Un proxy server inverso è un computer distribuito in una rete perimetrale (anche detta zona demilitarizzata [DMZ] o subnet perimetrale) che gestisce le richieste di Internet e le inoltra ai computer nella rete interna. L'inoltro delle richieste per conto del server proxy inverso maschera l'identità dei computer dietro il firewall dell'organizzazione, proteggendo i computer interni dall'attacco diretto degli utenti di Internet. È possibile implementare altre funzioni di sicurezza nel server proxy inverso per proteggere ulteriormente la rete interna dagli utenti esterni.
Se il tuo server reverse proxy supporta una funzione di controllo dello stato di salute, puoi usare l'endpoint di controllo dello stato di salute di Portal for ArcGIS per determinare se il portale è disponibile a ricevere richieste. Questo è utile per determinare in maniera rapida se esiste un problema software o hardware nel sito. Per ulteriori informazioni, consultare Controllo integrità per il portale nell'API REST di ArcGIS.
Attenzione:
La configurazione spiegata in questo argomento deve essere eseguita prima di federare qualunque sitoArcGIS Server al proprio portale ArcGIS Enterprise. L'annullamento della federazione di un sito ArcGIS Server presenta svariate conseguenze significative ed è un'operazione che non può essere annullata facilmente. Per maggiori informazioni, consultare Amministrare un server federato.
Aggiungere Portal for ArcGIS ad un server proxy inverso
Prima di aggiungerePortal for ArcGIS al server proxy inverso dell'organizzazione, è necessario completare quanto segue:
- Configurare HTTPS (HTTP e HTTPS o solo HTTPS) sul server proxy inverso. Portal for ArcGIS richiede HTTPS per alcune comunicazioni. Consultare la documentazione del prodotto per il server proxy per scoprire come configurare HTTPS.
Nota:
Portal for ArcGIS non supporta lo scarico SSL tramite un server proxy inverso/bilanciatore di carico. Pertanto, se la configurazione usa un server proxy inverso, dovrà indirizzare il traffico a ArcGIS Web Adaptor o direttamente a Portal for ArcGIS via HTTPS.
- ConfigurareArcGIS Web Adaptor con il portale se quest'ultimo utilizzerà l'autenticazione integrata di Windows . Portal for ArcGIS richiede l'utilizzo di ArcGIS Web Adaptor per questo scopo, e ciò consentirà al server proxy inverso di comunicare correttamente con il portale. Per istruzioni complete, vedere gli argomenti di configurazione per IIS, Java (Windows) o Java (Linux).
Verificare che il server proxy supporti la codifica gzipe sia configurato per consentire l'intestazioneAccept-Encoding. Questa intestazione supporta la compressione delle risposte HTTP 1.1 con codifica gzip. Ad esempio, se l'intestazione è consentita, per una richiesta di caricamento del Map Viewer, al browser verrà inviata una risposta compressa di circa 1,4 MB. Se l'intestazione non è consentita o viene ignorata, la richiesta restituirà al browser una risposta non compressa di circa 6,8 MB. Se la rete è lenta e le risposte non sono compresse, il caricamento del Map Viewer potrebbe richiedere molto tempo. Nella configurazione del server proxy inverso, Esri consiglia di consentire questa intestazione.
Aggiungere ArcGIS Web Adaptor alle direttive del server proxy
Dopo aver configuratoArcGIS Web Adaptor con Portal for ArcGIS,ArcGIS Web Adaptor può essere usato con il reverse proxy server dell'organizzazione aggiungendo i componenti direttamente alle direttive del server proxy. Ad esempio, se si utilizza Apache come server proxy inverso, è necessario aggiungereArcGIS Web Adaptor alle direttive ProxyPass nel file di configurazione del server Web Apache httpd.conf:
ProxyPass /webadaptorname https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /webadaptorname https://webadaptorhost.domain.com/webadaptornameLe direttive ProxyPass devono corrispondere al nome designato perArcGIS Web Adaptor (/webadaptorname nell'esempio riportato sopra). Se l'URL del sito non termina con la stringa predefinita /arcgis, specificare il nome non predefinito diArcGIS Web Adaptor (ad esempio, /myorg).
Aggiungi un'intestazione X-Forwarded-Host al tuo proxy
Nella configurazione del bilanciatore del server proxy inverso, impostare un’intestazione X-Forwarded-Host. Portal for ArcGIS si aspetta di vedere questa proprietà impostata nell'intestazione inviata dal proxy inverso e restituirà le richieste corrispondenti all’URL del server proxy inverso. Ad esempio, una richiesta all'endpoint REST di Portal for ArcGIS(https://reverseproxy.domain.com/arcgis/sharing/rest) verrà restituita al client con lo stesso URL. Se la proprietà non è impostata, Portal for ArcGIS potrebbe restituire l'URL del computer interno cui la richiesta era diretta (ad esempio https://portal.domain.com/arcgis/sharing/rest invece di https://reverseproxy.domain.com/arcgis/sharing/rest). Questo può diventare un problema poiché i client non potranno accedere a tale URL (anomalia comunemente nota come errore 404 del browser) Inoltre, ciò consente l'accesso del client ad alcune informazioni sul computer interno.
Impostare la proprietà WebContextURL
La proprietà del portaleWebContextURL può costruire gli URL corretti per tutte le risorse che invia all'utente finale.
Nota:
Se non si usaArcGIS Web Adaptor nella distribuzione, verificare che il nome contestuale del servizio proxy inverso abbia una profondità di un livello di URL. Ad esempio, è possibile avere l'URL del proxy inverso come per https://proxy.domain.com/enterprise, ma non è possibile avere l'URL del proxy inverso come per https://proxy.domain.com/myorg/enterprise.
- Aprire un browser Web ed effettuare l'accesso alla directory di Portal for ArcGIS come membro del ruolo Amministratore predefinito dell'organizzazione del portale. Il formato dell'URL è https://portal.domain.com:7443/arcgis/portaladmin.
- Fare clic su Sistema > Proprietà > Aggiorna Proprietà.
- Nella finestra Update System Properties inserire il seguente JSON, che sostituisce l'URL del server proxy inverso o dell'alias DNS visualizzato dagli utenti al di fuori del firewall dell'organizzazione.
{ "WebContextURL": "https://reverseproxy.domain.com/enterprise" }Nota:
Non è possibile utilizzare una porta non standard (cioè una porta diversa dal 443) mentre si imposta la proprietà di WebContextURL.
- Fare clic su Aggiorna Proprietà.
Ripetere attività amministrative
Dopo aver configurato il server proxy inverso con il portale, l'accesso al portale verrà ora effettuato tramite l'URL del proxy inverso anziché quello di ArcGIS Web Adaptor. Qualsiasi elemento a cui si accede nel Portale Web o nella directory di Portal for ArcGIS restituirà l'URL del server proxy inverso.
Rieseguire le seguenti attività amministrative utilizzando l'URL del server proxy inverso:
Se in precedenza al portale sono stati aggiunti servizi protetti come elementi, sarà necessario eliminare gli elementi originali ed aggiungerli nuovamente. Gli elementi originali utilizzano infatti l'URL di ArcGIS Web Adaptoranziché quello del server proxy inverso. Per le istruzioni, consultare Connettersi a servizi protetti.