フェデレーションのプロセスにより、ArcGIS Server のサイトが ArcGIS Enterprise とリンクされ、組織の機能が拡張されて、サーバー サイトのコンテンツが組織と自動的に共有されます。
ArcGIS Enterprise の基本デプロイメントを実行するには、ArcGIS GIS Server サイトをフェデレートし、ホスティング サーバーとして構成する必要があります。
既存のスタンドアロン ArcGIS Server サイトとポータルのフェデレートを検討している場合は、以下を確認してください。
- ArcGIS Server をポータルとフェデレートしたら、サーバーへのすべてのアクセスは、ポータルのセキュリティ ストアによって制御されます。 これは、便利なサイン イン操作を提供しますが、フェデレーション サーバーへのアクセスや管理に影響を与えます。 たとえば、フェデレートすると、ArcGIS Server サービスで以前に構成したすべてのユーザー、ロール、権限は利用できなくなります。 代わりに、サービスへのアクセスは、ポータル メンバー、ロール、および共有権限によって決定されるようになります。 フェデレートする前に、フェデレーションが既存のサイトに与える影響について、「フェデレーション サーバーの管理」の情報をご参照ください。
- フェデレーションの実行時に ArcGIS Server サイトに存在するサービスは、アイテムとして自動的にポータルに追加されます。 これらのアイテムは、フェデレーションを実行するポータル管理者によって所有されます。 フェデレーションの実行後、ポータル管理者は、必要に応じて、既存のメンバーにこれらのアイテムの所有権を再割り当てすることができます。 これ以降、フェデレーション サーバーに公開するアイテムはすべて、ポータル上にアイテムとして自動的に追加され、アイテムを公開するユーザーによって所有されます。
前提条件
サーバー サイトをポータルとフェデレートする際、ほとんどの場合は、バージョンを一致させる必要があります。 サーバー サイトが次のいずれかの場合、以前のバージョンでサーバーをフェデレートできます。
- ホスティング サーバー サイトとして指定されていない ArcGIS GIS Server サイト。 ホスティング サーバー サイトはポータルのバージョンと一致する必要があります。
- ラスター解析サイトまたはイメージ ホスティング サイトとして指定されていない ArcGIS Image Server サイト。 ラスター解析サイトとイメージ ホスティング サイトはポータルのバージョンと一致する必要があります。
注意:
廃止されたソフトウェア バージョンでは、新しいバージョンとの互換性は保証されません。 以前のバージョンで ArcGIS GIS Server または ArcGIS Image Server をフェデレートする場合、そのバージョンは、テクニカル サポートを受けるための製品ライフサイクル ポリシーに従ってサポートされる必要があります。
正常にフェデレートするには、ArcGIS Server サイトがポート 7443 を経由したポータルへの直接的なネットワーク アクセス権を持つ必要があります。 サーバーとポータルの間でネットワーク トラフィックを管理したり指示したりするように、フォワード プロキシを構成することはできません。
Web 層認証 (IWA、PKI クライアント証明書認証など) を使用するサーバーとのフェデレーションがサポートされています。 このプロセスに必要なのは、管理 URL が Web 層認証を使用してはならないということだけです。 通常これは、ポート 6443 を経由する URL https://gisserver.example.com:6443/arcgis を使用することによって行われます。 フェデレーション中に、サービスの URL を検証できなかったということを示す警告メッセージが返されることがあります。 これは、サービスの URL が Web 層認証を使用している場合に発生すると予想されます。
サーバー サイトの追加
サーバーをユーザーの組織に追加することを、ポータルとフェデレートすると言います。 ユーザーの組織に追加したサーバーは、フェデレーション サーバーと呼ばれます。 サーバー サイトを追加するには、次の手順に従います。
- 管理 URL の TLS 証明書が組織で信頼されているか、URL のホスト名が含まれているかを確認してください。
ArcGIS Server をフェデレートする場合、管理 URL に使用される TLS 証明書は、組織から完全に信頼されているか、URL のホスト名が Common Name (CN) または Subject Alternative Name (SAN) として含まれている必要があります。 これらの条件のいずれかが満たされていない場合、フェデレーション処理は失敗します。
たとえば、管理 URL で、ドメイン CA のようにあまり知られていない認証局によって署名されたワイルドカード証明書を使用している場合が考えられます。ワイルドカード証明書には通常、URL のホスト名が SAN として含まれていないため、組織は証明書に署名した CA を信頼する必要があります。 そのため、フェデレーションの前に、ルート証明書および中間証明書が存在する場合はその証明書を組織にインポートする必要があります。
- デフォルトの管理者またはサーバーの設定を管理するための管理権限を持つカスタム ロールとして ArcGIS Enterprise 組織サイトにサイン インします。
Web Adaptor の URL (https://webadaptorhost.example.com/webadaptorname/home など) を介して Web サイトに接続する必要があります。 ポート 7443 では内部 URL を使用できません。
- サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
- ページの左側にある [サーバー] をクリックします。
- [サーバー サイトの追加] をクリックします。
- 表示される [サーバー サイトのフェデレート] ページで、次の情報を入力します。
- [サービス URL] - スキーマ、ホスト、および単一レベルのコンテキストで構成されるサーバー サイトにアクセスするときに外部ユーザーが使用する URL。 組織サイトの URL と同じルールに従う必要があります。 サイトに ArcGIS Web Adaptor がある場合は、この URL に ArcGIS Web Adaptor のアドレスが含まれます (例: http://webadaptorhost.example.com/webadaptorname)。 ArcGIS Server を組織のリバース プロキシ サーバーに追加している場合、この URL はリバース プロキシ サーバーのアドレスになります (例: http://reverseproxy.example.com/myorg)。 組織がすべての通信に HTTPS を求める場合、HTTP の代わりに HTTPS プロトコルを使用します。 フェデレーション操作では、指定された [サービス URL] がサーバー サイトからアクセス可能であるかどうかを確認するために検証を実行します。 検証が失敗した場合、ポータル ログに警告が生成されます。 ただし、サービス URL にサーバー サイトからアクセスできないため (サーバー サイトがファイアウォールの内側にある場合など)、[サービス URL] が検証されなかった場合、フェデレーションは失敗しません。
- [管理 URL] - 内部ネットワークで管理操作を実行するときに、サーバー サイトにアクセスするために使用する URL。 [管理 URL] の形式は、追加されるサーバーのタイプによって異なります。
- GIS Server、Image Server、Workflow Manager Server、GeoEnrichment Server、または Knowledge Server - https://server.example.com:6443/arcgis
- Notebook Server - https://notebookserver.example.com:11443/arcgis
- Mission Server - https://missionserver.example.com:20443/arcgis
注意:
複数コンピューターのサイトまたは可用性の高いArcGIS Server とフェデレートする場合や、ArcGIS Server がクラウド環境にホスティングされている場合は、代わりに ArcGIS Web Adaptor またはロード バランサーの URL をこのフィールドに使用します。 [管理 URL] 設定は、サーバーの 1 つが利用できないときでもポータルがサイト内のすべてのサーバーとの通信に使用できる URL でなければなりません。 この URL に ArcGIS Web Adaptor を使用する場合は、ArcGIS Web Adaptor を介したサーバーへの管理アクセスが有効化されていることを確認します。
- [ユーザー名] - 最初にサーバー サイトにサイン インし、そのサーバー サイトを管理するために使用されたプライマリ サイト管理者のユーザー名。 このアカウントが無効になっている場合は、もう一度有効にする必要があります。
- [パスワード] - プライマリ サイト管理者のアカウントのパスワード。
- [次へ] をクリックして、サーバー サイトをフェデレートします。
サーバー サイトのフェデレートには多少時間がかかることがあります。
- 必要に応じて、[サーバー ロールの構成] ページで切り替えボタンを使用して、フェデレーション サーバー サイトで構成するサーバー ロールを選択します。
サーバー サイトがサーバー ロールの要件を満たしていれば、そのサイトに複数のサーバー ロールを構成することができます。 要件が満たされていない場合は、[要件が満たされていません] をクリックして詳細を確認するか、目的のサーバー ロールの要件を確認します。 サーバー ロールを設定しない場合は、[完了] をクリックしてこの手順をスキップすることができます。 フェデレーション サーバー サイトの [サーバー ロールの構成] オプションを使用して、後からサーバー ロールを構成することができます。
- [サーバー ロールの保存] をクリックします。
サーバー サイトはポータルとフェデレートされており、選択されている場合は、サーバー ロールで構成されています。 サーバー サイトは、[サーバー] ページの [フェデレーション サーバー サイト] セクションに表示されます。
フェデレートした後の注意事項
サーバー サイトを組織サイトとフェデレートしたら、https://gisserver.example.com:6443/arcgis/manager などの URL を使用して ArcGIS Server Manager にサイン インします。 サイトに複数のコンピューターが含まれているか、[管理 URL] として Web Adaptor が使用された場合は、正しい権限を持つユーザーが、フェデレーション時に定義された [管理 URL] を介して ArcGIS Server Manager にアクセスできます。 ポータル アカウントの名前とパスワードを入力するよう求められます。 フェデレーション サーバーを使用する場合の相違点の詳細については、「フェデレーション サーバーの管理」をご参照ください。
サーバー サイトをフェデレートしたら、以下の操作を行うこともできます。
フェデレーション サーバーの 1 つをホスティング サーバーとして構成 - この操作により、ユーザーはホスト レイヤーを公開できるようになります。 これは、ポータルまたは ArcGIS Pro から実行できます。
ポータルのホスティング サーバーを指定すると、ホスティング サーバーの印刷サービスが自動的にポータルに構成されます。 印刷サービスを開始して共有し、そのサービスをポータルで使用するだけです。 ただし、以前に印刷サービスをポータルに構成している場合、ホスティング サーバーの指定時にその URL は更新されません。 サービスを起動して、サービスを共有し、ユーティリティ サービスとしてサービスを構成する必要があります。
プライマリ サイト管理者アカウントの無効化 - この操作はすべてのサイトで必要なわけではありませんが、すべてのユーザーにポータル アカウントとトークンを強制的に使用させることで、セキュリティをさらに強化することができます。