リバース プロキシ サーバーとは、境界ネットワーク (DMZ (DeMilitarized Zone) またはスクリーン サブネットとも呼ばれる) 内に配置され、インターネットからのリクエストを処理して内部ネットワーク内のコンピューターに転送するコンピューターです。リバース プロキシ サーバーの代理としてリクエストの転送が実施されると、組織サイトのファイアウォールの内側にあるコンピューターのアイデンティティがマスクされるため、インターネット ユーザーによる直接的な攻撃から内部のコンピューターを保護できます。さらに進んでユーザーの内部ネットワークを外部ユーザーから保護するために、追加のセキュリティ機能をリバース プロキシ サーバーに実装できます。
リバース プロキシ サーバーへの Portal for ArcGIS の追加
組織のリバース プロキシ サーバーに Portal for ArcGIS を追加する前に、次の操作を完了する必要があります。
- リバース プロキシ サーバーに HTTPS (HTTPS および HTTPS、または HTTPS のみ) を構成します。Portal for ArcGIS では、一部の通信に対して HTTPS が必要です。プロキシ サーバーの製品マニュアルで、HTTPS の設定方法を確認してください。
- ArcGIS Server をポータルとフェデレートしている場合、サーバーのフェデレーションを解除 (削除) してから続行する必要があります。手順の詳細については、「ArcGIS Server サイトのポータルからの削除」をご参照ください。
- ポータルに ArcGIS Web Adaptor を構成します。Portal for ArcGIS では ArcGIS Web Adaptor を使用する必要があります。これを使用することにより、リバース プロキシ サーバーがポータルと正常に通信できるようになります。手順の詳細については、IIS、Java (Windows)または Java (Linux) の構成トピックをご参照ください。
フェデレーション サーバーを削除し、ArcGIS Web Adaptor を Portal for ArcGIS で構成した後、ArcGIS Web Adaptor を組織サイトのリバース プロキシ サーバーで使用するには、これらのコンポーネントをプロキシ サーバー ディレクティブに直接追加します。たとえば、リバース プロキシ サーバーとして Apache を使用している場合は、Apache Web サーバー構成ファイルの httpd.conf で、ProxyPass ディレクティブに ArcGIS Web Adaptor を追加する必要があります。
ProxyPass /arcgis https://webadaptor.domain.com/arcgis
ProxyPassReverse /arcgis https://webadaptor.domain.com/arcgis
ProxyPass ディレクティブは ArcGIS Web Adaptor に対して指定された名前と一致する必要があります (上の例では /arcgis)。サイトの URL の末尾がデフォルト文字列 /arcgis でない場合は、ArcGIS Web Adaptor のデフォルト以外の名前を指定します (たとえば /myorg)。
プロキシ サーバーが gzip エンコーディングをサポートしていることと、Accept-Encoding ヘッダーを許可するように構成されていることを確認します。このヘッダーによって、gzip エンコーディングを使用して HTTP 1.1 の応答を圧縮できるようになります。たとえば、このヘッダーが許可されている場合、マップ ビューアーを読み込むリクエストは、約 1.4MB の圧縮された応答をブラウザーに返します。このヘッダーが許可されていない場合や無視されている場合、リクエストは約 6.8MB の圧縮されていない応答をブラウザーに返します。ネットワーク速度が遅い場合、応答が圧縮されていないとマップ ビューアーを読み込むのに時間がかかる可能性があります。リバース プロキシ サーバー構成の一部として、このヘッダーを許可することを強くお勧めします。
ポータルの WebContextURL プロパティを設定します。これにより、Portal for ArcGIS はすべてのリソースで正しい URL を構築して、エンド ユーザーに送信することができます。次の手順で、WebContextURL を変更します。
- Web ブラウザーを開き、組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は、https://portal.domain.com:7443/arcgis/portaladmin です。
- [System] > [Properties] > [Update Properties] の順にクリックします。
- [Update System Properties] ダイアログ ボックスに次の JSON を挿入し、ユーザーが組織のファイアウォールの外部から参照する際に使用する独自のリバース プロキシ サーバーまたは DNS エイリアス URL に置き換えてください。
{ "WebContextURL": "https://reverseproxy.domain.com/myorg" }
- [Update Properties] をクリックします。
ポータルでリバース プロキシ サーバーの構成が完了した後は、ArcGIS Web Adaptor の URL の代わりに、リバース プロキシ サーバーの URL を介してポータルにアクセスします。ポータル Web サイトまたは ArcGIS Portal Directory にアクセスした場合、必ずリバース プロキシ サーバーの URL が返されます。
リバース プロキシ サーバーの URL を使用し、次の管理タスクをやり直す必要があります。
以前に、セキュリティで保護されたサービスをアイテムとしてポータルに追加している場合、元のアイテムを削除して、それらを再び追加する必要があります。これは、元のアイテムが、リバース プロキシ サーバーの URL ではなく ArcGIS Web Adaptor の URL を使用しているためです。手順については、「セキュリティで保護されたサービスへの接続」をご参照ください。