Se você planeja federar seu site do ArcGIS Server com o portal ArcGIS Server com ArcGIS Enterprise, esteja ciente que a maneira que você administra seu site do ArcGIS Server mudará após você federar. As principais diferenças em administrar um servidor federado estão anotadas abaixo.
Diferenças de segurança
Quando você federar um site a do ArcGIS Server com um portal, o armazenamento de segurança do portal controla todo o acesso ao servidor. Isto impacta como você acessa e administra o servidor federado.
Usuários, papéis e permissões
Quando você federar, quaisquer usuários, funções e permissões que você configurou anteriormente nos serviços do ArcGIS Server não são mais válidos. O acesso aos serviços, por sua vez, é determinado por membros do portal e permissões de compartilhamento.
Semelhante ao ArcGIS Server, o portal oferece níveis de privilégio de usuário, publicador e administrador. O portal também fornece um papel de visualizador, que tem um conjunto de privilégios limitado. O portal adicionalmente inclui um papel personalizado que é considerado um papel de usuário pelo servidor federado. Você deve instalar e verificar estas permissões no seu portal antes de expor seu servidor federado aos usuários finais.
No momento da federação, os itens são automaticamente criados no portal para todos os serviços da web do ArcGIS Server existentes. Estes itens são de propriedades do administrador que executa a federação. Após a federação, a propriedade pode ser reatribuída para membros existentes do portal, conforme desejado. Quaisquer itens ou serviços adicionados no portal após a federação são explicitamente de propriedade do membro que os criou.
Quando federado, a habilidade de isolar acesso ao servidor é eliminada. Por exemplo, qualquer pessoa que seja membro do papel de editor integrado pode publicar em qualquer servidor federado. Porém, você pode atualizar uma configuração de segurança do servidor federado para restringir acesso de publicador e administrativo. Consulte Controle de acesso detalhado de servidores federados abaixo para detalhes.
Papel do visualizador
Os membros que são atribuídos para este papel podem conectar e utilizar os serviços do ArcGIS Server. Quando conectado a um servidor federado como um visualizador, quaisquer serviços compartilhados com o visualizador ou um grupo que o visualizador é um membro, podem ser visualizados e consumidos. Os visualizadores vêem uma visualização personalizada do site da web do portal, podem utilizar os mapas, aplicativos, camadas e ferramentas da organização, e participar dos grupos de propriedade da organização. Os visualizadores não têm privilégios para criar, compartilhar ou serem proprietários de itens.
Papel de usuário
Os membros que são atribuídos para este papel podem conectar e utilizar os serviços do ArcGIS Server. Quando conectado a um servidor federado como um usuário, quaisquer serviços compartilhados com o usuário ou um grupo que o usuário é um membro, podem ser visualizados e consumidos. Os usuários vêem uma visualização personalizada do site da web do portal, podem utilizar os mapas, aplicativos, camadas e ferramentas da organização, e participar dos grupos de propriedade da organização. Os usuários também podem criar mapas e aplicativos, adicionar itens, compartilhar conteúdo e criar grupos.
Papel de publicador
Os publicadores só podem excluir ou modificar os serviços que criaram no portal. Eles não podem modificar ou excluir outros serviços do publicador. Os publicadores têm privilégios de usuário, porém, e podem usar quaisquer camadas que outros publicadores compartilhem com eles.
Qualquer usuário com privilégios de publicador pode publicar em qualquer servidor federado. Os serviços publicados em um servidor federado são automaticamente adicionados como itens no portal. Serviços hospedados que são publicados diretamente no portal aparecem como itens no portal e como serviços no servidor de hospedagem.
Papel de administrador
Os administradores têm privilégios de usuário e publicador, e permissões para todos os serviços hospedados pelo servidor federado. Os administradores também têm privilégios para gerenciar o portal e todos os seus membros. Um portal deve ter pelo menos um administrador. Porém, não há nenhum limite sobre quantos podem administrar uma organização. Por exemplo, se um portal tiver cinco membros, todos eles poderão ser administradores.
Papel personalizado
Os papéis personalizados incluem um conjunto de privilégios específico definidos pelo administrador. Por exemplo, os membros com o papel personalizado poderão criar conteúdo, mas não poderão criar grupos; eles poderão publicar feições, mas não mosaicos. Para permitir que os membros publiquem serviços em um site do ArcGIS Server federado, o papel deve receber o privilégio de conteúdo geral Publicar camadas baseadas no servidor.
Se um papel personalizado for criado com privilégios administrativos, o ArcGIS Server concederá acesso administrativo limitado aos membros com este papel. Isto inclui direitos de publicar qualquer tipo de serviço diretamente no ArcGIS Server e o recurso de visualizar e acessar todos os serviços. Considere os riscos de segurança antes de criar um papel personalizado para qualquer membro que inclua privilégios administrativos.
Controle de acesso detalhado de servidores federados
Você pode atualizar um servidor federado para restringir o acesso de publicação e administrativo. Uma vez atualizado, todos os administradores do portal ainda terão privilégios administrativos no servidor. Os membros do portal com privilégios de publicador não receberão o acesso de publicação no servidor por padrão. Ao contrário, o acesso de publicador no servidor é controlado por um grupo denominado [nome do servidor federado]_Publishers ou o item [nome do servidor federado]_Publishers.
Anotação:
Os nomes padrão do grupo e dos itens não devem ser alterados.
Para ganhar privilégios de publicador no servidor, o membro do portal deve ser um membro do grupo [nome do servidor federado]_Publishers ou um membro de um grupo que o item do [nome do servidor federado]_Publishers foi compartilhado. Da mesma maneira, o acesso administrativo adicional no servidor é controlado por um grupo denominado [nome do servidor federado]_Administrators ou [nome do servidor federado]_Administrators do item. Um membro do portal deve ser um membro deste grupo ou um membro do grupo que o item foi compartilhado para ganhar acesso administrativo ao servidor.
O controle de acesso detalhado é configurado no ArcGIS Portal Directory. Após você federar um servidor com seu portal, siga as etapas abaixo para atualizar o servidor para habilitar este controle.
- Entre no ArcGIS Portal Directory como um membro do portal com privilégios administrativos.
A URL para o Portal Directory está no formato https://portal.domain.com/arcgis/portaladmin.
- Vá até Federação > Servidores e clique no servidor que você deseja editar.
- Clique em Atualizar.
- No menu suspenso Papel do Servidor, escolha Servidor Federado Com Publicação Restrita.
- Clique em Atualizar Servidor.
Você agora verá os grupos [nome do servidor federado]_Administrators e [nome do servidor federado]_Publishers, como também, os itens correspondentes na página Meu Conteúdo. Estes serão de propriedade do membro do portal que atualizou o servidor.
Conectar ao Server Manager
Você pode conectar ao ArcGIS Server Manager somente se a sua conta do portal estiver atribuída para o papel de publicador ou administrador. Você não pode entrar no Server Manager usando uma conta atribuída ao visualizador ou papel de usuário ou um papel personalizado. Você também não pode entrar utilizando a conta de principal administrador do site. Ao se conectar, use uma URL que usa HTTPS e inclui o nome de domínio totalmente qualificado do servidor:
- Se você se conectar diretamente no ArcGIS Server, a URL será formatado https://gisserver.domain.com:6443/arcgis/manager. Se o site incluir múltiplas máquinas, esta será a URL da máquina que você especificou para a URL de Administração ao federar seu site.
- Se você se conectar por meio do ArcGIS Web Adaptor, deve garantir que o acesso administrativo esteja habilitado no ArcGIS Web Adaptor. A URL que você utilizará para conectar está formatada como https://webadaptorhost.domain.com/webadaptorname/manager.
Se o portal estiver configurado com um armazenamento de identidade integrado ou Lightweight Directory Access Protocol (LDAP), você deve fornecer o nome de usuário e a senha de sua conta do portal. Se o portal estiver configurado com Windows Active Directory, você pode ser solicitado a inserir suas credenciais do Windows ou estar registrado automaticamente no Server Manager.
Modificar atalho de desktop para Server Manager
O ArcGIS Server fornece um atalho na área de trabalho do ArcGIS Server Manager. A URL de atalho padrão está formatada como http://localhost:6080/arcgis/manager, que é um caminho válido, desde que o servidor não tenha sido federado para um portal do ArcGIS Enterprise. Conforme observado na seção acima, um servidor federado é acessado utilizando o formato de URL https://gisserver.domain.com:6443/arcgis/manager, ou seja, a URL de atalho padrão resulta em uma mensagem de erro em Invalid redirect_uri. Siga estas etapas para atualizar o caminho de atalho para um servidor federado:
- No menu Iniciar do Windows no servidor federado, clique com o botão direito no atalho do ArcGIS Server Manager, clique em Mais, e clique em Abrir local do arquivo.
- Na janela Explorer do arquivo, clique com o botão direito no item de atalho ArcGIS Server Manager e selecione novamente Abrir local do arquivo.
Isso abre o link de atalho na pasta C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.
- Corte o item de atalho do Manager e cole-o na sua área de trabalho.
O item de atalho do Manager agora é excluído de seu local original.
- Clique com o botão direito do mouse no item colado, abra Propriedades e modifique a propriedade URL para que a URL use HTTPS e a porta 6443 para se conectar.
Por exemplo, a URL deve ser semelhante ao seguinte: https://gisserver.domain.com:6443/arcgis/manager, onde gisserver.domain.com é o nome de domínio totalmente qualificado de uma das máquinas no site do ArcGIS Server.
- Clique em OK para aplicar a alteração e fechar a janela de propriedades.
- Recorte o item de atalho modificado e cole-o de volta na pasta C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.
O item de atalho irá agora abrir o ArcGIS Server Manager do menu Iniciar do Windows.
Conecte ao servidor no ArcGIS Pro
Quando você se conecta ao portal no ArcGIS Pro, pode escolher o servidor federado ao publicar. Consulte Gerenciar conexões do portal do ArcGIS Pro e Introdução ao compartilhamento de camadas da web na ajuda do ArcGIS Pro.
Conectar ao Diretório de Administrador e Diretório de Serviços do ArcGIS Server
Quando conectar ao Diretório de Administrador do ArcGIS Server, talvez seja necessário fornecer um token do portal. A página de login fornece instruções sobre como obter este token. Para mais informações, consulte Acessando o Diretório de Administrador em um servidor federado. Alternativamente, você pode entrar utilizando a conta de principal administrador de site do servidor se você conectar diretamente via porta 6080 ou 6443.
Quando conectar ao Dirtório de Serviços do ArcGIS Server, você não precisará fornecer um token. Efetue o login usando credenciais de administrador do portal. Você não pode entrar usando a conta de administrador do site principal.
Comportamento de um servidor de hospedagem do portal
Ao designar um site federado do ArcGIS GIS Server para atuar como servidor de hospedagem do portal, você fornece aos editores a capacidade de criar mosaicos de mapas em cache, serviços de feições e serviços de cena (camadas de mosaico, camadas de feições e camadas de cenas). Estes usuários podem não ter quaisquer produtos ArcGIS em seus computadores; eles podem somente publicar os serviços ao carregar um arquivo .csv ou shapefile pelo site da web do portal; porém, publicar pelo ArcGIS Pro ainda é uma opção.
Os serviços publicados diretamente no portal são serviços hospedados e os serviços são colocados em uma pasta do ArcGIS Server denominada Hospedado no servidor de hospedagem. Desta maneira, você pode rastrear quais serviços são ou não serviços hospedados.
Se você excluir um item da camada hospedada no portal, o serviço também será excluído do servidor de hospedagem. Da mesma forma, se você excluir um item que faz referência a um serviço em um servidor federado, excluir o item do portal excluirá o serviço. Isto é verdadeiro ambos para serviços publicados no servidor federado e serviços hospedados publicados diretamente no portal.
A tabela a seguir lista os serviços hospedados com suporte e seus tipos de item:
Tipo de serviço ArcGIS Server | Tipo de item do portal |
---|---|
Serviço de mapa com cache | |
Serviço de mapa com cache com serviço da feição | |
Serviço da feição | |
Serviço de imagem* | |
Serviço de cena | |
Serviço WFS | |
Serviço de mosaico do vetor | |
Serviço de gráfico de conhecimento** | Gráfico de Conhecimento |
*O serviço de imagem ao qual uma camada de imagens hospedada faz referência é executado no servidor de análise raster do portal ou no servidor de hospedagem de imagens, não no servidor de hospedagem do portal.
**O serviço de gráfico de conhecimento referenciado por um gráfico de conhecimento hospedado é executado no servidor de conhecimento do portal, não no servidor de hospedagem do portal.
Ao visualizar e editar propriedades de serviço hospedado no Server Manager, apenas um subconjunto de capacidades ou operações do ArcGIS Server estão disponíveis. Por exemplo, alguns serviços não exibirão informações da instância na galeria de serviço ou na guia Agrupar no Server Manager.
Um servidor de hospedagem precisa de espaço de armazenamento, CPU e memória suficientes para acomodar os serviços que hospedará. Treine seus publicadores para entender como os serviços afetam os recursos no servidor de hospedagem e monitore as métricas nas máquinas do servidor de hospedagem para evitar exceder a capacidade.
Considerações para camadas de mosaico e serviços de cache
As camadas de mosaico apresentam desafios especiais devido à potência de processamento que pode ser tomada por um único grande trabalho de cache ou vários trabalhos concorrentes. Ao publicar uma camada de mosaico em grande escala sobre uma área indiscriminadamente ampla, um simples publicador do portal não treinado pode enviar um trabalho de cache muito grande no servidor que consumirá recursos do portal por muito tempo.
Você pode mitigar potencialmente o efeito dos trabalhos de cache, executando seu serviço CachingTools em um grupo do ArcGIS Server separado dos outros serviços. Se isto não for possível, você poderá baixar o número de instâncias do serviço CachingTools que têm permissão para executar uma vez, assim deixando os ciclos da CPU disponíveis para outros serviços.
Você também pode limitar o número dos trabalhos de cache que podem executar de uma vez, baixando o número máximo de instâncias permitidas para o serviço CachingControllers. Por padrão, três trabalhos podem executar simultaneamente.
Consulte Alocação de recursos do servidor para cache para detalhes adicionais sobre como recursos do servidor são repartidos para trabalhos de cache.
Desfederar um servidor do portal
Aviso:
Você pode cancelar a federação de um site do ArcGIS Server do portal, permitindo que cada um continue independente do outro. No entanto, cancelar a federação de um site do ArcGIS Server tem várias consequências significativas e não deve ser feito como parte da solução de problemas de rotina. Não é facilmente desfeito e pode ter consequências irreversíveis. Remover um servidor de hospedagem do portal ArcGIS Enterprise renderiza camadas da web hospedadas existentes não utilizáveis. Adicionar o servidor de hospedagem de volta não retorna os serviços hospedados para um estado adequado. Somente desfedere um site se você tiver uma compreensão clara do impacto.
Somente sites que preenchem um número limitado de papéis podem ser executados como sites do ArcGIS Server independente. Por exemplo, sites do ArcGIS GeoAnalytics Server e sites do ArcGIS Knowledge Server não podem funcionar como sites independentes e desfederá-los os tornam inutilizáveis.
Desfederar exige as seguintes etapas:
- Excluir serviços.
Se os serviços estiverem em um servidor de hospedagem, você deverá excluí-los. Se os serviços estiverem em um servidor federado que pode atuar como um site do ArcGIS Server independente, você pode pular esta etapa.
- Se o servidor federado que você deseja remover não for o servidor de hospedagem e os serviços que foram publicados nesse servidor federado não forem mais necessários, você pode entrar no ArcGIS Server Manager como administrador e excluir os serviços.
- Se este servidor federado estiver no servidor de hospedagem, entre no site da web do portal e exclua as camadas da web hospedadas que foram publicadas no portal.
- Remova o site do ArcGIS Server do seu portal, para restaurar seu armazenamento de segurança do ArcGIS Server para suas configurações padrão e para remover quaisquer itens do portal provenientes do servidor enquanto estava federado.
- Configure a segurança do ArcGIS Server para utilizar seus armazenamentos de papéis e usuários desejados.