Если вы планируете интегрировать свой сайт ArcGIS Server с Portal for ArcGIS, помните, что после этого способ администрирования сайта ArcGIS Server изменится. Основные отличия администрирования интегрированного сервера указаны ниже.
Отличия в системе безопасности
После интеграции сайта ArcGIS Server с порталом доступом к серверу полностью управляет хранилище безопасности портала. Это влияет на то, как будет выполняться доступ и администрирование интегрированного сервера.
Пользователи, роли и права доступа
После интеграции все пользователи, роли и права, которые вы ранее настроили для сервисов ArcGIS Server, больше не используются. Доступ к сервисам теперь определяется участниками, ролями и правами доступа, настроенными на портале.
Так же, как и в ArcGIS Server, в портале имеются уровни доступа пользователя, издателя и администратора. В портале также имеется роль обозревателя, у которой имеются очень ограниченные права доступа. На портале дополнительно есть пользовательская роль, рассматриваемая интегрированным сервером как роль пользователя. Следует настроить и проверить эти разрешения на портале, прежде чем открыть интегрированный сервер конечным пользователям.
Во время интеграции на портале будут автоматически созданы элементы для всех имеющихся веб-сервисов ArcGIS Server. Эти элементы принадлежат администратору, который выполняет интеграцию. После интеграции принадлежность может быть переопределена между существующими пользователями портала как необходимо. Любые элементы или сервисы, добавленные на портал после интеграции, принадлежат исключительно создавшему их участнику.
При интеграции возможность изоляции доступа к серверу исключается. Например, любой пользователь с правами издателя может публиковать данные на любом интегрированном сервере. Однако вы можете обновить настройки параметров безопасности интегрированного сервера, запретив административный и издательский доступ. Подробнее см. ниже, в разделе Детальное управление доступом к интегрированным серверам.
Роль обозревателя
Участники, которым назначена эта роль, могут подключаться и использовать сервисы ArcGIS Server. При подключении обозревателя к интегрированному серверу он сможете просмотреть и использовать все сервисы, доступные для него или группы, участником которой он является. Обозреватели видят настроенный веб-сайт портала, могут использовать карты, приложения, слои и инструменты, а также присоединяться к группам организации. У обозревателей нет прав доступа для создания, публикации или владения элементами.
Роль пользователя
Участники, которым назначена эта роль, могут подключаться и использовать сервисы ArcGIS Server. При подключении к интегрированному серверу в качестве пользователя, любой сервис, доступный для пользователя или группы, в которую он входит, может быть просмотрен и использован. Пользователи видят настроенный веб-сайт портала, могут использовать карты, приложения, слои и инструменты организации, могут присоединяться у группам, входящим в организацию. Пользователи также могут создавать карты и приложения, добавлять элементы, предоставлять общий доступ к ресурсам и создавать группы.
Роль издателя
Издатели могут работать только с сервисами, которые они сами создали на портале. Они не могут изменять или удалять сервисы других издателей. Например, при подключении к интегрированному серверу из ArcMap, будут отображаться только те сервисы, которые опубликованы издателем. Издатели обладают правами пользователей и также могут выполнять анализ слоев карты.
Любой пользователь с правами издателя может публиковать данные на любом интегрированном сервере. Сервисы, опубликованные на интегрированных серверах, автоматически добавляются на портал в качестве элементов. Сервисы, опубликованные непосредственно на портале, отображаются на портале как элементы, и как сервисы на хост-сервере.
Роль администратора
Администраторы имеют все права пользователя и издателя, и доступ ко всем сервисам, размещенным на интегрированном сервере. Администраторы также имеют права для управления порталом и всеми его участниками. На портале должен быть по крайней мере один администратор. Однако ограничений на количество администраторов в организации нет. Например, если на портале зарегистрировано пять пользователей, то все они могут быть администраторами.
Пользовательская роль
Пользовательские роли включают определенный набор прав, заданный администратором. Например, вы сможете создавать ресурсы, но не сможете создавать группы. Или у вас могут быть права для публикации объектов, но не листов карты. Обратите внимание на то, что пользовательская роль, для которой имеются какие-то права публикации (для объектов, листов или сцен), также будет иметь возможность создания других типов сервисов ArcGIS Server. Эти функции могут быть ограничены в последующих версиях, чтобы не допустить выполнения таких операций. Если пользователям нужна возможность публикации сервисов ArcGIS Server, то рекомендуется предоставить им права стандартной роли издателя.
Детальное управление доступом к интегрированным серверам
Вы можете обновить интегрированный сервер, запретив административный и издательский доступ. После этого все администраторы портала по прежнему будут обладать на сервере административными правами. Участники портала с правами издателя по умолчанию не получают издательский доступ к серверу. Вместо этого издательский доступ к серверу управляется группой [имя интегрированного сервера]_Publishers или элементом [имя интегрированного сервера]_Publishers. Чтобы получить издательский доступ к серверу, участник портала должен быть либо участником группы [имя интегрированного сервера]_Publishers, либо участником группы, для которой открыт доступ к элементу [имя интегрированного сервера]_Publishers. Таким же образом, административный доступ к серверу управляется группой [имя интегрированного сервера]_Administrators или элементом [имя интегрированного сервера]_Administrators. Чтобы получить административный доступ к серверу, участник портала должен быть либо участником этой группы, либо участником группы, у которой открыт доступ к этому элементу.
Детальное управление доступом настраивается в ArcGIS Portal Directory. После интеграции сервера с порталом, выполните следующие шаги, чтобы обновить сервер, включив это управление.
- Войдите в ArcGIS Portal Directory как участник портала с правами администратора. URL-адрес Portal Directory выглядит так: https://portal.domain.com/arcgis/portaladmin.
- Перейдите к Интеграция > Серверы и щелкните на сервере, который вы хотите настроить.
- Щелкните Обновить.
- В ниспадающем меню Роль сервера выберите Интегрированный сервер с запретом публикации.
- Щелкните Обновить сервер.
Вы увидите группы [имя интегрированного сервера]_Administrators и [имя интегрированного сервера]_Publishers, а также соответствующие элементы на странице Мои ресурсы. Они будут принадлежать участнику портала, обновившему сервер.
Подключение к Manager
Вы сможете подключиться к ArcGIS Server Manager, только если для вашей учетной записи на портале была определена роль администратора или издателя. Вы не сможете войти в Manager, используя учетную запись, для которой была определена роль пользователя или обозревателя. Вы также не сможете войти, используя учетную запись основного администратора с сайта. Когда вы подключаетесь, следует всегда использовать URL-адрес HTTPS и указывать полное доменное имя сервера:
- Если вы подключаетесь к ArcGIS Server напрямую, то URL-адрес имеет формат https://gisserver.domain.com:6443/arcgis/manager. Если сайт содержит несколько ГИС-серверов, это может быть URL компьютера, указанный в ходе интегрирования сайта как Административный URL.
- Если вы подключаетесь через ArcGIS Web Adaptor, следует убедиться, что для ArcGIS Web Adaptor был включен административный доступ. URL-адрес для подключения имеет формат https://webadaptorhost.domain.com/webadaptorname/manager.
Если портал настроен с использованием встроенного хранилища идентификаций или протокола Lightweight Directory Access Protocol (LDAP), вам потребуется ввести имя пользователя и пароль вашей учетной записи на портале. Если ваш портал настроен на работу с Windows Active Directory, вам может быть предложено ввести учетные данные Windows или войти в Manager автоматически.
Подключение к серверу в ArcGIS Desktop
Вы можете подключиться к серверу в ArcGIS Desktop с любой учетной записью портала, например, с учетной записью, для которой была определена роль обозревателя, пользователя, издателя или администратора. Вы также можете подключиться к серверу, используя учетную запись основного администратора сайта ArcGIS Server.
Примечание:
Вы сможете установить только подключение пользователя к сайту ArcGIS Server из ArcGIS Pro; поэтому, даже если вы будете использовать учетную запись издателя или администратора, вы не сможете опубликовать ресурсы или администрировать сайт ArcGIS Server в ArcGIS Pro. Чтобы установить подключения издателя или администратора из клиента ArcGIS Desktop, используйте ArcMap.
Когда вы вводите URL-адрес сервера при подключении к этому серверу с помощью мастера Добавить ArcGIS Server, необходимо указать URL-адрес, использующий HTTPS и в котором содержится полное доменное имя сервера:
- Если вы подключаетесь к ArcGIS Server напрямую, то URL-адрес имеет формат https://gisserver.domain.com:6443/arcgis.
- Если вы подключаетесь через ArcGIS Web Adaptor как издатель или администратор, следует убедиться, что в Web Adaptor был включен административный доступ. URL-адрес для подключения имеет формат https://webadaptorhost.domain.com/webadaptorname/manager.
Если портал настроен с использованием встроенного хранилища идентификаций или протокола Lightweight Directory Access Protocol (LDAP), вам потребуется ввести имя пользователя и пароль вашей учетной записи на портале. Если ваш портал настроен на работу с Windows Active Directory, не вводите в мастер учетные данные Windows, щелкните Завершить, и подключение будет выполнено автоматически. Если вы хотите подключиться к ArcGIS Server, используя учетную запись основного администратора сайта, введите соответствующие данные этой учетной записи.
Подключение к ArcGIS Server Administrator Directory и Services Directory
При подключении к ArcGIS Server Administrator Directory может потребоваться указать токен портала. На странице входа имеются инструкции по получению этого токена. Дополнительную информацию см. в разделе Доступ к Administrator Directory на интегрированном сервере. Или вы можете войти используя первичную учетную запись администратора сайта сервера, если вы подключаетесь через порт 6080 или 6443.
При подключении к ArcGIS Server Services Directory вам не потребуется указывать токен портала. Вы сможете войти, используя свои учетные данные на портале. Вы не сможете войти, используя первичную учетную запись администратора сайта.
Поведение размещаемого сервера портала
Когда вы назначаете интегрированный сервер действовать как размещаемый сервер портала, вы обеспечиваете порталу мощную поддержку. Вы разрешаете пользователям портала, обладающим правами доступа уровня издателя и выше, публиковать кэшированные картографические сервисы, сервисы объектов и сервисы сцен (слои листов, векторные слои и слои сцен). Эти пользователи могут не иметь продуктов ArcGIS на их компьютерах; они могут просто публиковать сервисы, загружая шейп-файл или файл CSV на веб-сайт портала. Однако возможность публикации через ArcMap все еще сохраняется.
Все сервисы, публикуемые пользователями портала непосредственно на портале, станут размещенными сервисами, и они помещаются в папке ArcGIS Server с названием Hosted. Таким образом, вы можете видеть, какие сервисы являются хост-сервисами, а какие – нет. Если вы удаляете хост-сервис через портал, он также удаляется с сервера. Это не так для сервисов, опубликованных на интегрированном сервере; если вы удаляете с портала сервис, который был опубликован на интегрированном сервере, он не удаляется с сервера.
Типы сервисов, перечисленные в папке Размещенные, отличаются от типов сервисов, которые перечисляются в других папках сервера. Это для того, чтобы соответствовать типам элементов, которые отображаются в Portal for ArcGIS. В следующей таблице приведён список всех поддерживаемых размещенных сервисов и их обновленных типов элементов:
Тип сервиса ArcGIS Server | Тип элемента сетевая папка/Portal for ArcGIS |
---|---|
Кэшированный картографический сервис | Слой листов |
Картографический сервис с сервисом пространственных объектов | Слой листов и пространственных объектов |
Сервис объектов | Векторный слой |
Сервис изображений* | Слой изображения |
Сервис сцены | Слой сцены |
WFS сервис | Cлой WFS |
*Сервис изображений, на основе которого работает размещенный слой изображений, запускается на сервере анализа растров портала, а не на хост-сервере портала.
При просмотре и редактировании свойств размещенных сервисов в Manager или ArcMap будет доступен только ограниченный набор возможностей и доступных операций, которые вы ожидаете от ArcGIS Server. Например, некоторые сервисы не будут отображать информацию об количестве экземпляров в галерее сервисов или на вкладке Слияние сервисов в Manager.
При использовании окна Каталог в ArcMap для администрирования размещенных сервисов следует использовать узел Мои размещенные сервисы вместо узла подключения ГИС-серверы. Это гарантирует, что вы видите только те функции, которые доступны через портал.
Сервер должен иметь достаточно свободного пространства, соответствующие ЦПУ и объем памяти, чтобы обеспечить нормальную работу размещенных сервисов. Следует проинструктировать издателей и постоянно контролировать метрики сервера, чтобы избежать недостатка ресурсов.
Рекомендации по использованию слоев листов и кэшированию
Слои карт представляют собой особый случай с точки зрения вычислительной мощности, потребляемой при решении одной большой задачи кэширования или нескольких более мелких задач. Публикуя кэшированный слой листов в крупном масштабе для большой области без разбора, один неопытный издатель может загрузить сервер таким большим объемом кэширования, что надолго займет все ресурсы портала.
Вы можете уменьшить влияние задач кэширования, если запустите сервис CachingTools в отдельном кластере ArcGIS Server, обособленно от других сервисов. Если это невозможно, можно уменьшить число экземпляров сервиса CachingTools, которые разрешается запускать одновременно, что позволит высвободить ЦПУ для обслуживания других сервисов.
Также можно ограничить число одновременно работающих заданий кэширования, уменьшив максимальное число экземпляров, разрешенных для сервиса CachingControllers. По умолчанию одновременно могут выполняться три задания.
Подробнее о распределении ресурсов сервера при кэшировании см. в разделе Распределение ресурсов сервера для кэширования.
Отмена интеграции сервера на портале
Вы можете отменить интеграцию сервера на портале, чтобы позволить им работать независимо. Процесс разделения состоит из нескольких шагов:
- Если интегрированный сервер, который вы хотите удалить, не является хост-сервером, и сервисы, которые были опубликованы на этом интегрированном сервере, больше не нужны, вы можете войти в ArcGIS Server Manager и удалить эти сервисы. Если эти сервисы будут использоваться в дальнейшем, пропустите этот шаг.
- Если этот интегрированный сервер является хост-сервером, то произведите вход в веб-сайт портала и удалите размещенные веб-слои, которые были опубликованы на портале.
- Если интегрированный сервер также является хост-сервером, и запущенные на хост-сервере сервисы больше не нужны, то отключите хост-сервер, чтобы пользователи портала больше не могли опубликовать новые сервисы.
Внимание:
При удалении хост-сервера с портала все существующие размещенные веб-слои перестанут работать. При добавлении хост-сервера обратно на портал размещенные сервисы не вернутся автоматически в рабочее состояние. Поэтому отменяйте регистрацию хост-сервера, только если вам больше не нужны запущенные на хост-сервере сервисы.
- Удалите сайт ArcGIS Server с портала; это произведет восстановление хранилища настроек безопасности ArcGIS Server до стандартных настроек, а также удалит все элементы портала, которые были созданы на основе сервисов интегрируемого сервера.
- Настройте систему безопасности ArcGIS Server для использования нужных хранилищ пользователей и ролей.