ArcGIS Server とポータルをフェデレートすることは、セキュリティを統合して、ポータルのモデルを 1 つまたは複数の ArcGIS Server サイトと共有する高度な構成です。次の操作を実行する場合を除いて、フェデレーションはオプションです。
- SAML (Security Assertion Markup Language) ID プロバイダーを使用してサイトを構成します。
- ポータルのメンバーによって公開されたタイル レイヤー、フィーチャ レイヤー、シーン レイヤーをホストします。
- Portal for ArcGIS マップ ビューアーで空間解析を実行することをポータルのメンバーに許可します。
このようにしてサーバーをポータルに追加することを、サーバーをポータルとフェデレートすると言います。ポータルに追加したサーバーは、フェデレーション サーバーです。
ArcGIS Server をポータルとフェデレートしたら、サーバーへのすべてのアクセスは、ポータルのセキュリティ ストアによって制御されます。これは、便利なサインオン操作を提供しますが、フェデレーションサーバーへのアクセスや管理に影響を与えます。たとえば、フェデレートすると、ArcGIS Server サービスで以前に構成したすべてのユーザー、ロール、および権限は利用できなくなります。代わりに、サービスへのアクセスは、ポータル メンバー、ロール、および共有権限によって決定されるようになります。フェデレートする前に、フェデレーションが既存のサイトに与える影響について、「フェデレーション サーバーの管理」の情報をご参照ください。
フェデレートすると、既存の ArcGIS Server サービスが、ポータル アイテムとして自動的に共有されます。これらのアイテムは、フェデレーションを実行する管理者によって所有されます。フェデレーションの実行後、必要に応じて、所有権を既存のポータル メンバーに再度割り当てることができます。それ以降、ArcGIS Server サイトで公開するアイテムは、自動的に Portal for ArcGIS でも共有されます。
フェデレート後は、必要に応じて、ポータルのメンバーが公開したキャッシュ マップ サービスやフィーチャ サービス、およびシーン サービス (タイル レイヤー、フィーチャ レイヤー、およびシーン レイヤー) をホストするために単一のサーバー サイトを指定できます。これにより、ポータルのメンバーは Portal for ArcGIS マップ ビューアーで空間解析を実行できるようになります。解析ツールは、サーバー上の一連のタスクとしてホストされます。これをポータルのホスティング サーバーの構成といいます。
フェデレートする ArcGIS Server サイトで Web 層認証を使用している場合、Portal for ArcGIS とフェデレートする前に Web 層認証 (基本認証またはダイジェスト認証) を無効化し、サイトで構成されている ArcGIS Web Adaptor に対する匿名アクセスを有効化する必要があります。これは、一見間違っているように感じられますが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取れるようにするために必要な操作です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。これで次の手順に進むことができます。
注意:
Portal for ArcGIS で組織のリバース プロキシ サーバーを使用する場合は、以下の手順を実行する前に、Portal for ArcGIS をリバース プロキシ サーバーに追加する必要があります。手順の詳細については、「Portal for ArcGIS でのリバース プロキシ サーバーの使用」をご参照ください。
ArcGIS Server サイトを Portal for ArcGIS とフェデレートするには、次の手順に従います。
- ArcGIS Server は、デフォルトで HTTP および HTTPS を使用して通信するように構成されています。Portal for ArcGIS はデフォルトで通信に HTTP および HTTPS を使用します。すべての通信で強制的に HTTPS を使用することも ([HTTPS only])、どちらかのプロトコルを選択して使用することも ([HTTP and HTTPS]) できます。次のシナリオを除いて、選択したプロトコルとポータルのプロトコルが同じでなくてもかまいません。
- 組織内のすべての通信に HTTPS が必要な場合、HTTPS のみを使用して通信するように ArcGIS Server と Portal for ArcGIS を構成する必要があります。
- サーバーをポータルのホスティング サーバーとして構成する場合は、選択した通信プロトコルとポータルのプロトコルを同じにする必要があります。たとえば、ポータルが [HTTPS only] の場合は、ホスティング サーバーを [HTTPS only] として設定する必要があります。ポータルが [HTTP and HTTPS] に対応している場合は、サーバーのプロトコルを [HTTP and HTTPS] に設定する必要があります。
ArcGIS Server の通信プロトコルの変更方法の詳細については、以下の手順をご参照ください。
- ArcGIS Server Administrator Directory を開き、管理者権限を持つユーザーとしてログインします。ArcGIS Server Administrator Directory の URL 形式は、https://gisserver.domain.com:6443/arcgis/admin です。
- [security] > [config] > [update] の順にクリックします。
- [Operation - update] ページで、[Protocol] ドロップダウン リストから、次のいずれかを選択します。
- 組織内のすべての通信に HTTPS が必要な場合は、[HTTPS only] を選択します。
- Portal for ArcGIS で統合 Windows 認証を使用する場合は、[HTTPS only] を選択する必要があります。
- [Update] をクリックします。
ArcGIS Server サイトが再起動します。先に進む前に、再起動が完了するのを待つ必要があります。
- ArcGIS Server Administrator Directory からログアウトします。
注意:
ArcGIS Web Adaptor がサイトの通信プロトコルの変更を認識するまで、約 1 分かかります。
レガシー:
10.2.1 以前のバージョンでは、ArcGIS Server の通信プロトコルの更新後に、ArcGIS Web Adaptor を再構成する必要がありました。10.2.2 以降のバージョンでは、この作業は必要なくなりました。
- 管理者として Portal for ArcGIS Web サイトにサイン インし、[組織] > [サイト設定] > [サーバー] の順に選択します。
この手順では、ArcGIS Web Adaptor の URL (https://webadaptor.domain.com/arcgis/home など) を介して Web サイトに接続する必要があります。ポート 7443 では内部 URL を使用できません。
- [サーバーの追加] をクリックします。
- 次の情報を入力します。
- [サービス URL] - ArcGIS Server サイトにアクセスするときに外部ユーザーが使用する URL。サイトに ArcGIS Web Adaptor がある場合は、この URL に ArcGIS Web Adaptor のアドレスが含まれます (例: http://webadaptor.domain.com/arcgis)。ArcGIS Server を組織のリバース プロキシ サーバーに追加している場合、この URL はリバース プロキシ サーバーのアドレスになります (例: http://reverseproxy.domain.com/myorg)。組織がすべての通信に HTTPS を求める場合、http の代わりに https プロトコルを使用します。
- [管理 URL] - 内部ネットワークで管理操作を実行する場合に ArcGIS Server へのアクセスに使用する URL (例: http://gisserver.domain.com:6080/arcgis)。組織でのすべての通信に HTTPS が必要な場合 (統合 Windows 認証を使用している場合など) は、https://gisserver.domain.com:6443/arcgis を使用します。
- [ユーザー名] - 最初に ArcGIS Server Manager にログインし、ArcGIS Server を管理するために使用されたプライマリ サイト管理者の名前。このアカウントが無効化されている場合、再び有効化する必要があります。
- [パスワード] - プライマリ サイト管理者のアカウントのパスワード。
- [追加] をクリックします。
- [保存] をクリックして、フェデレーション サーバーの設定を保存します。
サーバーをポータルとフェデレートしたら、https://gisserver.domain.com:6443/arcgis/manager などの URL を使用して ArcGIS Server Manager にログインします。サイトに複数の GIS サーバーが含まれている場合、URL は [管理 URL] で指定したコンピューターの URL になります。ポータルの管理者またはポータル アカウントの名前とパスワードを入力するよう求められます。フェデレーション サーバーを使用する場合、他にもさまざまな違いがあります。詳細については、「フェデレーション サーバーの管理」をご参照ください。
サーバーをポータルとフェデレートしたら、以下の操作を行うこともできます。
フェデレーション サーバーの 1 つをホスティング サーバーとして構成 - この操作により、ポータル ユーザーはポータルにサービスを公開できるようになります。この操作は、ポータル Web サイトで実行するか、ArcMap の [カタログ] ツリーにある [マイ ホスト サービス] ノードから実行することができます。
ポータルのホスティング サーバーを指定すると、ホスティング サーバーの印刷サービスが自動的にポータルに構成されます。印刷サービスを起動および共有して、そのサービスをポータルで使用するだけです。ただし、以前に印刷サービスをポータルに構成している場合、ホスティング サーバーの指定時にその URL は更新されません。サービスを起動して、サービスを共有し、ユーティリティ サービスとしてサービスを構成する必要があります。詳細については、「ユーティリティ サービスの構成」をご参照ください。
プライマリ サイト管理者アカウントの無効化 - この操作はすべてのサイトで必要なわけではありませんが、すべてのユーザーにポータル アカウントとトークンを強制的に使用させることで、セキュリティをさらに強化することができます。