ArcGIS Server サイトを ArcGIS Enterprise ポータルとフェデレートすることを予定している場合、フェデレート後に ArcGIS Server サイトの管理方法が変わることに注意してください。 フェデレーション サーバーを管理する場合の主な違いについて、以下で説明します。
セキュリティの違い
ArcGIS Server サイトをポータルとフェデレートすると、サーバーへのすべてのアクセスがポータルのセキュリティ ストアによって制御されます。 これは、フェデレーション サーバーのアクセス方法と管理方法に影響を与えます。
ユーザー、ロール、権限
フェデレートすると、ArcGIS Server サービスで以前に構成したすべてのユーザー、ロール、および権限は利用できなくなります。 代わりに、サービスへのアクセスは、ポータル メンバー、ロール、および共有権限によって決定されるようになります。
ArcGIS Server と同様に、Portal for ArcGIS はユーザー、公開者、管理者レベルの権限を提供します。 ポータルは、制限された権限のセットを持つ閲覧者ロールも提供します。 ポータルには、フェデレーション サーバーによってユーザー ロールと見なされるカスタム ロールが追加されます。 フェデレーション サーバーをエンド ユーザーに公開する前に、ポータル内のこれらの権限を設定および確認する必要があります。
フェデレーション時に、既存のすべての ArcGIS Server Web サービスのアイテムが、ポータル内に自動的に作成されます。 これらのアイテムは、フェデレーションを実行する管理者によって所有されます。 フェデレーションの実行後、必要に応じて、所有権を既存のポータル メンバーに再度割り当てることができます。 フェデレーション後にポータルに追加されたすべてのアイテムまたはサービスは、それらを作成したメンバーによって明示的に所有されます。
フェデレーション時に、サーバーへのアクセスを隔離する機能は削除されます。 たとえば、組み込みの公開者のメンバーであるユーザーは、任意のフェデレーション サーバーで公開できます。 ただし、フェデレーション サーバーのセキュリティ構成を更新して、管理アクセスおよび公開者アクセスを制限することができます。 詳細については、下の「フェデレーション サーバーの詳細なアクセス制御」をご参照ください。
閲覧者ロール
このロールが割り当てられたメンバーは、ArcGIS Server サービスに接続して使用することができます。 フェデレーション サーバーに閲覧者アカウントで接続すると、そのアカウントが属するグループで共有されたサービスを表示したり、使用したりことができます。 閲覧者ロールは、ポータル Web サイトのカスタマイズされたビューを表示したり、組織サイトのマップ、アプリ、レイヤー、ツールを使用したり、組織が所有するグループに加入することができます。 ビューアー ロールには、アイテムを作成、共有、または所有する権限がありません。
ユーザー ロール
このロールが割り当てられたメンバーは、ArcGIS Server サービスに接続して使用することができます。 フェデレーション サーバーにユーザーアカウントで接続すると、そのアカウントが属するグループで共有されたサービスを表示したり、使用したりことができます。 ユーザー ロールは、ポータル Web サイトのカスタマイズされたビューを表示したり、組織サイトのマップ、アプリ、レイヤー、ツールを使用したり、組織が所有するグループに加入することができます。 また、ユーザー ロールはマップとアプリケーションの作成、アイテムの追加、コンテンツの共有、およびグループの共有も実行できます。
公開者ロール
公開者ロールでは、自身がポータルで作成したサービスのみを削除および変更することができます。 公開者ロールでは、他の公開者のサービスを変更したり削除したりすることはできません。 ただし、公開者ロールには、ユーザー権限が含まれており、他の公開者が共有しているレイヤーを使用できます。
公開者権限を持つすべてのユーザーは、任意のフェデレーション サーバーで公開できます。 フェデレーション サーバーで公開されたサービスは、アイテムとして自動的にポータルに追加されます。 ポータルで直接公開されたホスト サービスは、ポータルではアイテムとして表示され、ホスティング サーバーではサービスとして表示されます。
管理者ロール
管理者ロールには、ユーザー権限と公開者権限が含まれており、フェデレーション サーバーでホストされているすべてのサービスに対する権限を持っています。 管理者ロールは、ポータルおよびポータルのすべてのメンバーを管理する権限も持っています。 ポータルには少なくとも 1 人の管理者が存在している必要があります。 ただし、組織の管理者の数に制限はありません。 たとえば、ポータルに 5 人のメンバーが存在する場合に、5 人のメンバー全員を管理者にすることもできます。
カスタム ロール
カスタム ロールには、管理者によって定義された特定の権限のセットが含まれています。 たとえば、カスタム ロールが割り当てられたメンバーが、コンテンツは作成できるけれどもグループは作成できない、といったこともありえます。あるいは、フィーチャは公開できるけれども、タイルは公開できない、ということも考えられます。 メンバーがフェデレートされた ArcGIS Server サイトでサービスを公開できるようにするには、ロールに一般コンテンツの [サーバーベース レイヤーの公開] 権限を割り当てる必要があります。
いずれかの管理権限でカスタム ロールを作成すると、ArcGIS Server は、そのロールのメンバーに限定的な管理権限を付与します。 このメンバーは、あらゆるタイプのサービスを ArcGIS Server に直接公開するほか、すべてのサービスを表示、アクセスすることができます。 メンバーに管理者としての権限を付与するカスタム ロールを作成する場合、セキュリティ上の危険がないか、あらかじめ検討してください。
フェデレーション サーバーの詳細なアクセス制御
フェデレーション サーバーを更新して、公開アクセスおよび管理アクセスを制限できます。 更新しても、すべてのポータル管理者は、サーバーに対する管理権限を引き続き持っています。 デフォルトでは、公開者権限を持つポータル メンバー自身に対しては、サーバーに対する公開アクセス権限は付与されません。 代わりに、サーバーへの公開者アクセスは、[フェデレーション サーバー名]_Publishers という名前のグループまたは [フェデレーション サーバー名]_Publishers という名前のアイテムによって制御されます。 サーバーに対する公開者権限を取得するには、[フェデレーション サーバー名]_Publishers グループのメンバーであるか、[フェデレーション サーバー名]_Publishers アイテムが共有されているグループのメンバーである必要があります。 同様に、サーバーへの追加管理アクセスは、[フェデレーション サーバー名]_Administrators という名前のグループまたは [フェデレーション サーバー名]_Administrators という名前のアイテムによって制御されます。 サーバーに対する管理アクセス権限を取得するには、ポータル メンバーは、このグループのメンバーであるか、このアイテムが共有されているグループのメンバーである必要があります。
詳細なアクセス制御は、ArcGIS Portal Directory で構成されます。 サーバーをポータルとフェデレートしたら、以下の手順に従ってサーバーを更新し、この制御を有効にします。
- 管理権限を持つポータル メンバーで ArcGIS Portal Directory にサイン インします。
ArcGIS Portal Directory の URL の形式は、https://portal.domain.com/arcgis/portaladmin です。
- [Federation] > [Servers] の順に移動し、編集するサーバーをクリックします。
- [Update] をクリックします。
- [Server role] ドロップダウン メニューで、[Federated Server With Restricted Publishing] を選択します。
- [Update Server] をクリックします。
これで、[フェデレーション サーバー名]_Administrators グループと [フェデレーション サーバー名]_Publishers グループ、および対応するアイテムが、[マイ コンテンツ] ページに表示されます。 これらは、サーバーを更新したポータル メンバーに所有されます。
Server Manager への接続
使用している Portal for ArcGIS アカウントが管理者ロールまたは公開者ロールに割り当てられている場合にのみ、ArcGIS Server Manager に接続できます。 閲覧者ロール、ユーザー ロールまたはカスタム ロールに割り当てられたアカウントを使用して Server Manager にサイン インすることはできません。 サイトのプライマリ サイト管理者のアカウントを使用してログインすることもできません。 接続する場合、サーバーの完全修飾ドメイン名を含み、HTTPS を使用している URL を使用します。
- ArcGIS Server に直接接続する場合、URL の形式は https://gisserver.domain.com:6443/arcgis/manager です。 サイトに複数のコンピューターが含まれている場合、この URL が、サイトをフェデレートしたときに [管理 URL] として指定したコンピューターの URL になります。
- ArcGIS Web Adaptor を通じて接続する場合、ArcGIS Web Adaptor で管理アクセスが有効になっていることを確認する必要があります。 接続に使用する URL の形式は、https://webadaptorhost.domain.com/webadaptorname/manager です。
Portal for ArcGIS が組み込みのアイデンティティ ストアまたは LDAP (Lightweight Directory Access Protocol) を使用して構成されている場合、Portal for ArcGIS のアカウントのユーザー名とパスワードを入力する必要があります。 Portal for ArcGIS が Windows Active Directory を使用して構成されている場合、Windows の認証情報の入力を要求されるか、自動的に Server Manager にログインされます。
Server Manager のデスクトップ ショートカットの変更
ArcGIS Server は、ArcGIS Server Manager のデスクトップ ショートカットを提供します。 デフォルトのショートカット URL の形式は「http://localhost:6080/arcgis/manager」です。これは、サーバーが ArcGIS Enterprise ポータルとフェデレートされていない限り有効なパスです。 上記のセクションで説明したように、フェデレーション サーバーにアクセスするには、URL 形式「https://gisserver.domain.com:6443/arcgis/manager」を使用します。すなわち、デフォルトのショートカット URL を使用すると、Invalid redirect_uri というエラー メッセージが表示されます。 フェデレーション サーバーのショートカット パスを更新するには、次の手順を実行します。
- フェデレーション サーバーの Windows のスタート メニューで、ArcGIS Server Manager のショートカットを右クリックし、[その他] をクリックして、[ファイルの場所を開く] をクリックします。
- ファイル エクスプローラー ウィンドウが開いたら、ArcGIS Server Manager のショートカット アイテムを右クリックし、もう一度 [ファイルを開く場所] を選択します。
これにより、フォルダー C:\Program Files\Common Files\ArcGIS\Support\Shortcuts でショートカット リンクが開きます。
- [Manager] のショートカット アイテムを切り取り、デスクトップに貼り付けます。
[Manager] のショートカット アイテムが元の場所から削除されました。
- 貼り付けたアイテムを右クリックし、[プロパティ] を開き、URL が HTTPS とポート 6443 を使用するように [URL] プロパティを変更します。
たとえば、URL は https://gisserver.domain.com:6443/arcgis/manager のようになります。gisserver.domain.com は、ArcGIS Server サイト内にある 1 台のコンピューターの完全修飾ドメイン名です。
- [OK] をクリックして変更を適用し、プロパティ ウィンドウを閉じます。
- 変更したショートカット アイテムを切り取り、C:\Program Files\Common Files\ArcGIS\Support\Shortcuts フォルダーにまた貼り付けます。
これで、ショートカット アイテムにより、Windows のスタート メニューから ArcGIS Server Manager が開くようになります。
ArcGIS Pro でのサーバーへの接続
ArcGIS Pro でポータルに接続するとき、公開時のフェデレーション サーバーを選択できます。 ArcGIS Pro ヘルプの「ArcGIS Pro からのポータル接続の管理」および「Web レイヤーの共有の概要」をご参照ください。
ArcGIS Server Administrator Directory および ArcGIS Server Services Directory への接続
ArcGIS Server Administrator Directory に接続する際、場合によってはポータル トークンを入力する必要があります。 ログイン ページに、このトークンを取得する方法の手順が表示されます。 詳細については、「フェデレーション サーバー上での ArcGIS Server Administrator Directory へのアクセス」をご参照ください。 または、ポート 6080 または 6443 を介して直接接続する場合、サーバーのプライマリ サイト管理者のアカウントを使用してサイン インできます。
ArcGIS Server Services Directory に接続する場合、トークンを入力する必要はありません。 ポータル管理者の認証情報を使用してサイン インします。 プライマリ サイト管理者のアカウントを使用してサイン インすることはできません。
ポータルのホスティング サーバーの動作
フェデレートされた ArcGIS GIS Server サイトをポータルのホスティング サーバーとして機能するように指定する場合は、公開者に対して、キャッシュ マップ タイル、フィーチャ サービス、シーン サービス (タイル レイヤー、フィーチャ レイヤー、シーン レイヤー) を作成する機能を提供します。 これらのユーザーは、自分のコンピューターに ArcGIS 製品がなくても、シェープ ファイルまたは *.csv ファイルをポータル Web サイトからアップロードするだけでサービスを公開できます。ただし、ArcGIS Pro を使用した公開も、引き続き可能です。
ポータルに直接公開するサービスはホスト サービスであり、ホスティング サーバー上の「[Hosted]」という名前の ArcGIS Server フォルダーに配置されます。 これにより、ホストされたサービスとホストされていないサービスを識別することができます。
ポータルでホストされたレイヤー アイテムを削除した場合、そのサービスもホスティング サーバーから削除されます。 同様に、フェデレーション サーバー上のサービスを参照するアイテムを削除する場合、ポータルからそのアイテムを削除すると、サービスも削除されます。 これは、フェデレーション サーバーに公開されたサービスと、ポータルに直接公開されたホスト サービスの両方に当てはまります。
次の表に、サポートされているホスト サービスとそのアイテム タイプを示します。
ArcGIS Server のサービス タイプ | ポータルのアイテム タイプ |
---|---|
キャッシュ マップ サービス | |
キャッシュ マップ サービスとフィーチャ サービス | |
フィーチャ サービス | |
イメージ サービス* | |
シーン サービス | |
WFS サービス | |
ベクター タイル サービス | |
ナレッジ グラフ サービス** | ナレッジ グラフ |
*ホスト イメージ レイヤーが参照するイメージ サービスは、ポータルのホスティング サーバーではなく、ポータルのラスター解析サーバーまたはイメージ ホスティング サーバーで実行されます。
**ホストされたナレッジ グラフが参照するナレッジ グラフ サービスは、ポータルのホスティング サーバーではなく、ポータルのナレッジ サーバーで実行されます。
Server Manager でホスト サービスのプロパティを表示および編集する場合は、ArcGIS Server の機能または操作のサブセットだけを使用できます。 たとえば、一部のサービスでは、Server Manager のサービス ギャラリーまたはサービスの [プール] タブにインスタンス情報が表示されません。
ホスティング サーバーは、ホストするサービスを処理するのに十分な格納領域、CPU、およびメモリを搭載している必要があります。 ホスティング サーバー上のリソースにサービスが及ぼす影響を理解させるために公開者にトレーニングを施すとともに、キャパシティーを超えないようにメトリクスを監視します。
タイル レイヤーとキャッシュ ジョブに関する注意事項
タイル レイヤーは、1 つの大きなキャッシュ ジョブや多くの同時ジョブによって多くの処理キャパシティーを消費する可能性があるため、注意する必要があります。 広大な範囲を扱う大縮尺のタイル レイヤーを公開することによって、1 人のトレーニングを受けていない Portal for ArcGIS の公開者が非常に大規模なキャッシュ ジョブをサーバーに送信し、長時間にわたって Portal for ArcGIS のリソースを消費してしまう可能性があります。
このキャッシュ ジョブの影響は、他のサービスとは別の ArcGIS Server クラスターで [CachingTools] サービスを実行することで軽減できる可能性があります。 これができない場合は、一度に実行できる CachingTools サービスのインスタンス数を減らして、他のサービスが使用できる CPU サイクルを確保することができます。
また、[CachingControllers] サービスが使用できる最大インスタンス数を減らすことで、一度に実行できるキャッシュ ジョブの数を制限することもできます。 デフォルトでは、同時に実行できるジョブの数は 3 つです。
サーバー リソースをキャッシュ ジョブに割り当てる方法の詳細については、「サーバー リソースのキャッシュへの割り当て」をご参照ください。
ポータルからのフェデレーション サーバーの解除
注意:
ArcGIS Server サイトをポータルからフェデレーション解除することが可能であり、これにより、各サーバーを他のサーバーと独立して引き続き運用できます。 ただし、ArcGIS Server サイトをフェデレーション解除するといくつか重大な影響があるので、日常的なトラブルシューティングの一環として実施するべきではありません。 取り消して元の状態に戻すのも困難です。 ホスティング サーバーを ArcGIS Enterprise ポータルから削除すると、既存のホスト Web レイヤーは使用不可能になります。 ホスティング サーバーを再び追加しても、ホスト サービスは使用可能な状態に戻りません。 どのような影響があるか完全に把握していない限り、サイトをフェデレーション解除するのは避けてください。
スタンドアロンの ArcGIS Server サイトとして実行できるのは、限られた数の役割を果たすサイトのみです。 たとえば、ArcGIS GeoAnalytics Server サイトと ArcGIS Knowledge Server サイトは、スタンドアロン サイトとして機能できないため、これらのサイトをフェデレーション解除すると使用不可能になります。
フェデレーション解除には、次の手順が必要です。
- サービスを削除します。
サービスがホスティング サーバー上にある場合、それらのサービスを削除する必要があります。 サービスがスタンドアロンの ArcGIS Server サイトとして機能できるフェデレーション サーバー上にある場合は、このステップをスキップすることができます。
- 削除するフェデレーション サーバーがホスティング サーバーでなく、このフェデレーション サーバーで公開されたサービスが不要になった場合、ArcGIS Server Manager に管理者としてサイン インして、それらのサービスを削除できます。
- このフェデレーション サーバーがホスティング サーバーである場合、ポータル Web サイトにサイン インし、ポータルで公開されたホスト Web レイヤーを削除します。
- Portal for ArcGIS から ArcGIS Server サイトを削除します。これにより、ArcGIS Server のセキュリティ ストアがデフォルト設定に戻り、ArcGIS Server がフェデレートされていたときにサーバーから取得されたポータル アイテムがすべて削除されます。
- 目的のユーザーとロール ストアを使用できるように、ArcGIS Server のセキュリティを構成します。