Se você planeja federar seu site do ArcGIS Server com Portal for ArcGIS, esteja ciente que a maneira que você administra seu site do ArcGIS Server mudará após você federar. As principais diferenças em administrar um servidor federado estão anotadas abaixo.
Diferenças de segurança
Quando você federa um site do ArcGIS Server com um portal, o armazenamento de segurança do portal controla todo o acesso ao servidor. Isto impacta como você acessa e administra o servidor federado.
Usuários, papéis e permissões
Quando você federar, quaisquer usuários, papéis e permissões que você configurou anteriormente em serviços do ArcGIS Server não serão mais válidos. O acesso aos serviços, por sua vez, é determinado por membros do portal e permissões de compartilhamento.
Semelhante ao ArcGIS Server, o portal oferece níveis de privilégio de usuário, publicador e administrador. O portal também fornece um papel de visualizador, que tem um conjunto de privilégios limitado. O portal adicionalmente inclui um papel personalizado que é considerado um papel de usuário pelo servidor federado. Você deve instalar e verificar estas permissões no seu portal antes de expor seu servidor federado aos usuários finais.
No momento da federação, os itens são automaticamente criados no portal para todos os serviços da web do ArcGIS Server existentes. Estes itens são de propriedades do administrador que executa a federação. Após a federação, a propriedade pode ser reatribuída para membros existentes do portal, conforme desejado. Quaisquer itens ou serviços adicionados no portal após a federação são explicitamente de propriedade do membro que os criou.
Quando federado, a habilidade de isolar acesso ao servidor é eliminada. Por exemplo, qualquer pessoa com privilégios de publicador pode publicar em qualquer servidor federado. Porém, você pode atualizar uma configuração de segurança do servidor federado para restringir acesso de publicador e administrativo. Consulte Controle de acesso detalhado de servidores federados abaixo para detalhes.
Papel do visualizador
Os membros que são atribuídos para este papel podem conectar e utilizar serviços do ArcGIS Server. Quando conectado a um servidor federado como um visualizador, quaisquer serviços compartilhados com o visualizador ou um grupo que o visualizador é um membro, podem ser visualizados e consumidos. Os visualizadores vêem uma visualização personalizada do site da web do portal, podem utilizar os mapas, aplicativos, camadas e ferramentas da organização, e participar dos grupos de propriedade da organização. Os visualizadores não têm privilégios para criar, compartilhar ou serem proprietários de itens.
Papel de usuário
Os membros que são atribuídos para este papel podem conectar e utilizar serviços do ArcGIS Server. Quando conectado a um servidor federado como um usuário, quaisquer serviços compartilhados com o usuário ou um grupo que o usuário é um membro, podem ser visualizados e consumidos. Os usuários vêem uma visualização personalizada do site da web do portal, podem utilizar os mapas, aplicativos, camadas e ferramentas da organização, e participar dos grupos de propriedade da organização. Os usuários também podem criar mapas e aplicativos, adicionar itens, compartilhar conteúdo e criar grupos.
Papel de publicador
Os publicadores podem trabalhar somente com serviços que eles criaram no portal. Eles não podem modificar ou excluir outros serviços do publicador. Por exemplo, quando conectado ao servidor federado no ArcMap, somente serviços publicados pelo publicador serão exibidos. Os publicadores têm privilégios de usuário e também podem executar análise em camadas de mapas.
Qualquer usuário com privilégios de publicador pode publicar em qualquer servidor federado. Os serviços publicados em um servidor federado são automaticamente adicionados como itens no portal. Serviços hospedados que são publicados diretamente no portal aparecem como itens no portal e como serviços no servidor de hospedagem.
Papel de administrador
Os administradores têm privilégios de usuário e publicador, e permissões para todos os serviços hospedados pelo servidor federado. Os administradores também têm privilégios para gerenciar o portal e todos os seus membros. Um portal deve ter pelo menos um administrador. Porém, não há nenhum limite sobre quantos podem administrar uma organização. Por exemplo, se um portal tiver cinco membros, todos eles poderão ser administradores.
Papel personalizado
Os papéis personalizados incluem um conjunto de privilégios específico definidos pelo administrador. Por exemplo, você pode conseguir criar conteúdo, mas não pode criar grupos. Ou você pode ter privilégios para publicar feições, mas não mosaicos. Note que um papel personalizado que tem qualquer privilégio de publicação (para feições, mosaicos ou cenas) também pode criar outros tipos de serviços do ArcGIS Server. Esta funcionalidade também pode ser restringida em uma versão futura para prevenir estes fluxos de trabalho. É recomendado que se usuários precisarem do recurso para publicar serviços do ArcGIS Server, que eles sejam concedidos ao papel de publicador pré-definido.
Controle de acesso detalhado de servidores federados
Você pode atualizar um servidor federado para restringir o acesso de publicação e administrativo. Uma vez atualizado, todos os administradores do portal ainda terão privilégios administrativos no servidor. Os membros do portal com privilégios de publicador não receberão o acesso de publicação no servidor por padrão. Ao contrário, o acesso de publicador no servidor é controlado por um grupo denominado [nome do servidor federado]_Publishers ou o item [nome do servidor federado]_Publishers. Para ganhar privilégios de publicador no servidor, o membro do portal deve ser um membro do grupo [nome do servidor federado]_Publishers ou um membro de um grupo que o item do [nome do servidor federado]_Publishers foi compartilhado. Da mesma maneira, o acesso administrativo adicional no servidor é controlado por um grupo denominado [nome do servidor federado]_Administrators ou [nome do servidor federado]_Administrators do item. Um membro do portal deve ser um membro deste grupo ou um membro do grupo que o item foi compartilhado para ganhar acesso administrativo ao servidor.
O controle de acesso detalhado é configurado no ArcGIS Portal Directory. Após você federar um servidor com seu portal, siga as etapas abaixo para atualizar o servidor para habilitar este controle.
- Entre no ArcGIS Portal Directory como um membro do portal com privilégios administrativos. A URL para o Portal Directory está no formato https://portal.domain.com/arcgis/portaladmin.
- Vá até Federação > Servidores e clique no servidor que você deseja editar.
- Clique em Atualizar.
- No menu suspenso Papel do Servidor, escolha Servidor Federado Com Publicação Restrita.
- Clique em Atualizar Servidor.
Você agora verá os grupos [nome do servidor federado]_Administrators e [nome do servidor federado]_Publishers, como também, os itens correspondentes na página Meu Conteúdo. Estes serão de propriedade do membro do portal que atualizou o servidor.
Conectar ao Manager
Você pode conectar ao ArcGIS Server Manager somente se a sua conta do portal estiver atribuída para o papel de publicador ou administrador. Você não pode entrar no Manager utilizando uma conta atribuída ao papel de usuário ou visualizador. Você também não pode entrar utilizando a conta de principal administrador do site. Ao se conectar, você deverá utilizar uma URL que utiliza HTTPS e inclui completamente o nome de domínio qualificado do servidor:
- Se você estiver conectando diretamente ao ArcGIS Server, o formato da URL será https://gisserver.domain.com:6443/arcgis/manager. Se o site incluir múltiplos servidores GIS, esta será a URL da máquina que você especificou para a URL de Administração ao federar seu site.
- Se você estiver conectando pelo ArcGIS Web Adaptor, você precisará garantir que o acesso administrativo está habilitado no ArcGIS Web Adaptor. A URL que você utilizará para conectar está formatada como https://webadaptorhost.domain.com/webadaptorname/manager.
Se o seu portal estiver configurado com um armazenamento de identidade embutido ou Lightweight Directory Access Protocol (LDAP), você precisará inserir o nome de usuário e senha da sua conta do portal.
Conectar ao servidor no ArcGIS Desktop
Você pode conectar-se ao servidor no ArcGIS Desktop com qualquer conta do portal, por exemplo, contas atribuídas para o papel de usuário, publicador, visualizador ou administrador. Você também pode se conectar ao servidor utilizando a conta de principal administrador do site a partir do seu site do ArcGIS Server.
Anotação:
Você pode somente criar conexões de usuário para um site do ArcGIS Server a partir do ArcGIS Pro; então, mesmo que você forneça uma conta de administrador ou publicador, você não poderá publicar ou administrar o site do ArcGIS Server no ArcGIS Pro. Para criar uma conexão de administrador ou publicador a partir de um cliente do ArcGIS Desktop, utilize o ArcMap.
Ao fornecer a URL do Servidor durante a conexão ao seu servidor utilizando o assistente Adicionar ArcGIS Server, você deve especificar uma URL que utiliza HTTPS e incluir o nome de domínio completamente qualificado do servidor:
- Se você estiver conectando diretamente ao ArcGIS Server, o formato da URL será https://gisserver.domain.com:6443/arcgis.
- Se você estiver conectando pelo ArcGIS Web Adaptor, como um publicador ou administrador, você precisará garantir que o acesso administrativo está habilitado no Web Adaptor. A URL que você utilizará para conectar está formatada como https://webadaptorhost.domain.com/webadaptorname/manager.
Se o seu portal estiver configurado com um armazenamento de identidade embutido ou Lightweight Directory Access Protocol (LDAP), você precisará inserir o nome de usuário e senha da sua conta do portal. Se você deseja se conectar ao ArcGIS Server utilizando a conta de principal administrador do site, insira as credenciais da conta.
Conectar ao Diretório de Administrador e Diretório de Serviços do ArcGIS Server
Quando conectar ao Diretório de Administrador do ArcGIS Server, talvez seja necessário fornecer um token do portal. A página de login fornece instruções sobre como obter este token. Para mais informações, consulte Acessando o Diretório de Administrador em um servidor federado. Alternativamente, você pode entrar utilizando a conta de principal administrador de site do servidor se você conectar diretamente via porta 6080 ou 6443.
Quando conectar ao Dirtório de Serviços do ArcGIS Server, você não precisará fornecer um token. Você entrará utilizando suas credenciais do portal. Você não pode entrar utilizando a conta de principal administrador do site.
Comportamento de um servidor de hospedagem do portal
Quando designar seu servidor federado para também agir como o servidor de hospedagem do portal, você fornecerá o portal com uma infraestrutura eficiente. Você permite aos usuários do portal com pelo menos privilégios de publicador, publicar mapas com cache, serviços da feição e serviços de cena (camadas de mosaico, camadas de feição e camadas de cena). Estes usuários podem não ter quaisquer produtos ArcGIS em seus computadores; eles podem somente publicar os serviços ao carregar um arquivo CSV ou shapefile pelo site da web do portal; porém, publicar pelo ArcMap ainda é uma opção.
Todos os serviços publicados por usuários do portal diretamente no portal são serviços hospedados, e são colocados em uma pasta do ArcGIS Server denominada Hospedado. Desta maneira, você pode rastrear quais serviços são ou não serviços hospedados. Se você excluir um serviço hospedado pelo portal, ele também será excluído do servidor. Isto não é verdade para serviços publicados no servidor federado; se você excluir um serviço do portal que foi publicado no servidor federado, o serviço não será excluído do servidor.
Os tipos de serviço listados na pasta Hospedado diferem daqueles em outras pastas do servidor. Isto é para combinar os tipos de item que são exibidos no Portal for ArcGIS. A seguinte tabela lista todos os serviços hospedados suportados e seus tipos de item atualizados:
Tipo de serviço do ArcGIS Server | Pasta hospedada/tipo de item do Portal for ArcGIS |
---|---|
Serviço de mapa com cache | Camada de mosaico |
Serviço de mapa com cache com serviço da feição | Camada de Feição e Mosaico |
Serviço da feição | Camada de Feição |
Serviço de imagem* | Camada de Imagem |
Serviço de cena | Camada de Cena |
Serviço WFS | Camada WFS |
*O serviço de imagem que está subjacente a uma camada de imagem hospedada executa no servidor da análise de raster do portal, não no servidor de hospedagem do portal.
Quando visualizar e editar as propriedades do serviço hospedado no Manager ou no ArcMap, haverá somente um subconjunto de operações e recursos do ArcGIS Server esperado, disponível. Por exemplo, alguns serviços não exibirão informações da instância na galeria de serviço ou na guia Agrupar no Manager.
Quando utilizar a janela do Catálogo no ArcMap para administrar seus serviços hospedados, execute seu trabalho pelo nó Meus Serviços Hospedados ao invés do nó de conexão dos Servidores GIS. Isto ajudará a garantir que você visualize somente os recursos disponíveis pelo portal.
Um servidor de hospedagem deve ter espaço de armazenamento, CPU e memória suficientes para acomodar os serviços que serão hospedados. Você deve treinar seus publicadores cuidadosamente e monitor suas métricas do servidor para evitar o excesso de capacidade.
Considerações para camadas de mosaico e serviços de cache
As camadas de mosaico apresentam desafios especiais devido à potência de processamento que pode ser tomada por um único grande trabalho de cache ou vários trabalhos concorrentes. Ao publicar uma camada de mosaico em grande escala sobre uma área indiscriminadamente ampla, um simples publicador do portal não treinado pode enviar um trabalho de cache muito grande no servidor que consumirá recursos do portal por muito tempo.
Você pode mitigar potencialmente o efeito dos trabalhos de cache, executando seu serviço CachingTools em um grupo do ArcGIS Server separado dos outros serviços. Se isto não for possível, você poderá baixar o número de instâncias do serviço CachingTools que têm permissão para executar uma vez, assim deixando os ciclos da CPU disponíveis para outros serviços.
Você também pode limitar o número dos trabalhos de cache que podem executar de uma vez, baixando o número máximo de instâncias permitidas para o serviço CachingControllers. Por padrão, três trabalhos podem executar simultaneamente.
Consulte Alocação de recursos do servidor para cache para detalhes adicionais sobre como recursos do servidor são repartidos para trabalhos de cache.
Desfederar um servidor do portal
Você pode desfederar um servidor a partir do portal, permitindo a cada um continuar independente um do outro. Este processo de separação exige as seguintes etapas:
- Se o servidor federado que você deseja remover não for o servidor de hospedagem e os serviços que foram publicados neste servidor federado não forem mais necessários, você poderá entrar no ArcGIS Server Manager e excluir os serviços. Se os serviços ainda forem utilizados, pule esta etapa.
- Se este servidor federado estiver no servidor de hospedagem, entre no site da web do portal e exclua as camadas da web hospedadas que foram publicadas no portal.
- Se este servidor federado também for o servidor de hospedagem e você não precisar mais de nenhum dos serviços que executam no servidor de hospedagem, desabilite o servidor de hospedagem de forma que usuários do portal não possam mais publicar nele.
Aviso:
Remover um servidor de hospedagem do portal renderiza camadas da web hospedadas existentes não utilizáveis. Adicionar o servidor de hospedagem de volta não retorna os serviços hospedados para um estado adequado. Então, não desfedere o servidor de hospedagem a menos que você não precise mais dos serviços que estão executando no servidor de hospedagem.
- Remova o site do ArcGIS Server do seu portal, para restaurar seu armazenamento de segurança do ArcGIS Server para suas configurações padrão e para remover quaisquer itens do portal provenientes do servidor enquanto estava federado.
- Configure a segurança do ArcGIS Server para utilizar seus armazenamentos de pápeis e usuários desejados.