Jeśli planujesz sfederować serwer ArcGIS Server z portalem ArcGIS Enterprise, pamiętaj, że sposób administrowania serwerem ArcGIS Server zmieni się po sfederowaniu. Kluczowe różnice w administrowaniu serwera sfederowanego są wymienione poniżej.
Różnice w zakresie zabezpieczeń
Po sfederowaniu serwera ArcGIS Server z portalem całym dostępem do serwera steruje magazyn zabezpieczeń portalu. Ma to także wpływ na sposób uzyskiwania dostępu do serwera sfederowanego i administrowania nim.
Użytkownicy, role i uprawnienia
Sfederowanie powoduje unieważnienie wszystkich użytkowników, ról i uprawnień skonfigurowanych wcześniej w usługach ArcGIS Server. Dostęp do usług jest wówczas określany w oparciu o członków portalu, grupy oraz uprawnienia udostępniania.
Podobnie jak ArcGIS Server portal oferuje następujące poziomy uprawnień: Użytkownik, Publikujący oraz Administrator. Portal udostępnia także rolę Przeglądający o ograniczonym zestawie uprawnień. Portal dodatkowo zawiera rolę niestandardową, która jest traktowana przez serwer sfederowany jako rola użytkownika. Należy skonfigurować i sprawdzić te uprawnienia w swoim portalu przed udostępnieniem serwera sfederowanego użytkownikom końcowym.
Podczas federowania elementy są automatycznie tworzone w portalu dla wszystkich istniejących usług internetowych ArcGIS Server. Te elementy stanowią własność administratora przeprowadzającego federację. Po federacji własność może zostać przypisana do obecnych członków portalu według potrzeb. Wszelkie elementy albo usługi dodane do portalu po federacji są własnością członka, który je utworzył.
Po federacji zostaje wyeliminowana możliwość identyfikacji dostępu. Na przykład każdy użytkownik z uprawnieniami publikującego może publikować na dowolnym serwerze sfederowanym. Jednak można zmienić ustawienia bezpieczeństwa serwera sfederowanego, aby ograniczyć dostęp administratora i publikującego. Aby uzyskać więcej szczegółów, zobacz Szczegółowa kontrola dostępu do serwera sfederowanego.
Rola Przeglądający
Członkowie, którym przypisano tę rolę, mogą łączyć się z serwerem ArcGIS Server i korzystać z jego usług. Po połączeniu przeglądającego z serwerem sfederowanym wszelkie usługi udostępniane przeglądającemu albo grupie, której członkiem jest przeglądający, mogą być wyświetlane i używane. Przeglądający mają dostęp do niestandardowego widoku witryny internetowej portalu i mogą używać map, aplikacji, warstw oraz narzędzi instytucji, a także dołączać do należących do niej grup. Przeglądający nie mają uprawnień do tworzenia i udostępniania elementów, ani do bycia ich właścicielami.
Rola użytkownika
Członkowie, którym przypisano tę rolę, mogą łączyć się z serwerem ArcGIS Server i korzystać z jego usług. Po połączeniu użytkownika z serwerem sfederowanym, wszelkie usługi udostępniane użytkownikowi albo grupie, której członkiem jest użytkownik mogą być wyświetlane i używane. Użytkownicy mają dostęp do niestandardowego widoku witryny portalu i mogą używać map, aplikacji, warstw oraz narzędzi instytucji, a także dołączać do należących do niej grup. Użytkownicy mają również możliwość tworzenia map i aplikacji, dodawania elementów, udostępniania zasobów oraz formowania grup.
Rola publikującego
Publikujący mogą pracować tylko z usługami, które utworzyli w portalu. Nie mogą zmieniać ani usuwać usług opublikowanych przez inne osoby. Na przykład przy połączeniu z serwerem sfederowanym w aplikacji ArcMap wyświetlą się tylko usługi opublikowane przez osobę publikującą. Osoby publikujące posiadają uprawnienia użytkownika i mogą również wykonywać analizę na warstwach map.
Każdy, kto posiada uprawnienia publikującego może publikować na dowolnym serwerze sfederowanym. Usługi publikowane na serwerze sfederowanym są dodawane automatycznie do portalu jako elementy. Usługi hostowane publikowane bezpośrednio w portalu pojawiają się jako elementy w portalu i jako usługi na serwerze hostującym.
Rola administratora
Administratorzy posiadają uprawnienia użytkownika i osoby publikującej oraz mają dostęp do wszystkich usług hostowanych przez serwer sfederowany. Administratorzy mają również uprawnienia zarządzania portalem i wszystkimi jego członkami. Portal musi mieć co najmniej jednego administratora. Nie ma jednak żadnych limitów odnośnie tego ile osób może administrować w ramach jednej instytucji. Na przykład, jeżeli portal ma pięciu członków, każdy z nich może być administratorem.
Rola niestandardowa
Rola niestandardowa obejmuje określony zestaw uprawnień zdefiniowany przez administratora. Na przykład członkowie z rolą niestandardową mogą tworzyć zasoby, ale nie mogą tworzyć grup. Mogą oni publikować obiekty, ale nie kafle. W wersji 10.5.1 i starszych użytkownik pełniący rolę niestandardową z dowolnym uprawnieniem do publikowania (obiektów, kafli lub scen) mógł tworzyć inne typy usług ArcGIS Server. W wersji 10.6 wprowadzono uprawnienie Publikowanie warstw z serwera, które jest wymagane do publikowania usług bezpośrednio na serwerze ArcGIS Server.
Jeśli rola niestandardowa została utworzona z dowolnymi uprawnieniami administracyjnymi, serwer ArcGIS Server przyznaje członkom o tej roli ograniczony dostęp administracyjny. Dotyczy to także uprawnień do publikowania usług dowolnego typu bezpośrednio na serwerze ArcGIS Server i możliwości przeglądania wszystkich usług oraz uzyskiwania do nich dostępu. Przed utworzeniem dla dowolnego członka roli niestandardowej z uprawnieniami administracyjnymi należy rozważyć zagrożenia związane z bezpieczeństwem.
Szczegółowa kontrola dostępu do serwera sfederowanego.
Możesz tak zaktualizować serwer sfederowany, aby ograniczyć dostęp do publikowania i administrowania. Po aktualizacji wszyscy administratorzy portalu będą posiadać uprawnienia administracyjne ma serwerze. Członkowie portalu z uprawnieniami osoby publikującej nie otrzymają domyślnego dostępu do publikowania na serwerze. Zamiast tego dostęp do publikowania na serwerze jest kontrolowany przez grupę o nazwie [federated server name]_Publikujący lub element [federated server name]_Publikujący. Aby uzyskać uprawnienia publikowania na serwerze, członek portalu musi albo być członkiem grupy [federated server name]_Publikujący albo członkiem grupy, w której został udostępniony element [federated server name]_Publikujący. Podobnie dodatkowy dostęp administratora do serwera jest kontrolowany przez grupę o nazwie [federated server name]_Administratorzy lub element [federated server name]_Administratorzy. Członek portalu musi być albo członkiem tej grupy lub członkiem grupy, w której został udostępniony element, aby uzyskać dostęp administracyjny do serwera.
Szczegółowa kontrola dostępu jest konfigurowana przez ArcGIS Portal Directory. Po sfederowaniu serwera z portalem wykonuj etapy wymienione poniżej, aby zaktualizować serwer i umożliwić tę kontrolę.
- Zaloguj się do ArcGIS Portal Directory jako członek portalu z uprawnieniami administratora. Adres URL Portal Directory ma format https://portal.domain.com/arcgis/portaladmin.
- Przejdź do sekcji Serwery > sfederowane i kliknij serwer, który chcesz edytować.
- Kliknij przycisk Update (Aktualizuj).
- W rozwijanym menu Rola serwera wybierz Serwer sfederowany z ograniczoną możliwością publikowania.
- Kliknij polecenie Aktualizuj serwer.
Możesz teraz zobaczyć grupy [nazwa serwera sfederowanego]_Administratorzy i [nazwa serwera sfederowanego]_Publikujący oraz odpowiednie elementy na stronie Moje zasoby. Będą one własnością członka portalu, który dokonał aktualizacji serwera.
Połącz z aplikacją Manager
Połączenie z aplikacją ArcGIS Server Manager można nawiązać tylko za pomocą konta z rolą administratora lub publikującego. Nie możesz zalogować się do aplikacji Manager przy użyciu konta przypisanego do roli przeglądającego lub użytkownika. Nie możesz się również zalogować, używając głównego konta administratora serwera. Podczas nawiązywania połączenia należy skorzystać z adresu URL protokołu HTTPS i zawierającego w pełni kwalifikowaną nazwę domeny serwera:
- W przypadku nawiązywania bezpośredniego połączenia z ArcGIS Server adres URL ma format https://gisserver.domain.com:6443/arcgis/manager. Jeżeli witryna zawiera wiele serwerów GIS, będzie to adres URL urządzenia określonego dla opcji Adres URL administratora przy integrowaniu swojej witryny.
- Jeżeli połączenie jest nawiązywane za pomocą aplikacji ArcGIS Web Adaptor, należy się upewnić, że w aplikacji ArcGIS Web Adaptor włączono dostęp administracyjny. Adres URL używany do nawiązania połączenia ma format https://webadaptorhost.domain.com/webadaptorname/manager.
Jeżeli portal został skonfigurowany tak, aby korzystać z wbudowanego magazynu tożsamości bądź z protokołu LDAP (ang. Lightweight Directory Access Protocol), konieczne jest podanie nazwy użytkownika i hasła powiązanych z kontem portalu.
Modyfikuj skrót Menedżera na pulpicie
Serwer ArcGIS Server dostarcza skrótu umieszczanego na pulpicie dla Menedżera serwera ArcGIS Server. Domyślny skrót URL ma format http://localhost:6080/arcgis/manager, który jest prawidłową ścieżką, o ile serwer nie został sfederowany z portalem ArcGIS Enterprise. Jak podano w powyższej sekcji, sfederowany serwer jest dostępny pod adresem URL o formacie https://gisserver.domain.com:6443/arcgis/manager, co oznacza, że domyślny skrót URL powoduje wyświetlenie komunikatu o błędzie Invalid redirect_uri. Postępuj zgodnie z tymi etapami, aby zaktualizować ścieżkę skrótu dla sfederowanego serwera:
- Znajdź plik skrótu w folderze <ArcGIS Server installation directory>/Support/Shortcuts.
- Otwórz plik skrótu Menedżera serwera ArcGIS Server w preferowanym programie do edycji. Powinien mieć następującą postać, chociaż w Twojej przeglądarce internetowej może się różnić:
[Desktop Entry] Comment=ArcGIS Server Manager Encoding=UTF-8 Exec=firefox localhost:6080/arcgis/manager Icon=web-browser Name=ArcGIS Server Manager Terminal=false Type=Application Keywords=arcgis;esri; - Zmodyfikuj adres URL w wierszu Exec zgodnie z formatem https://gisserver.domain.com:6443/arcgis/manager.
- Zapisz wprowadzone zmiany i zakończ działanie programu.
Teraz element skrótu będzie otwierać Menedżera serwera ArcGIS Server za pomocą zaktualizowanego adresu URL.
Połączenie z serwerem w oprogramowaniu ArcGIS Desktop
W oprogramowaniu ArcGIS Desktop połączenie z serwerem można nawiązać za pomocą dowolnego konta portalu, na przykład konta z rolą przeglądającego, użytkownika, publikującego lub administratora. Połączenie z serwerem można również nawiązać przy użyciu konta głównego administratora serwera z poziomu serwera ArcGIS Server.
Notatka:
Z poziomu aplikacji ArcGIS Server mogą się łączyć z serwerem ArcGIS Pro wyłącznie użytkownicy i dlatego, nawet po podaniu konta publikującego lub konta administratora, nie można publikować w serwerze ArcGIS Server ani nim administrować z poziomu aplikacji ArcGIS Pro. Aby nawiązać połączenie publikującego lub administratora z klientem aplikacji ArcGIS Desktop, należy użyć aplikacji ArcMap.
Podczas podawania Adresu URL serwera w momencie nawiązywania połączenia z serwerem za pomocą kreatora Dodaj ArcGIS Server należy podać adres URL protokołu HTTPS zawierający w pełni kwalifikowaną nazwę domeny serwera:
- W przypadku nawiązywania bezpośredniego połączenia z ArcGIS Server adres URL ma format https://gisserver.domain.com:6443/arcgis.
- Jeżeli połączenie jest nawiązywane za pomocą aplikacji ArcGIS Web Adaptor przez użytkownika pełniącego rolę publikującego bądź administratora, należy upewnić się, że w aplikacji Web Adaptor włączono dostęp administracyjny. Adres URL używany do nawiązania połączenia ma format https://webadaptorhost.domain.com/webadaptorname/manager.
Jeżeli portal został skonfigurowany tak, aby korzystać z wbudowanego magazynu tożsamości bądź z protokołu LDAP (ang. Lightweight Directory Access Protocol), konieczne jest podanie nazwy użytkownika i hasła powiązanych z kontem portalu. Jeżeli chcesz nawiązać połączenie z ArcGIS Server za pomocą konta głównego administratora witryny, podaj poświadczenia dla konta.
Połączenie z katalogami ArcGIS Server Administrator Directory i Services Directory
Podczas łączenia się z katalogiem ArcGIS Server konieczne może być podanie tokena portalu. Strona logowania zawiera instrukcje dotyczące uzyskania tego tokena. Więcej informacji można znaleźć w części Uzyskiwanie dostępu do katalogu Administrator Directory z poziomu serwera sfederowanego. Ewentualnie możesz się zalogować, używając konta głównego administratora serwera, jeżeli łączysz się bezpośrednio przez port 6080 lub 6443.
Podczas łączenia się z katalogiem ArcGIS Server Services Directory nie trzeba podawać tokena. Możesz się zalogować, używając danych logowania do portalu. Logowanie nie będzie możliwe przy użyciu konta głównego administratora witryny.
Zachowanie serwera hostującego portalu
Zdefiniowanie serwera sfederowanego, aby pracował także jako serwer hostujący portalu zapewnia portalowi potężne zaplecze. Umożliwia to wszystkim użytkownikom portalu posiadającym przynajmniej uprawnienia publikującego do publikowania map kafelkowych, usług obiektowych i usług scen (warstwy kafli i warstwy obiektowe i warstwy scen). Nie muszą oni posiadać na swoich komputerach żadnych produktów ArcGIS. Mogą po prostu publikować usługi, wczytując plik shape lub CSV w witrynie portalu, jednak publikowanie za pomocą aplikacji ArcMap jest nadal możliwe.
Wszystkie usługi publikowane przez użytkowników portalu bezpośrednio w portalu są usługami hostowanymi i są umieszczone w folderze ArcGIS Server o nazwie Hostowane. W ten sposób można śledzić, które usługi są usługami hostowanymi, a które nie.
Usunięcie usługi w portalu powoduje usunięcie jej również z serwera. Dotyczy to zarówno usług publikowanych na serwerze sfederowanym, jak i usług hostowanych publikowanych bezpośrednio w portalu.
Notatka:
Przed wersją 10.6.1 usunięcie niehostowanej usługi z portalu nie powodowało automatycznego usunięcia tej usługi z serwera sfederowanego. Hostowane usługi były automatycznie usuwane z serwera po ich usunięciu z portalu.
Rodzaje usług wymienione w folderze Hostowane różnią się od tych w innych folderach na serwerze. Ma to na celu dopasowanie określonych typów elementów, które są wyświetlane w portalu ArcGIS Enterprise. W poniższej tabeli przedstawiono wszystkie obsługiwane hostowane usługi i ich zaktualizowane rodzaje elementów:
| Typ usługi ArcGIS Server | Hostowany folder / typ elementu portalu |
|---|---|
Usługa mapy kafelkowej | |
Usługa mapy kafelkowej z usługą obiektową | |
Usługa obiektowa | |
Usługa rastrowa* | |
Usługa scen | |
Usługa WFS | |
Usługa kafli wektorowych |
*Usługa rastrowa stanowiąca podstawę hostowanej warstwy zobrazowań działa na serwerze analiz rastrowych portalu lub serwerze hostującym zobrazowania, a nie na serwerze hostującym portalu.
Gdy wyświetlasz i edytujesz właściwości usługi hostowanej w aplikacji Server Manager lub ArcMap, dostępny będzie tylko podzestaw oczekiwanych funkcji lub operacji serwera ArcGIS Server. Na przykład niektóre usługi nie będą wyświetlać informacji o instancjach w galerii usług lub zakładce usług Zbiór w aplikacji Manager.
Gdy do zarządzania usługami hostowanymi używane jest okno Katalog w aplikacji ArcMap, należy używać węzła Moje hostowane usługi zamiast węzła połączeń Serwery GIS. Dzięki temu dla użytkownika widoczne będą wyłącznie możliwości dostępne za pośrednictwem portalu.
Serwer hostujący powinien dysponować przestrzenią magazynową, procesorem i pamięcią odpowiednimi do obsługi hostowanych usług. Należy dokładnie przeszkolić publikujących i monitorować wskaźniki operacyjne serwera, aby uniknąć przekroczenia jego możliwości.
Uwagi dotyczące warstw kafli i zadań w pamięci podręcznej
Warstwy kafli mają szczególne wymagania ze względu na moc obliczeniową używaną na jedno duże zadanie realizowane w pamięci podręcznej lub wiele zadań jednocześnie. Publikując warstwę kafli w dużej skali dla bardzo dużego obszaru, nieprzeszkolony publikujący portalu może przesłać na serwer bardzo duże zadanie przetwarzane w pamięci podręcznej, które zarezerwuje zasoby portalu na długi czas.
Istnieje możliwość złagodzenia skutków wykonywania zadań w pamięci podręcznej poprzez uruchomienie usługi CachingTools w oddzielnym klastrze ArcGIS Server z poziomu innych usług. W przypadku gdy jest to niemożliwe, można zmniejszyć liczbę instancji usługi CachingTools, które mogą być uruchomione w tym samym czasie, tym samym pozostawiając cykle procesora dostępne dla innych usług.
Można także ograniczyć liczbę zadań wykonywanych w pamięci podręcznej, które mogą być uruchomione w tym samym czasie, zmniejszając maksymalną liczbę instancji dozwolonych dla usługi CachingControllers. Domyślnie jednocześnie uruchomione mogą być trzy zadania.
Dodatkowe informacje na temat rozdzielania zasobów serwera do realizacji zadań w pamięci podręcznej można znaleźć w temacie Alokacja zasobów serwera w pamięci podręcznej.
Anulowanie sfederowania serwera z portalem
Istnieje możliwość anulowania sfederowania serwera z portalem, aby serwer i portal działały niezależnie od siebie.
Uwaga:
Anulowanie sfederowania serwera ma kilka ważnych konsekwencji i nie powinno się wykonywać tej czynności w ramach rutynowego rozwiązywania problemów. Czynności tej nie da się łatwo cofnąć i może mieć ona nieodwracalne skutki. Usunięcie serwera hostującego z portalu ArcGIS Enterprise powoduje, że istniejące hostowane warstwy internetowe stają się bezużyteczne. Dodanie serwera hostującego z powrotem nie spowoduje, że usługi hostowane staną się znowu użyteczne. Sfederowanie możesz anulować tylko wtedy, gdy w pełni rozumiesz konsekwencje tej czynności.
Anulowanie sfederowania wymaga wykonania następujących czynności:
- Jeśli serwer sfederowany, który ma zostać usunięty, nie jest serwerem hostującym, a usługi, które zostały opublikowane w tym serwerze stowarzyszonym, nie są już potrzebne, można zalogować się do aplikacji ArcGIS Server Manager i usunąć te usługi. Jeżeli jednak usługi te będą nadal używane, pomiń ten etap.
- Jeśli ten serwer sfederowany jest serwerem hostującym, należy zalogować się do witryny internetowej portalu i usunąć hostowane warstwy internetowe, które zostały opublikowane w portalu.
- Usuń ArcGIS Server ze swojego portalu, co spowoduje przywrócenie ustawień domyślnych magazynu zabezpieczeń ArcGIS Server oraz usunięcie wszystkich elementów portalu wczytanych z serwera w momencie jego sfederowania.
- Skonfiguruj zabezpieczenia ArcGIS Server, aby korzystać z pożądanych magazynów użytkowników i ról.