Se hai intenzione di federare il tuo sito ArcGIS Server con il portale ArcGIS Enterprise, sii consapevole che il modo in cui amministri il tuo sito ArcGIS Server cambierà dopo la federazione. Le differenze chiave nell'amministrazione di un server federato sono indicate di seguito.
Differenze relative alla sicurezza
Quando federi un sito con un portale ArcGIS Server, il registro di sicurezza del portale controlla tutti gli accessi al server. Questo influisce sul modo in cui gli utenti accedono al server federato e lo gestiscono.
Utenti, ruoli e autorizzazioni
Quando federi, tutti gli utenti, i ruoli e i permessi che hai precedentemente configurato sui servizi ArcGIS Server non sono più validi. L'accesso ai servizi viene infatti determinato dai membri e dai ruoli del portale e dalle autorizzazioni di condivisione.
Analogamente a ArcGIS Server, il portale offre livelli di privilegio di utente, editore e amministratore. Il portale dispone inoltre di un ruolo Osservatore, caratterizzato da un set limitato di privilegi. Il portale include anche un ruolo personalizzato che è considerato un ruolo utente dal server federato. Prima di esporre il server federato agli utenti finali, è consigliabile impostare e controllare queste autorizzazioni nel portale.
Al momento della federazione, gli elementi vengono creati automaticamente nel portale per tutti i servizi web ArcGIS Server esistenti. Questi elementi sono di proprietà dell'amministratore che esegue la federazione. Dopo la federazione, la proprietà può essere riassegnata ai membri del portale esistente come desiderato. Gli eventuali elementi o servizi aggiunti al portale dopo la federazione sono di proprietà esplicita del membro che li ha creati.
Dopo che è stata eseguita la federazione, la capacità di isolare l'accesso al server viene eliminata. Per esempio, chiunque sia membro del ruolo di editore integrato può pubblicare su qualsiasi server federato. Tuttavia, è possibile aggiornare la configurazione di protezione di un server federato per limitare l'accesso amministrativo ed editore. Per ulteriori informazioni, vedere Controllo di accesso preciso ai server federati di seguito.
Ruolo Osservatore
I membri a cui viene assegnato questo ruolo possono connettersi e utilizzare i servizi ArcGIS Server. Quando si è connessi a un server federato come osservatore, è possibile visualizzare e consumare gli eventuali servizi condivisi con l'osservatore o con un gruppo di cui l'osservatore è un membro. Gli utenti vedono una vista personalizzata del sito web del portale; possono usare le mappe, le applicazioni, i layer Gli osservatori non dispongono dei privilegi per creare, condividere o possedere elementi.
Ruolo utente
I membri a cui viene assegnato questo ruolo possono connettersi e utilizzare i servizi ArcGIS Server. Quando si è connessi a un server federato come un utente, è possibile visualizzare e consumare gli eventuali servizi condivisi con l'utente o con un gruppo di cui l'utente è un membro. Gli utenti vedono una vista personalizzata del sito web del portale; possono usare le mappe, le applicazioni, i layer e gli strumenti dell'organizzazione; e unirsi ai gruppi di proprietà dell'organizzazione. Gli utenti possono inoltre creare mappe e app, aggiungere elementi, condividere contenuti e creare gruppi.
Ruolo editore
Gli editori possono solo cancellare o modificare i servizi che hanno creato nel portale. Non possono modificare né eliminare altri servizi dell'editore. Gli editori hanno i privilegi di utente, però, e possono usare qualsiasi livello che altri editori condividono con loro.
Tutti gli utenti con privilegi di amministratore possono pubblicare su qualsiasi server federato. I servizi pubblicati su un server federato vengono aggiunti automaticamente come elementi nel portale. I servizi ospitati pubblicati direttamente nel portale vengono visualizzati come elementi nel portale e come servizi sul server di hosting.
Ruolo amministratore
Gli amministratori dispongono dei privilegi Utente ed Editore e delle autorizzazioni a tutti i servizi ospitati dal server federato. Gli amministratori dispongono anche dei privilegi per gestire il portale e tutti i suoi membri. Un portale deve avere almeno un amministratore. Non esistono tuttavia limiti sul numero di utenti che possono amministrare un'organizzazione. Se, ad esempio, un portale conta cinque membri, tutti possono essere amministratori.
Ruolo personalizzato
I ruoli personalizzati includono un insieme specifico di privilegi definito dall'amministratore. Per esempio, i membri con il ruolo personalizzato possono essere in grado di creare contenuti ma non possono creare gruppi; possono essere in grado di pubblicare feature ma non tessere. Per permettere ai membri di pubblicare servizi su un sito ArcGIS Server federato, al ruolo deve essere assegnato il privilegio di pubblicare contenuti generali su layer basati su server.
Se viene creato un ruolo personalizzato con qualche privilegio amministrativo, ArcGIS Server concede un accesso amministrativo limitato ai membri con quel ruolo. Questo include i diritti di pubblicare qualsiasi tipo di servizio direttamente a ArcGIS Server e la capacità di visualizzare e accedere a tutti i servizi. Prendere in considerazioni i rischi per la sicurezza prima di creare un ruolo personalizzato per qualunque membro che includa privilegi amministrativi.
Controllo di accesso preciso di server federati.
È possibile aggiornare un server federato per limitare l'accesso di pubblicazione e amministrativo. Dopo che è stato aggiornato, tutti gli amministratori del portale dispongono ancora di privilegi amministrativi sul server. Per impostazione predefinita, ai membri del portale con privilegi di editore non sarà concesso l'accesso al server per pubblicare. Invece, l'accesso editore al server è controllato da un gruppo denominato [nome server federato]_Publishers o l'elemento [nome server federato]_Publishers.
Nota:
I nomi del gruppo ed elemento predefiniti non devono essere modificati.
Per ottenere i privilegi di accesso editore al server, il membro del portale deve essere un membro del gruppo [nome server federato]_Publishers o un membro di un gruppo con cui l'elemento [nome server federato]_Publishers è stato condiviso. Analogamente, l'ulteriore accesso amministrativo al server è controllato da un gruppo denominato [nome server federato]_Administrators o l'elemento [nome server federato]_Administrators. Un membro del portale deve essere un membro di questo gruppo o un membro del gruppo con cui l'elemento è stato condiviso per ottenere accesso amministrativo al server.
Il controllo di accesso preciso è configurato nella directory di Portal for ArcGIS. Dopo che è stata eseguita la federazione di un server con il portale, attenersi alla procedura seguente per aggiornare il server e abilitare il controllo.
- Accedi alla directory di ArcGIS Portal come membro del portale con privilegi amministrativi.
L'URL della directory del portale è nel formato https://portal.domain.com/arcgis/portaladmin.
- Passare a Federazione > Server e fare clic su sul server da modificare.
- Fare clic su Aggiorna.
- Dal menu a discesa Ruolo server, scegliere Server federato con pubblicazione limitata.
- Fare clic su Aggiorna server.
Verranno visualizzati i gruppi [nome server federato]_Administrators e [nome server federato]_Publishers, nonché gli elementi corrispondenti nella pagina I miei contenuti. Questi saranno di proprietà del membro del portale che ha aggiornato il server.
Connettere a Server Manager
Puoi connetterti a ArcGIS Server Manager solo se il tuo account del portale è assegnato al ruolo di amministratore o di editore. Non è possibile accedere a Server Manager utilizzando un account assegnato al ruolo di spettatore o utente o un ruolo personalizzato. Non è nemmeno possibile accedere utilizzando l'account amministratore principale del sito. Quando ti connetti, usa un URL che usa HTTPS e include il nome di dominio completamente qualificato del server:
- Se ti connetti direttamente a ArcGIS Server, l'URL è formattato https://gisserver.domain.com:6443/arcgis/manager. Se il sito include più macchine, questo sarà l'URL della macchina che hai specificato per l'URL di amministrazione quando hai federato il tuo sito.
- Se ti connetti tramite ArcGIS Web Adaptor, devi assicurarti che l'accesso amministrativo sia abilitato su ArcGIS Web Adaptor. L'URL che usi per connetterti è formattato https://webadaptorhost.domain.com/webadaptorname/manager.
Se il portale è configurato con un archivio di identità integrato o con il Lightweight Directory Access Protocol (LDAP), devi fornire il nome utente e la password del tuo account del portale. Se il portale è configurato con Windows Active Directory, ti potrebbe essere richiesto di inserire le tue credenziali Windows o di accedere a Server Manager automaticamente.
Modificare il collegamento sul desktop per Server Manager
ArcGIS Server fornisce un collegamento sul desktop per ArcGIS Server Manager. L'URL di collegamento predefinito è formattato http://localhost:6080/arcgis/manager, che è un percorso valido finché il server non è stato federato a un portale ArcGIS Enterprise. Come notato nella sezione precedente, si accede a un server federato utilizzando il formato URL https://gisserver.domain.com:6443/arcgis/manager, il che significa che l'URL di collegamento predefinito risulta in un messaggio di errore di Invalid redirect_uri. Seguire questi passaggi per aggiornare il percorso del collegamento per un server federato:
- Nel menu Start di Windows del server federato, fai clic con il tasto destro del mouse sul collegamento di ArcGIS Server Manager, e clicca su Altro e su Apri posizione file.
- Nella finestra dell'utilità di gestione risorse che si apre, fare clic con il pulsante destro sull'elemento del collegamento ArcGIS Server Manager e selezionare nuovamente Apri posizione file.
Questo apre il collegamento alla cartella C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.
- Taglia l'elemento di collegamento Manager e incollalo sul tuo desktop.
L'elemento di collegamento Manager viene ora eliminato dalla sua posizione originale.
- Fai clic con il tasto destro sull'elemento incollato, apri Proprietà e modifica la proprietà URL in modo che l'URL utilizzi HTTPS e la porta 6443 per la connessione.
Per esempio, l'URL dovrebbe essere simile al seguente: ,https://gisserver.domain.com:6443/arcgis/manager dove gisserver.domain.com è il nome di dominio pienamente qualificato di una delle macchine del sito ArcGIS Server.
- Clicca su OK per applicare la modifica e chiudere la finestra delle proprietà.
- Taglia l'elemento di collegamento modificato e incollalo di nuovo nella cartella C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.
La voce di collegamento aprirà ArcGIS Server Manager ora dal menu Start di Windows.
Connetti ad ArcGIS Server in ArcGIS Pro
Quando ti connetti al portale in ArcGIS Pro, puoi scegliere il server federato quando pubblichi. Vedi Gestire le connessioni al portale da ArcGIS Pro e Introduzione alla condivisione dei layer web nella guida di ArcGIS Pro.
Connessione all'elenco degli amministratori di ArcGIS Server e all'elenco dei servizi
Quando ci si connette alla directory dell'amministratore di ArcGIS Server, potrebbe essere necessario fornire un token del portale. Nella pagina di accesso sono disponibili istruzioni su come ottenere tale token. Per ulteriori informazioni, consultare Accedere ad Administrator Directory su un server federato. In alternativa, puoi accedere usando l'account dell'amministratore del sito primario del server se ti connetti direttamente attraverso la porta 6080 o 6443.
Quando ci si connette alla Services Directory di ArcGIS Server, non è necessario fornire un token. Accedi usando le credenziali di un amministratore del portale. Non puoi accedere usando l'account dell'amministratore primario del sito.
Comportamento di un server di hosting del portale
Quando si designa un sito federato ArcGIS GIS Server per agire come server di hosting del portale, si fornisce agli editori la possibilità di creare tiles di mappe nella cache, servizi di feature e servizi di scene (tile layers, feature layers e scene layers). Questi utenti potrebbero non avere alcun prodotto ArcGIS sui loro computer; potrebbero semplicemente pubblicare i servizi caricando uno shapefile o un file .csv attraverso il sito web del portale; tuttavia, la pubblicazione mediante ArcGIS Pro è ancora un'opzione.
I servizi pubblicati direttamente sul portale sono servizi ospitati, e i servizi sono collocati in una cartella di ArcGIS Server chiamata Hosted sul server di hosting. In questo modo è possibile distinguere i servizi ospitati da quelli non ospitati.
Se elimini un elemento del layer ospitato nel portale, il servizio viene eliminato anche dal server di hosting. Allo stesso modo, se si elimina un elemento che fa riferimento a un servizio su un server federato, eliminando l'elemento dal portale si elimina il servizio. Questo vale sia per i servizi pubblicati sul server federato, sia per i servizi ospitati pubblicati direttamente sul portale.
La seguente tabella elenca i servizi ospitati supportati e i loro tipi di elementi:
tipo di servizio ArcGIS Server | Tipo di elemento portale |
---|---|
Map service memorizzato nella cache | |
Map service memorizzato nella cache con feature service | |
Feature service | |
Image service* | |
Scene Service | |
Servizio WFS | |
Servizio vector tile | |
Servizio del grafo della conoscenza** | Grafico di conoscenza |
*Il servizio di immagini che fa riferimento a un layer di immagini ospitato viene eseguito sul server di analisi raster del portale o sul server di hosting delle immagini, non sul server di hosting del portale.
**Il servizio di grafico di conoscenza a cui fa riferimento un grafico di conoscenza ospitato gira sul server di conoscenza del portale, non sul server di hosting del portale.
Quando si visualizzano e si modificano le proprietà del servizio ospitato in Server Manager, è disponibile solo un sottoinsieme di capacità o operazioni di ArcGIS Server. Per esempio, alcuni servizi non mostreranno le informazioni sull'istanza nella galleria dei servizi o nella scheda Pooling dei servizi in Server Manager.
Un server di hosting ha bisogno di spazio di archiviazione, CPU e memoria sufficienti per accogliere i servizi che ospiterà. Istruisci i tuoi editori a capire come i servizi impattano le risorse sul server di hosting, e controlla le metriche sulle macchine del server di hosting per evitare di superare la capacità.
Considerazioni per layer tile e processi di memorizzazione nella cache
I layer tile presentano particolari difficoltà dovute alla potenza di elaborazione necessaria per un singolo processo di memorizzazione nella cache di grandi dimensioni o per diversi processi simultanei. Se anche un solo autore del portale, che non ha ricevuto indicazioni in merito alla capacità del server, pubblicasse un layer tile in un'area di dimensioni enormi, invierebbe al server un processo di memorizzazione nella cache talmente pesante da utilizzare le risorse del portale per un lungo periodo di tempo.
Puoi potenzialmente mitigare l'effetto dei lavori di caching eseguendo il tuo servizio CachingTools in un cluster ArcGIS Server separato dagli altri servizi. Se ciò non è possibile, si può diminuire il numero di istanze del servizio CachingTools a cui è consentita l'esecuzione simultanea, lasciando così cicli di CPU disponibili per gli altri servizi.
È inoltre possibile limitare il numero di processi di memorizzazione nella cache che possono essere eseguiti contemporaneamente abbassando il numero massimo di istanze consentite per il servizio CachingControllers. Per impostazione predefinita, è possibile eseguire tre processi contemporaneamente.
Per ulteriori dettagli sulla modalità di assegnazione delle risorse del server ai processi di memorizzazione nella cache, vedere Allocazione di risorse di server per la memorizzazione nella cache.
Annullare la federazione di un server con il portale
Attenzione:
È possibile scorporare un sito ArcGIS Server dal portale, permettendo a ciascuno di continuare indipendentemente dall'altro. Tuttavia, lo scorporo di un sito ArcGIS Server ha diverse conseguenze significative e non dovrebbe essere fatto come parte della risoluzione dei problemi di routine. Tale operazione non può essere annullata facilmente e potrebbe avere conseguenze irreversibili. La rimozione di un server di hosting dal portale ArcGIS Enterprise rende inutilizzabili i layer web ospitati esistenti. La successiva aggiunta del server di hosting non ripristina la possibilità di utilizzare i servizi ospitati. Annullare la federazione di un sito solo se si è consapevoli delle conseguenze di tale azione.
Solo i siti che occupano un numero limitato di ruoli possono funzionare come siti ArcGIS Server indipendenti. Per esempio, i siti ArcGIS GeoAnalytics Server e i siti ArcGIS Knowledge Server non possono funzionare come siti a sé stanti, e lo scorporo li rende inutilizzabili.
L'annullamento della federazione richiede la seguente procedura:
- Elimina servizi
Se i servizi sono su un server di hosting, dovete cancellarli. Se i servizi sono su un server federato che può agire come un sito ArcGIS Server indipendente, puoi saltare questo passo.
- Se il server federato che vuoi rimuovere non è il server di hosting e i servizi che sono stati pubblicati su questo server federato non sono più necessari, puoi accedere a ArcGIS Server Manager come amministratore e cancellare i servizi.
- Se il server federato corrente è il server di hosting, effettuare l'accesso al Portale Web ed eliminare i layer Web ospitati pubblicati nel portale.
- Rimuovi il sito ArcGIS Server dal tuo portale, che ripristina il tuo archivio di sicurezza ArcGIS Server alle sue impostazioni predefinite e rimuove qualsiasi elemento del portale che proveniva dal server mentre era federato.
- Configura la sicurezza di ArcGIS Server per utilizzare gli archivi di utenti e ruoli desiderati.