ArcGIS Server サイトとポータルのフェデレートでは、セキュリティを統合し、ポータルのモデルを 1 つ以上の ArcGIS Server サイトと共有します。 次の操作を実行する場合を除いて、フェデレーションはオプションです。
- SAML (Security Assertion Markup Language) ID プロバイダーを使用してサイトを構成する。
- ホスト タイル レイヤー、フィーチャ レイヤー、およびシーン レイヤーがポータルのメンバーによって公開される。
- Map Viewer で空間解析を実行することをポータルのメンバーに許可する。
サーバーをポータルに追加することを、サーバーをポータルとフェデレートすると言います。 ユーザーのポータルに追加したサーバーは、フェデレーション サーバーと呼ばれます。
備考:
ホスティング サーバーを含む ArcGIS Enterprise 基本配置のエレメントは、すべてポータルと同じバージョンである必要があります。 すべての ArcGIS GeoEvent Server サイト、GeoAnalytics Server サイト、および ArcGIS Image Server ラスター解析サイトもポータルのバージョンと一致する必要があります。
ただし、バージョン 10.5 以降の ArcGIS Server サイトの中には、より新しいバージョンのポータルとフェデレートできるものもあります。 これは、ホスティング サーバー以外の追加の ArcGIS GIS Server サイトやラスター解析用に指定されていない ArcGIS Image Server にも当てはまります。 ArcGIS Server サイトは、サイト自体よりも前のバージョンのポータルとフェデレートすることはできません。
ArcGIS Server をポータルとフェデレートしたら、サーバーへのすべてのアクセスは、ポータルのセキュリティ ストアによって制御されます。 これにより、便利なサインオンを可能にしますが、フェデレーション サーバーへのアクセスや管理に影響を与えます。 たとえば、フェデレートすると、ArcGIS Server サービスで以前に構成したすべてのユーザー、ロール、および権限は利用できなくなります。 代わりに、サービスへのアクセスは、ポータル メンバー、ロール、および共有権限によって決定されるようになります。 フェデレートする前に、フェデレーションが既存のサイトに与える影響について、「フェデレーション サーバーの管理」の情報をご参照ください。
フェデレーションの実行時に ArcGIS Server サイトに存在するサービスは、アイテムとして自動的にポータルに追加されます。 これらのアイテムは、フェデレーションを実行するポータル管理者によって所有されます。 フェデレーションの実行後、ポータル管理者は、必要に応じて、既存のポータル メンバーにこれらのアイテムの所有権を再割り当てすることができます。 これ以降、フェデレーション サーバーに公開するアイテムはすべて、ポータル上にアイテムとして自動的に追加され、アイテムを公開するユーザーによって所有されます。
フェデレーションの実行後は、必要に応じて、単一のサーバー サイトをポータルのホスティング サーバーとして指定できます。 ポータルにホスティング サーバーが存在する場合に使用可能な機能の一覧については、「Portal for ArcGIS でのサーバーの使用について」の表をご参照ください。 フェデレーション サーバーの 1 つをポータルのホスティング サーバーとして指定する手順については、「ホスティング サーバーの構成」をご参照ください。
レガシー:
10.7.1 以降、ポータルのホスティング サーバーの管理されたデータベースは、リレーショナル ArcGIS Data Store でなければなりません。 エンタープライズ ジオデータベースを管理されたデータベースとして使用するサーバーは引き続きフェデレートできますが、これらをポータルのホスティング サーバーとして設定することはできません。
フェデレートする ArcGIS Server サイトで Web 層認証を使用している場合、Portal for ArcGIS とフェデレートする前に Web 層認証 (基本認証またはダイジェスト認証) を無効化し、サイトで構成されている ArcGIS Web Adaptor に対する匿名アクセスを有効化する必要があります。 これは、一見間違っているように感じられますが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取れるようにするために必要な操作です。 ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。 これで次の手順に進むことができます。
備考:
Portal for ArcGIS で組織のリバース プロキシ サーバーを使用する場合は、次の手順を実行する前に、Portal for ArcGIS をリバース プロキシ サーバーに追加する必要があります。 手順の詳細については、「Portal for ArcGIS でのリバース プロキシ サーバーの使用」をご参照ください。
ArcGIS Server サイトを Portal for ArcGIS とフェデレートするには、次の手順に従います。
- ワイルドカード セキュリティ証明書を使用する ArcGIS Server をフェデレートする場合、フェデレートする前に、ルート証明書をポータルにインポートします。 ポータルにフェデレーション サーバーのワイルドカード証明書しかない場合、証明書の CNAME の検証ができないため、サービスの公開および一部の操作の実行ができません。
- 管理者として Portal for ArcGIS Web サイトにサイン インし、[組織] > [設定] > [サーバー] の順に移動します。
この手順では、ArcGIS Web Adaptor の URL (https://webadaptorhost.domain.com/webadaptorname/home など) を介して Web サイトに接続する必要があります。 ポート 7443 では内部 URL を使用できません。
- [サーバーの追加] をクリックします。
- 次の情報を入力します。
- [サービス URL] - ArcGIS Server サイトにアクセスするときに外部ユーザーが使用する URL。 サイトに ArcGIS Web Adaptor がある場合は、この URL に ArcGIS Web Adaptor のアドレスが含まれます (例: http://webadaptorhost.domain.com/webadaptorname)。 ArcGIS Server を組織のリバース プロキシ サーバーに追加している場合、この URL はリバース プロキシ サーバーのアドレスになります (例: http://reverseproxy.domain.com/myorg)。 組織がすべての通信に HTTPS を求める場合、HTTP の代わりに HTTPS プロトコルを使用します。 フェデレーション操作では、指定された [サービス URL] がサーバー サイトからアクセス可能であるかどうかを確認するために整合チェックを実行します。 結果として整合チェックが失敗した場合、Portal for ArcGIS ログに警告が生成されます。 ただし、サービス URL にサーバー サイトからアクセスできないため (サーバー サイトがファイアウォールの内側にある場合など)、[サービス URL] が整合チェックされなかった場合、フェデレーションは失敗しません。
- [管理 URL] - 内部ネットワークで管理操作を実行する場合に ArcGIS Server へのアクセスに使用する URL (例: http://gisserver.domain.com:6080/arcgis)。 組織でのすべての通信に HTTPS が必要な場合 (統合 Windows 認証を使用している場合など) は、https://gisserver.domain.com:6443/arcgis を使用します。
備考:
複数コンピューターのサイトまたは可用性の高い ArcGIS Server とフェデレートする場合や、ArcGIS Server がクラウド環境にホスティングされている場合は、代わりに ArcGIS Web Adaptor またはロード バランサーの URL をこのフィールドに使用します。 [管理 URL] 設定は、サーバーの 1 つが利用できないときでもポータルがサイト内のすべてのサーバーとの通信に使用できる URL でなければなりません。 この URL に ArcGIS Web Adaptor を使用する場合は、ArcGIS Web Adaptor を介したサーバーへの管理アクセスが有効化されていることを確認します。
- [ユーザー名] - 最初に ArcGIS Server Manager にサイン インし、ArcGIS Server を管理するために使用されたプライマリ サイト管理者の名前。 このアカウントが無効化されている場合、再び有効化する必要があります。
- [パスワード] - プライマリ サイト管理者のアカウントのパスワード。
- [追加] をクリックします。
- [Save] をクリックして、フェデレーション サーバーの設定を保存します。
サーバーをポータルとフェデレートしたら、https://gisserver.domain.com:6443/arcgis/manager などの URL を使用して ArcGIS Server Manager にサイン インします。 サイトに複数の ArcGIS Server コンピューターが含まれている場合、URL は [管理 URL] 設定で指定したコンピューターの URL になります。 ポータルの管理者またはポータル アカウントの名前とパスワードを入力するよう求められます。 フェデレーション サーバーを使用する場合、他にもさまざまな違いがあります。詳細については、「フェデレーション サーバーの管理」をご参照ください。
サーバーをポータルとフェデレートしたら、以下の操作を行うこともできます。
フェデレーション サーバーの 1 つをホスティング サーバーとして構成 - この操作により、ポータル ユーザーはポータルにホスト レイヤーを公開できるようになります。 この操作は、ポータル Web サイトで実行するか、ArcMap の [カタログ] ツリーにある [マイ ホスト サービス] ノードから実行するか、ArcGIS Pro から実行できます。
ポータルのホスティング サーバーを指定すると、ホスティング サーバーの印刷サービスが自動的にポータルに構成されます。 印刷サービスを開始して共有し、そのサービスをポータルで使用するだけです。 ただし、以前に印刷サービスをポータルに構成している場合、ホスティング サーバーの指定時にその URL は更新されません。 サービスを起動して、サービスを共有し、ユーティリティ サービスとしてサービスを構成する必要があります。
プライマリ サイト管理者アカウントの無効化 - この操作はすべてのサイトで必要なわけではありませんが、すべてのユーザーにポータル アカウントとトークンを強制的に使用させることで、セキュリティをさらに強化することができます。