ArcGIS Server サイトとポータルのフェデレーション
ArcGIS Server サイトとポータルのフェデレーションは、セキュリティを統合し、ポータルのモデルを 1 つまたは複数の ArcGIS Server サイトと共有する高度な構成です。次の場合を除いて、フェデレーションはオプションです。
- Security Assertion Markup Language (SAML) ID プロバイダーを使用してサイトを構成する。
- ポータルのメンバーが公開したホスト タイル レイヤー、フィーチャ レイヤー、およびシーン レイヤー。
このようにしてサーバーをポータルに追加する場合、サーバーをポータルとフェデレートすると言います。ポータルに追加したサーバーは、フェデレーション サーバーです。
ArcGIS Server をポータルとフェデレートしたら、サーバーへのすべてのアクセスは、ポータルのセキュリティ ストアによって制御されます。これは、便利なサインオン操作を提供しますが、フェデレーションサーバーへのアクセスや管理に影響を与えます。たとえば、フェデレートすると、ArcGIS Server サービスで以前に構成したすべてのユーザー、ロール、および権限は利用できなくなります。代わりに、サービスへのアクセスは、ポータル メンバー、ロール、および共有権限によって決定されるようになります。フェデレーションを実行する前に、「フェデレーション サーバーの管理」でフェデレーションが既存のサイトに与える影響に関する情報をご確認ください。
フェデレーションを実行すると、既存の ArcGIS Server サービスがポータル アイテムとして自動的に共有されます。これらのアイテムの所有者は、フェデレーションを実行した管理者になります。フェデレーションの実行後、必要に応じて所有権を既存のポータル メンバーに再度割り当てることができます。それ以降、ArcGIS Server サイトで公開するアイテムは、自動的に Portal for ArcGIS でも共有されます。
フェデレーションの実行が終了したら、必要に応じて、ポータルのメンバーが公開したキャッシュ マップ、フィーチャ サービス、およびシーン サービス (タイル レイヤー、フィーチャ レイヤー、およびシーン レイヤー) をホストする 1 つの ArcGIS Server サイトを指定できます。この操作をポータル用のホスティング サーバーの構成と呼んでいます。
フェデレートする ArcGIS Server サイトで Web 層認証を使用している場合、Portal for ArcGIS とフェデレートする前に Web 層認証 (基本認証またはダイジェスト認証) を無効化し、サイトで構成されている ArcGIS Web Adaptor に対する匿名アクセスを有効化する必要があります。これは、一見間違っているように感じられますが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取れるようにするために必要な操作です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。これで次の手順に進むことができます。
注意:
Portal for ArcGIS で組織のリバース プロキシ サーバーを使用する場合は、次の手順を実行する前に、Portal for ArcGIS をリバース プロキシ サーバーに追加する必要があります。手順の詳細については、「Portal for ArcGIS でのリバース プロキシ サーバーの使用」をご参照ください。
ArcGIS Server サイトを Portal for ArcGIS とフェデレートするには、次の手順に従います。
- デフォルトでは、ArcGIS Server は HTTP のみを使用して通信するように構成されています。これに対し、Portal for ArcGIS では、デフォルトで通信に HTTP と HTTPS が使用されています。ポータルとサーバー間の一部の通信では暗号化が必要になるため、HTTPS を使用して通信できるように ArcGIS Server サイトを更新する必要があります。すべての通信で強制的に HTTPS を使用することも ([HTTPS only])、どちらかのプロトコルを選択して使用することも ([HTTP and HTTPS]) できます。次のシナリオを除いて、選択したプロトコルとポータルのプロトコルが同じでなくてもかまいません。
- Portal for ArcGIS で統合 Windows 認証を使用する場合や組織内のすべての通信に HTTPS が必要な場合は、HTTPS のみを使用して通信するように ArcGIS Server と Portal for ArcGIS を設定する必要があります。
- サーバーをポータルのホスティング サーバーとして構成する場合は、選択した通信プロトコルとポータルのプロトコルを同じにする必要があります。たとえば、ポータルが [HTTPS only] の場合は、ホスティング サーバーを [HTTPS only] として設定する必要があります。ポータルが [HTTP and HTTPS] に対応している場合は、サーバーのプロトコルを [HTTP and HTTPS] に設定する必要があります。
ArcGIS Server の通信プロトコルの変更方法の詳細については、以下の手順をご参照ください。
- ArcGIS Server Administrator Directory を開き、管理者権限を持つユーザーとしてログインします。ArcGIS Server Administrator Directory の URL 形式は、http://gisserver.domain.com:6080/arcgis/admin です。
- [security] > [config] > [update] の順にクリックします。
- [Operation - update] ページで、[Protocol] ドロップダウン リストから、次のいずれかを選択します。
- 組織内のすべての通信に SSL が必要な場合は、[HTTPS only] を選択します。
- ポータルで統合 Windows 認証を使用する場合は、[HTTPS only] を選択する必要があります。
- 組織内のすべての通信には SSL (Secure Sockets Layer) または統合 Windows 認証が必要ない場合は、[HTTP and HTTPS] を選択します。
- [更新] をクリックします。
ArcGIS Server サイトが再起動します。先に進む前に、再起動が完了するのを待つ必要があります。
- ArcGIS Server Administrator Directory からログアウトします。
注意:
ArcGIS Web Adaptor がサイトの通信プロトコルの変更を認識するまで、約 1 分かかります。
レガシー:
10.2.1 以前のバージョンでは、ArcGIS Server の通信プロトコルの更新後に、ArcGIS Web Adaptor を再構成する必要がありました。10.2.2 以降のバージョンでは、この作業は必要なくなりました。
- 管理者として Portal for ArcGIS Web サイトにサイン インし、[組織] > [サイト設定] > [サーバー] の順に選択します。
この手順では、ArcGIS Web Adaptor の URL (https://webadaptor.domain.com/arcgis/home など) を介して Web サイトに接続する必要があります。ポート 7443 では内部 URL を使用できません。
- [サーバーの追加] をクリックします。
- 次の情報を入力します。
- [サービス URL] - ArcGIS Server サイトにアクセスするときに外部ユーザーが使用する URL。サイトに ArcGIS Web Adaptor がある場合は、この URL に ArcGIS Web Adaptor のアドレスが含まれます (例: http://webadaptor.domain.com/arcgis)。ArcGIS Server を組織のリバース プロキシ サーバーに追加している場合、この URL はリバース プロキシ サーバーのアドレスになります (例: http://reverseproxy.domain.com/myorg)。組織がすべての通信に SSL を求める場合、http の代わりに https プロトコルを使用します。
- [管理 URL] - 内部ネットワークで管理操作を実行する場合に ArcGIS Server へのアクセスに使用する URL (例: http://gisserver.domain.com:6080/arcgis)。組織でのすべての通信に SSL が必要な場合 (統合 Windows 認証を使用している場合など) は、https://gisserver.domain.com:6443/arcgis を使用します。
- [ユーザー名] - 最初に ArcGIS Server Manager にログインし、ArcGIS Server を管理するために使用されたプライマリ サイト管理者の名前。このアカウントが無効化されている場合、再び有効化する必要があります。
- [パスワード] - プライマリ サイト管理者のアカウントのパスワード。
- [追加] をクリックします。
- [保存] をクリックして、フェデレーション サーバーの設定を保存します。
サーバーをポータルとフェデレートしたら、https://gisserver.domain.com:6443/arcgis/manager などの URL を使用して ArcGIS Server Manager にログインします。サイトに複数の GIS サーバーが含まれている場合、URL は [管理 URL] で指定したコンピューターの URL になります。ポータルの管理者またはポータル アカウントの名前とパスワードを入力するよう求められます。フェデレーション サーバーを使用する場合、他にもさまざまな違いがあります。詳細については、「フェデレーション サーバーの管理」をご参照ください。
サーバーをポータルとフェデレートしたら、以下の操作を行うこともできます。
フェデレーション サーバーの 1 つをホスティング サーバーとして構成 - この操作により、ポータル ユーザーはポータルにサービスを公開できるようになります。この操作は、ポータル Web サイトで実行するか、ArcMap の [カタログ] ツリーにある [マイ ホスト サービス] ノードから実行することができます。
ポータルのホスティング サーバーを指定すると、ホスティング サーバーの印刷サービスが自動的にポータルに構成されます。印刷サービスを開始して共有し、そのサービスをポータルで使用するだけです。ただし、以前に印刷サービスをポータルに構成している場合、ホスティング サーバーの指定時にその URL は更新されません。サービスを起動して、サービスを共有し、ユーティリティ サービスとしてサービスを構成する必要があります。詳細については、「ユーティリティ サービスの構成」をご参照ください。
プライマリ サイト管理者アカウントの無効化 - この操作はすべてのサイトで必要なわけではありませんが、すべてのユーザーにポータル アカウントとトークンを強制的に使用させることで、セキュリティをさらに強化することができます。