ArcGIS GeoEvent Server を Enterprise ポータルとフェデレートする際には、次のようないくつかの技術的な考慮事項あります。
- ArcGIS Server は、基本となる ArcGIS Enterprise のコア コンポーネントです。
- 各種ライセンス ロールを適用することで、ArcGIS Server の各機能がロック解除されます。
- ArcGIS Server の高度なサーバー ロールの 1 つに、ArcGIS GeoEvent Server があります。
ArcGIS Server のインスタンスを Enterprise ポータルとフェデレートすると、そのインスタンスには 1 つまたは複数のサーバー ロールのライセンスが付与されます。 高度なサーバー ロールとしての ArcGIS GeoEvent Server は、Enterprise ポータルとフェデレート可能なコンポーネントではありません。 GeoEvent Server が下で実行されている ArcGIS Server をフェデレートすることができます。 これは、GeoEvent Server をフェデレートする理由について検討する際に理解しておくべき、わずかではありますが重要な違いです。
GeoEvent Server が動作している ArcGIS Server をフェデレートすると、ArcGIS GeoEvent Manager へのサイン イン方法および GeoEvent Server に登録されるデフォルトのサーバー接続の両方に影響します。 詳細については、「GeoEvent Server で使用するアカウント」をご参照ください。
サービスのセキュリティ保護
ArcGIS Server で使用されるセキュリティと共有のモデルは、Portal for ArcGIS で使用されるモデルとは異なります。 フェデレートすることを決定した場合、まず第一に、サービスのセキュリティ保護と共有をどのようにして行うかについて検討します。
フェデレーションによって、Enterprise ポータルのセキュリティと共有のモデルが ArcGIS Server サイトに組み込まれます。 フェデレートした後は、ArcGIS Server Manager を使用して権限を制御したりサービスをセキュリティ保護したりすることができなくなります。 サービス アクセス権限とサービス レイヤー共有のプロパティが Enterprise ポータルのコンテンツ アイテム マネージャーで更新されます。
Enterprise ポータルとフェデレートしていない ArcGIS Server は、組み込みアイデンティティ ストアを使用して認証と承認を管理します。 Server Manager でセキュリティ保護されていない、公開しているサービスは、サーバーの REST Services Directory へのアクセス権を持つクライアントによってパブリックに検出可能です。
Enterprise ポータルのコンテンツ アイテムは、ArcGIS Server の Web サービスとは異なり、指定ユーザーによって所有されます。 グループのメンバーなど、Enterprise ポータルの他のメンバーと共有されている場合を除き、Enterprise ポータルに追加されたコンテンツ アイテムにアクセスできるのは、そのコンテンツ アイテムの所有者だけです。
ArcGIS Server および Portal for ArcGIS のセキュリティと共有の詳細については、次のトピックをご参照ください。
シングル サインオン
フェデレーションによってシングル サインオン (SSO) が可能になります。 Web セッションのコンテキストでは通常、ユーザーに対して認証情報の再入力が求められません。 フェデレートしている場合、既存の認証済みセッションで新しいタブを開いて ArcGIS GeoEvent Manager を起動すると、GeoEvent Manager に自動的にサイン インします。
場合によっては、Enterprise ポータルの管理を GeoEvent Server の構成から切り離すため、システム管理者はフェデレートしないことを選択できます。 その場合、Enterprise ポータルの管理者のロールが割り当てられている指定ユーザーは、同じ認証情報を使用して GeoEvent Manager にサイン インして管理操作を実行することができなくなります。
時空間データ ストア
時空間データ ストアが Enterprise ポータルのホスティング サーバーに登録されているかどうかを検出するため、ArcGIS GeoEvent Server は Enterprise ポータルへの登録済みの ArcGIS Enterprise タイプのサーバー接続を必要とします。 時空間データ ストアにアクセスするためにフェデレーションは必要ありません。 フェデレートすると、GeoEvent Server のデフォルト サーバー接続が Enterprise ポータルに切り替わるため、時空間データ ストアの検出と使用がさらに自動化されます。
システム管理者のなかには、GeoEvent Server でのデフォルト サーバー接続をローカル (リアルタイム) サーバーに設定することを好む管理者もいます。 このような管理者は、構成しているユース ケースが従来のリレーショナル データベースでサポートされるかどうかや、時空間データ ストアを使用する必要があるかどうかを判断し、時空間データ ストアにアクセスする場合には Enterprise ポータルに登録されている接続を選択することを好みます。 このアプローチは、フェデレートされていない環境でのみ可能です。
時空間データ ストアの詳細については、「時空間データ ストアの管理」をご参照ください。
コンテンツ作成とサービス公開の効率化
管理者は通常、ArcGIS GeoEvent Manager のデフォルトの登録済みサーバー接続を使用して、新しいフィーチャ サービスを公開します。 フェデレートされると、GeoEvent Manager のデフォルト サーバー接続は ArcGIS Server 接続から ArcGIS Enterprise 接続に切り替わります。 登録済みサーバー接続が Enterprise ポータルに設定されているため、Enterprise ポータルのホスティング サーバーで使用可能な、管理されたジオデータベースを使用できます。
システム管理者のなかには、公開されているすべてのフィーチャ サービスをホスティング サーバー上の 1 つの ArcGIS REST Services Directory によってカタログ化することで、データベースの保守作業とサービスの検出を効率化することを好む管理者もいれば、 (リアルタイム データが含まれていない) 従来のマップ サービスとフィーチャ サービスを、データがリアルタイムで更新されるフィーチャ サービスとは切り離して管理することを好む管理者もいます。
後者の管理者は GeoEvent Server を実行するライセンスを持つ ArcGIS Server に従来のリレーショナル データベースを登録します。 この後、リアルタイム データやワークフローに関連付けられているフィーチャ サービスを、Enterprise ポータルのホスティング サーバーではなくローカル サーバーに公開します。 この場合、ArcGIS Server は Enterprise ポータルとフェデレートされず、GeoEvent Server 管理者はデフォルト接続を使用してローカル サーバー上のサービスにアクセスします。 Enterprise ポータルによってホストされているサービスやコンテンツ アイテムにアクセスするには、ArcGIS Enterprise ポータルのホスティング サーバーへの別個のサーバー接続が使用されます。
ストリーム サービスの使用
ArcGIS GeoEvent Manager でストリーム サービスを公開する場合、登録済みサーバー接続は、ArcGIS GeoEvent Server を実行するライセンスが付与された ArcGIS Server への ArcGIS Server 接続でなければなりません。 フェデレートされると、GeoEvent Server のデフォルト サーバー接続は Enterprise ポータルに設定されるため、これは当てはまりません。
Enterprise ポータルに設定されたサーバー接続を選択し、ストリーム サービスを公開するようにリクエストすることも可能ですが、GeoEvent Server は、選択されたサーバーはリクエストされたタイプのサービスを公開するためには使用できないことを特定して、リクエスト元にサービス公開リクエストを返すことによってエラー状態を処理する必要があります。 この場合は通常、ストリーム サービスは Enterprise ポータルのホスティング サーバーではなくローカル (リアルタイム) サーバーに公開されるため、ユーザーが何らかの操作を行う必要はありません。 ただし、サービスがなぜ他のサーバーではなくそのサーバーに公開されているのか十分に理解されていない場合、これは混乱の原因となります。 Enterprise ポータルのホスティング サーバーの REST Services Directory でサービスの検出を試みるクライアント アプリケーションは、ホスティング サーバーのカタログ内でストリーム サービスを見つけることはありません。 外部クライアントは、ストリーム サービスを検出したり、ストリーム サービスの WebSocket に登録してブロードキャストされているフィーチャ レコードを受信したりする際に、問題が生じることがあります。
ストリーム サービスのアーカイブ機能と関連フィーチャ機能を考慮して、システム管理者によっては、ストリーム サービスによって参照されているフィーチャ サービスはすべて、Enterprise ポータルのホスティング サーバー上で公開するのではなく、ローカル (リアルタイム) サーバー上で管理することを好む場合があります。 一部のデプロイメントでは、フェデレートしないで、デフォルト サーバー接続をローカル サーバーに設定し、この接続を使用してストリーム サービスとストリーム サービスによって参照されるフィーチャ サービスの両方を公開した方が簡単な場合があります。
ストリーム サービスの詳細については、「ストリーム サービス」をご参照ください。
カスタム セキュリティ構成
システム アーキテクチャによってクライアント層または Web 層の一部のセキュリティ エレメントが統合されている場合、ArcGIS Server が Enterprise ポータルにフェデレートされているときに、サーバー コンピューター間で送信される通常のクライアント/サーバー リクエストのルートが変更されることがあります。 あるコンピューター上で実行している ArcGIS Server にクライアントが送信したリクエストが、別のコンピューター上で実行している Portal for ArcGIS を経由することがあります。 リクエストに応じる前に必要な認証が失われたり、ArcGIS Enterprise の外部のセキュリティ エレメントによって想定どおりに処理されなかったりすることがあります。
特定のセキュリティ構成とフェデレーションが競合する場合、ArcGIS Enterprise のデプロイメントに対応するようにシステム アーキテクチャを手直しするよりもフェデレートしない方が簡単な場合があります。