Skip To Content

Portal for ArcGIS でのリバース プロキシ サーバーの使用

リバース プロキシ サーバーとは、境界ネットワーク (DMZ (DeMilitarized Zone) またはスクリーン サブネットとも呼ばれる) 内に配置され、インターネットからのリクエストを処理して内部ネットワーク内のコンピューターに転送するコンピューターです。リバース プロキシ サーバーの代理としてリクエストの転送が実施されると、組織サイトのファイアウォールの内側にあるコンピューターのアイデンティティがマスクされるため、インターネット ユーザーによる直接的な攻撃から内部のコンピューターを保護できます。さらに進んでユーザーの内部ネットワークを外部ユーザーから保護するために、追加のセキュリティ機能をリバース プロキシ サーバーに実装できます。

リバース プロキシ サーバーが状態チェック機能に対応している場合は、Portal for ArcGIS の状態チェック エンド ポイントを使用して、ポータルがリクエストを受け取れるかどうかを確認できます。これは、サイトでソフトウェアまたはハードウェアの障害があるかどうかを迅速に確認する場合に便利です。詳細については、ArcGIS REST API のポータルの「Health Check」トピックをご参照ください。

リバース プロキシ サーバーへの Portal for ArcGIS の追加

組織のリバース プロキシ サーバーに Portal for ArcGIS を追加する前に、次の操作を完了する必要があります。

  • リバース プロキシ サーバーに HTTPS (HTTP および HTTPS、または HTTPS のみ) を構成します。Portal for ArcGIS では、一部の通信に対して HTTPS が必要です。プロキシ サーバーの製品マニュアルで、HTTPS の設定方法を確認してください。
  • ArcGIS Server をポータルとフェデレートしている場合、サーバーのフェデレーションを解除 (削除) してから続行する必要があります。手順の詳細については、「ArcGIS Server サイトのポータルからの削除」をご参照ください。
  • ポータルで統合 Windows 認証を使用する場合、ArcGIS Web Adaptor をポータルに構成します。このため、Portal for ArcGIS では ArcGIS Web Adaptor を使用する必要があります。これを使用することにより、リバース プロキシ サーバーがポータルと正常に通信できるようになります。手順の詳細については、IISJava (Windows) または Java (Linux) の構成トピックをご参照ください。

フェデレーション サーバーを削除し、ArcGIS Web AdaptorPortal for ArcGIS で構成した後、ArcGIS Web Adaptor を組織サイトのリバース プロキシ サーバーで使用するには、これらのコンポーネントをプロキシ サーバー ディレクティブに直接追加します。たとえば、リバース プロキシ サーバーとして Apache を使用している場合は、Apache Web サーバー構成ファイルの httpd.conf で、ProxyPass ディレクティブに ArcGIS Web Adaptor を追加する必要があります。

ProxyPass /arcgis https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /arcgis https://webadaptorhost.domain.com/webadaptorname

ProxyPass ディレクティブは ArcGIS Web Adaptor に対して指定された名前と一致する必要があります (上の例では /webadaptorname)。サイトの URL の末尾がデフォルト文字列 /arcgis でない場合は、ArcGIS Web Adaptor のデフォルト以外の名前を指定します (たとえば /myorg)。

プロキシ サーバーが gzip エンコーディングをサポートしていることと、Accept-Encoding ヘッダーを許可するように構成されていることを確認します。このヘッダーによって、gzip エンコーディングを使用して HTTP 1.1 の応答を圧縮できるようになります。たとえば、このヘッダーが許可されている場合、マップ ビューアーを読み込むリクエストは、約 1.4 MB の圧縮された応答をブラウザーに返します。このヘッダーが許可されていない場合や無視されている場合、リクエストは約 6.8 MB の圧縮されていない応答をブラウザーに返します。ネットワーク速度が遅い場合、応答が圧縮されていないとマップ ビューアーを読み込むのに時間がかかる可能性があります。リバース プロキシ サーバー構成の一部として、このヘッダーを許可することを強くお勧めします。

ポータルの WebContextURL プロパティを設定します。これにより、Portal for ArcGIS はすべてのリソースで正しい URL を構築して、エンド ユーザーに送信することができます。次の手順で、WebContextURL を変更します。

  1. Web ブラウザーを開き、ポータル組織のデフォルトの管理者ロールのメンバーとして、ArcGIS Portal Directory にサイン インします。URL の形式は、https://portal.domain.com:7443/arcgis/portaladmin です。
  2. [System] > [Properties] > [Update Properties] の順にクリックします。
  3. [Update System Properties] ダイアログ ボックスに次の JSON を挿入し、ユーザーが組織のファイアウォールの外部から参照する際に使用する独自のリバース プロキシ サーバーまたは DNS エイリアス URL に置き換えてください。
    {
       "WebContextURL": "https://reverseproxy.domain.com/myorg"
    }
  4. [Update Properties] をクリックします。

ポータルでリバース プロキシ サーバーの構成が完了した後は、ArcGIS Web Adaptor の URL の代わりに、リバース プロキシ サーバーの URL を介してポータルにアクセスします。ポータル Web サイトまたは ArcGIS Portal Directory にアクセスした場合、必ずリバース プロキシ サーバーの URL が返されます。

リバース プロキシ サーバーの URL を使用し、次の管理タスクをやり直す必要があります。

以前に、セキュリティで保護されたサービスをアイテムとしてポータルに追加している場合、元のアイテムを削除して、それらを再び追加する必要があります。これは、元のアイテムが、リバース プロキシ サーバーの URL ではなく ArcGIS Web Adaptor の URL を使用しているためです。手順については、「セキュリティで保護されたサービスへの接続」をご参照ください。