer des tuiles de carte, des services d’entités et des services de scènes (couches de tuiles, d’entités et de scènes) mis en cache. Ces utilisateurs n’ont pas besoin d’installer de produits ArcGIS sur leurs ordinateurs ; ils peuvent simplement publier les services en chargeant un shapefile ou un fichier .csv via le site Web du portail. La publication par l’intermédiaire de ArcGIS Pro est néanmoins toujours possible.

Les services publiés directement sur le portail sont des services hébergés et sont placés dans un dossier ArcGIS Server nommé Hosted (Hébergé) sur le serveur d’hébergement. Vous pouvez ainsi suivre les services qui sont hébergés et ceux qui ne le sont pas.

Si vous supprimez un élément de couche hébergé dans le portail, il est également supprimé du serveur d’hébergement. De même, si vous supprimez un élément qui fait référence à un service sur un serveur fédéré, la suppression de l’élément sur le portail a pour effet de supprimer le service. Cela concerne à la fois les services publiés sur le serveur fédéré et les services hébergés publiés directement sur le portail.

La table suivante répertorie les services hébergés pris en charge ainsi que leurs types d’éléments :

Type de service ArcGIS ServerType d’élément de portail

Service de carte mis en cache

Couche de tuiles

Service de carte mis en cache avec service d'entités

Couche de tuiles et Couche d’entités

Service d’entités

Couche d’entités

Service d'imagerie*

Couche d'images

Service de scène

Couche de scène

service WFS

Couche WFS

Service de tuiles vectorielles

Couche de tuiles vectorielles

Service de graphe de connaissances**

Graphe de connaissances

* Le service d’imagerie auquel fait référence une couche d’imagerie hébergée s’exécute sur le serveur d’analyse raster du portail ou sur le serveur d’hébergement des images, et non sur le serveur d’hébergement du portail.

** Le service de graphe de connaissances auquel fait référence un graphe de connaissances hébergé fonctionne sur le serveur ArcGIS Knowledge du portail et non sur le serveur d’hébergement du portail.

Lorsque vous affichez et modifiez des propriétés de services hébergés dans Server Manager, seul un seul sous-ensemble des fonctionnalités ou opérations ArcGIS Server est disponible. Ainsi, certains services n’affichent pas les informations d’instance dans la bibliothèque de services ou sous l’onglet Pooling (Groupage) du service dans Server Manager.

Un serveur d’hébergement doit disposer d’une unité centrale, d’une mémoire et d’un espace de stockage suffisants pour accueillir les services qu’il va héberger. Formez vos éditeurs de manière à ce qu’ils comprennent comment les services pèsent sur les ressources du serveur d’hébergement et surveillent les indicateurs des machines du serveur d‘hébergement pour éviter tout dépassement de la capacité.

Considérations relatives aux couches de tuiles et aux tâches de mise en cache

Les couches de tuiles présentent des défis particuliers, en raison de la puissance de traitement qui peut être requise par une seule tâche de mise en cache volumineuse ou plusieurs tâches simultanées. En publiant une couche de tuiles à grande échelle sur une très vaste surface, un seul éditeur du portail non formé peut être amené à envoyer une tâche de mise en cache très volumineuse au serveur, ce qui risque d'utiliser les ressources du portail pendant une longue période.

Vous avez la possibilité de limiter l’effet des tâches de mise en cache en exécutant votre service CachingTools dans une grappe ArcGIS Server distincte des autres services. Si cela n'est pas possible, vous pouvez réduire le nombre d'instances du service CachingTools qui sont autorisées à s'exécuter simultanément, ce qui libère des cycles de l'unité centrale pour d'autres services.

Vous pouvez par ailleurs limiter le nombre de tâches de mise en cache pouvant s'exécuter simultanément en réduisant le nombre maximal d'instances autorisées pour le service CachingControllers. Par défaut, trois tâches peuvent s'exécuter simultanément.

Reportez-vous à la rubrique Allocation de ressources serveur à la mise en cache pour en savoir plus sur la répartition des ressources du serveur pour les tâches de mise en cache.

Annuler la fédération entre un serveur et le portail

Attention :

Vous pouvez choisir d’annuler la fédération d’un site ArcGIS Server sur le portail afin que chacun retrouve son indépendance vis-à-vis de l’autre. Néanmoins, l’annulation de la fédération d’un site ArcGIS Server a des répercussions importantes et ne doit pas s’effectuer dans le cadre de simples opérations de résolution des problèmes. Cette action est difficile à annuler et peut avoir des conséquences irréversibles. La suppression d’un serveur d’hébergement à partir du portail ArcGIS Enterprise rend inutilisables les couches Web hébergées existantes. Le rajout du serveur d'hébergement ne permet pas de rendre réutilisables les services hébergés. N’annulez la fédération d’un site que si vous comprenez clairement l’impact de cette opération.

Seuls les sites endossant un nombre limité de rôles peuvent fonctionner en tant que sites ArcGIS Server autonomes. Ainsi, les sites ArcGIS GeoAnalytics Server et ArcGIS Knowledge Server ne peuvent pas s’exécuter en tant que sites autonomes ; l’annulation de leur fédération les rendrait inutilisables.

L’annulation de la fédération d’un site implique les deux étapes suivantes :

  1. Supprimez des services.

    Si les services se trouvent sur un serveur d’hébergement, vous devez les supprimer. Si les services se trouvent sur un serveur fédéré qui fonctionne comme un site ArcGIS Server autonome, vous pouvez ignorer cette étape.

    • Si le serveur fédéré que vous voulez supprimer n’est pas le serveur d’hébergement et que les services qui ont été publiés sur ce serveur fédérés ne sont plus nécessaires, vous pouvez vous connecter à ArcGIS Server Manager en tant qu’administrateur et supprimer les services.
    • Si ce serveur fédéré est le serveur d'hébergement, connectez-vous au site Web du portail et supprimez les couches Web hébergées qui ont été publiées sur le portail.
  2. Supprimez le site ArcGIS Server de votre portail, ce qui a pour effet de restaurer les paramètres par défaut de votre magasin de sécurité ArcGIS Server et de supprimer les éléments du portail issus du serveur lorsqu’il était fédéré.
  3. Configurez la sécurité ArcGIS Server de manière à utiliser les magasins d’utilisateurs et de rôles souhaités.