Skip To Content

Configurare un portale per l'uso di un server proxy inverso

Un proxy server inverso è un computer distribuito in una rete perimetrale (anche detta zona demilitarizzata [DMZ] o subnet perimetrale) che gestisce le richieste di Internet e le inoltra ai computer nella rete interna. L'inoltro delle richieste per conto del server proxy inverso maschera l'identità dei computer dietro il firewall dell'organizzazione, proteggendo i computer interni dall'attacco diretto degli utenti di Internet. È possibile implementare altre funzioni di sicurezza nel server proxy inverso per proteggere ulteriormente la rete interna dagli utenti esterni.

Se il server proxy inverso supporta una funzione di controllo dell'integrità, è possibile utilizzare l'endpoint del controllo dell'integrità diPortal for ArcGIS per determinare se il sito può ricevere richieste. Questo è utile per determinare in maniera rapida se esiste un problema software o hardware nel sito. Per ulteriori informazioni, consultare Controllo integrità per il portale nell'API REST di ArcGIS.

Attenzione:

La configurazione spiegata in questo argomento deve essere eseguita prima di federare qualunque sitoArcGIS Server al proprio portale ArcGIS Enterprise. La funzione che consente di aggiungere un alias DNS o un proxy inverso dopo aver federato un sito ArcGIS Server con il portale non è supportata. Per modificare il nome host nell'URL dell'organizzazione, contattare Esri Professional Services o un altro partner di consulenza fidato per maggiori informazioni.

L'annullamento della federazione di un sitoArcGIS Server presenta svariate conseguenze significative ed è un'operazione che non può essere annullata facilmente. Per maggiori informazioni, consultare Amministrare un server federato.

Aggiungere Portal for ArcGIS ad un server proxy inverso

Prima di aggiungerePortal for ArcGIS al server proxy inverso dell'organizzazione, è necessario completare quanto segue:

  • Configurare HTTPS (HTTP e HTTPS o solo HTTPS) sul server proxy inverso. Per impostazione predefinita, Portal for ArcGISutilizza HTTPS per la comunicazione. Consultare la documentazione del prodotto per il server proxy per scoprire come configurare HTTPS.
    Nota:

    Portal for ArcGIS non supporta lo scarico SSL tramite un server proxy inverso/bilanciatore di carico. Pertanto, se la configurazione usa un server proxy inverso, dovrà indirizzare il traffico a ArcGIS Web Adaptor o direttamente a Portal for ArcGIS via HTTPS.

Verificare che il server proxy supporti la codifica gzipe sia configurato per consentire l'intestazioneAccept-Encoding. Questa intestazione supporta la compressione delle risposte HTTP 1.1 con codifica gzip. Ad esempio, se l'intestazione è consentita, per una richiesta di caricamento del Map Viewer, al browser verrà inviata una risposta compressa di circa 1,4 MB. Se l'intestazione non è consentita o viene ignorata, la richiesta restituirà al browser una risposta non compressa di circa 6,8 MB. Se la rete è lenta e le risposte non sono compresse, il caricamento del Map Viewer potrebbe richiedere molto tempo. Nella configurazione del server proxy inverso, Esri consiglia di consentire questa intestazione.

Aggiungere ArcGIS Web Adaptoralle direttive del server proxy

Dopo aver configuratoArcGIS Web Adaptor con Portal for ArcGIS,ArcGIS Web Adaptor può essere usato con il reverse proxy server dell'organizzazione aggiungendo i componenti direttamente alle direttive del server proxy. Ad esempio, se si utilizza Apache come server proxy inverso, è necessario aggiungereArcGIS Web Adaptor alle direttive ProxyPass nel file di configurazione del server Web Apache httpd.conf:

ProxyPass /webadaptorname https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /webadaptorname https://webadaptorhost.domain.com/webadaptorname

Le direttive ProxyPass devono corrispondere al nome designato perArcGIS Web Adaptor (/webadaptorname nell'esempio riportato sopra).

Preparare un proxy inverso

Prima di installare il server proxy inverso per l'uso sul portale, Esri consiglia di configurare alcune delle intestazioni del proxy inverso per assicurarsi che le comunicazioni siano corrette.

Nella configurazione di caricamento del server proxy inverso, impostare un'intestazioneX-Forwarded-Host sul nome host del proxy inverso. Portal for ArcGIS si aspetta di vedere questa proprietà impostata nell'intestazione inviata dal proxy inverso e restituirà le richieste corrispondenti all’URL del server proxy inverso. Se non si utilizzaArcGIS Web Adaptor con il portale, impostare l'intestazioneHost in modo che corrisponda al nome host del computer in cui è installato Portal for ArcGIS.

Suggerimento:

È possibile utilizzare l'endpoint dei computer nella directory del portale amministratore ArcGIS per visualizzare il nome dell'host del computer in esecuzione Portal for ArcGIS.

Ad esempio, una richiesta all'endpoint REST di Portal for ArcGIS(https://reverseproxy.domain.com/arcgis/sharing/rest) verrà restituita al client con lo stesso URL. Se la proprietà non è impostata, Portal for ArcGIS potrebbe restituire l'URL del computer interno cui la richiesta era diretta (ad esempio https://portal.domain.com/arcgis/sharing/rest invece di https://reverseproxy.domain.com/arcgis/sharing/rest). Questo può diventare un problema poiché i client non potranno accedere a tale URL (anomalia comunemente nota come errore 404 del browser) Inoltre, ciò consente l'accesso del client ad alcune informazioni sul computer interno.

Oltre all'intestazione,X-Forwarded-Host il server proxy inverso deve poter indirizzare i reindirizzamenti (codici HTTP 301 o 302). È inoltre necessario aggiornare la sua intestazioneLocation per assicurarsi che il nome del dominio completamente qualificato (FQDN) e il contesto della risposta corrispondano al valore del portale WebContextURL.

Impostare la proprietà WebContextURL

La proprietà del portaleWebContextURL può costruire gli URL corretti per tutte le risorse che invia all'utente finale.

Nota:

Se non si usaArcGIS Web Adaptor nella distribuzione, verificare che il nome contestuale del servizio proxy inverso abbia una profondità di un livello di URL. Ad esempio, è possibile avere l'URL del proxy inverso come per https://proxy.domain.com/enterprise, ma non è possibile avere l'URL del proxy inverso come per https://proxy.domain.com/myorg/enterprise.

Per modificare WebContextURL, eseguire le operazioni seguenti:

  1. Aprire un browser Web ed effettuare l'accesso alla directory di Portal for ArcGIS come membro del ruolo Amministratore predefinito dell'organizzazione del portale. Il formato dell'URL è https://portal.domain.com:7443/arcgis/portaladmin.
  2. Fare clic su Sistema > Proprietà > Aggiorna Proprietà.
  3. Nella finestra Update System Properties inserire il seguente JSON, che sostituisce l'URL del server proxy inverso o dell'alias DNS visualizzato dagli utenti al di fuori del firewall dell'organizzazione.
    {
       "WebContextURL": "https://reverseproxy.domain.com/enterprise"
    }
    Nota:

    Portal for ArcGIS supporta soltanto un DNS singolo.

    Nota:

    Non è possibile utilizzare una porta non standard (cioè una porta diversa dal 443) mentre si imposta la proprietà di WebContextURL.

  4. Fare clic su Aggiorna Proprietà.

Ripetere attività amministrative

Dopo aver configurato il server proxy inverso con il portale, l'accesso al portale verrà ora effettuato tramite l'URL del proxy inverso anziché quello di ArcGIS Web Adaptor. Qualsiasi elemento a cui si accede nel Portale Web o nella directory di Portal for ArcGIS restituirà l'URL del server proxy inverso.

Rieseguire le seguenti attività amministrative utilizzando l'URL del server proxy inverso:

Se in precedenza al portale sono stati aggiunti servizi protetti come elementi, sarà necessario eliminare gli elementi originali ed aggiungerli nuovamente. Gli elementi originali utilizzano infatti l'URL di ArcGIS Web Adaptoranziché quello del server proxy inverso. Per le istruzioni, consultare Connettersi a servizi protetti.

Dopo aver configurato il server proxy inverso con il portale, potrebbe essere necessario modificarne le impostazioni. Ad esempio, se le operazioni o le richieste all'interno dell'installazione riportano un errore che indica che la connessione è scaduta, potrebbe essere che il valore di timeout del server proxy inverso sia troppo corto. Per correggere questo errore, considerare di aumentare il valore di timeout per consentire il completamento delle richieste lunghe, come ad esempio la federazione di un server.