Если вы планируете интегрировать свой сайт ArcGIS Server с порталом ArcGIS Enterprise, помните, что после этого способ администрирования сайта ArcGIS Server изменится. Основные отличия администрирования интегрированного сервера указаны ниже.
Отличия в системе безопасности
После интеграции сайта ArcGIS Server с порталом доступом к серверу полностью управляет хранилище безопасности портала. Это влияет на то, как будет выполняться доступ и администрирование интегрированного сервера.
Пользователи, роли и права доступа
После интеграции все пользователи, роли и права, которые вы ранее настроили для сервисов ArcGIS Server, больше не используются. Доступ к сервисам теперь определяется участниками, ролями и правами доступа, настроенными на портале.
Так же, как и в ArcGIS Server, в портале имеются уровни доступа пользователя, издателя и администратора. В портале также имеется роль обозревателя, у которой имеются очень ограниченные права доступа. На портале дополнительно есть пользовательская роль, рассматриваемая интегрированным сервером как роль пользователя. Следует настроить и проверить эти разрешения на портале, прежде чем открыть интегрированный сервер конечным пользователям.
Во время интеграции на портале будут автоматически созданы элементы для всех имеющихся веб-сервисов ArcGIS Server. Эти элементы принадлежат администратору, который выполняет интеграцию. После интеграции принадлежность может быть переопределена между существующими пользователями портала как необходимо. Любые элементы или сервисы, добавленные на портал после интеграции, принадлежат исключительно создавшему их участнику.
При интеграции возможность изоляции доступа к серверу исключается. Например, любой пользователь с правами издателя может публиковать данные на любом интегрированном сервере. Однако вы можете обновить настройки параметров безопасности интегрированного сервера, запретив административный и издательский доступ. Подробнее см. ниже, в разделе Детальное управление доступом к интегрированным серверам.
Роль обозревателя
Участники, которым назначена эта роль, могут подключаться и использовать сервисы ArcGIS Server. При подключении обозревателя к интегрированному серверу он сможете просмотреть и использовать все сервисы, доступные для него или группы, участником которой он является. Обозреватели видят настроенный веб-сайт портала, могут использовать карты, приложения, слои и инструменты, а также присоединяться к группам организации. У обозревателей нет прав доступа для создания, публикации или владения элементами.
Роль пользователя
Участники, которым назначена эта роль, могут подключаться и использовать сервисы ArcGIS Server. При подключении к интегрированному серверу в качестве пользователя, любой сервис, доступный для пользователя или группы, в которую он входит, может быть просмотрен и использован. Пользователи видят настроенный веб-сайт портала, могут использовать карты, приложения, слои и инструменты организации, могут присоединяться у группам, входящим в организацию. Пользователи также могут создавать карты и приложения, добавлять элементы, предоставлять общий доступ к ресурсам и создавать группы.
Роль издателя
Издатели могут работать только с сервисами, которые они сами создали на портале. Они не могут изменять или удалять сервисы других издателей. Например, при подключении к интегрированному серверу из ArcMap, будут отображаться только те сервисы, которые опубликованы издателем. Издатели обладают правами пользователей и также могут выполнять анализ слоев карты.
Любой пользователь с правами издателя может публиковать данные на любом интегрированном сервере. Сервисы, опубликованные на интегрированных серверах, автоматически добавляются на портал в качестве элементов. Сервисы, опубликованные непосредственно на портале, отображаются на портале как элементы, и как сервисы на хост-сервере.
Роль администратора
Администраторы имеют все права пользователя и издателя, и доступ ко всем сервисам, размещенным на интегрированном сервере. Администраторы также имеют права для управления порталом и всеми его участниками. На портале должен быть по крайней мере один администратор. Однако ограничений на количество администраторов в организации нет. Например, если на портале зарегистрировано пять пользователей, то все они могут быть администраторами.
Пользовательская роль
Пользовательские роли включают определенный набор прав, заданный администратором. Например, участники с пользовательской ролью могут создавать ресурсы, но не могут создавать группы; они могут публиковать объекты, но не листы. В версии 10.5.1 и более ранних, пользовательская роль с любыми правами на публикацию (объектов, листов или сцен) могла создавать другие типы сервисов ArcGIS Server. Начиная с версии 10.6 появились права Публикации слоев на основе сервера, которые необходимы для публикации любых сервисов непосредственно на ArcGIS Server.
Если пользовательская роль создана с любыми административными правами доступа, ArcGIS Server предоставляет участником с этой ролью ограниченные административные права. Сюда входят права на публикацию любых типов сервисов непосредственно на ArcGIS Server и возможность просмотра и доступа ко всем сервисам. Перед созданием пользовательской роли для любых участников, включающей административные права, подумайте о рисках, связанных с нарушением безопасности.
Детальное управление доступом к интегрированным серверам
Вы можете обновить интегрированный сервер, запретив административный и издательский доступ. После этого все администраторы портала по прежнему будут обладать на сервере административными правами. Участники портала с правами издателя по умолчанию не получают издательский доступ к серверу. Вместо этого издательский доступ к серверу управляется группой [имя интегрированного сервера]_Publishers или элементом [имя интегрированного сервера]_Publishers. Чтобы получить издательский доступ к серверу, участник портала должен быть либо участником группы [имя интегрированного сервера]_Publishers, либо участником группы, для которой открыт доступ к элементу [имя интегрированного сервера]_Publishers. Таким же образом, административный доступ к серверу управляется группой [имя интегрированного сервера]_Administrators или элементом [имя интегрированного сервера]_Administrators. Чтобы получить административный доступ к серверу, участник портала должен быть либо участником этой группы, либо участником группы, у которой открыт доступ к этому элементу.
Детальное управление доступом настраивается в ArcGIS Portal Directory. После интеграции сервера с порталом, выполните следующие шаги, чтобы обновить сервер, включив это управление.
- Войдите в ArcGIS Portal Directory как участник портала с правами администратора. URL-адрес Portal Directory выглядит так: https://portal.domain.com/arcgis/portaladmin.
- Перейдите к Интеграция > Серверы и щелкните на сервере, который вы хотите настроить.
- Щелкните Обновить.
- В ниспадающем меню Роль сервера выберите Интегрированный сервер с запретом публикации.
- Щелкните Обновить сервер.
Вы увидите группы [имя интегрированного сервера]_Administrators и [имя интегрированного сервера]_Publishers, а также соответствующие элементы на странице Мои ресурсы. Они будут принадлежать участнику портала, обновившему сервер.
Подключение к Manager
Вы сможете подключиться к ArcGIS Server Manager, только если для вашей учетной записи на портале была определена роль администратора или издателя. Вы не сможете войти в Manager, используя учетную запись, для которой была определена роль пользователя или обозревателя. Вы также не сможете войти, используя учетную запись основного администратора с сайта. Когда вы подключаетесь, следует всегда использовать URL-адрес HTTPS и указывать полное доменное имя сервера:
- Если вы подключаетесь к ArcGIS Server напрямую, то URL-адрес имеет формат https://gisserver.domain.com:6443/arcgis/manager. Если сайт содержит несколько ГИС-серверов, это может быть URL компьютера, указанный в ходе интегрирования сайта как Административный URL.
- Если вы подключаетесь через ArcGIS Web Adaptor, следует убедиться, что для ArcGIS Web Adaptor был включен административный доступ. URL-адрес для подключения имеет формат https://webadaptorhost.domain.com/webadaptorname/manager.
Если портал настроен с использованием встроенного хранилища идентификаций или протокола Lightweight Directory Access Protocol (LDAP), вам потребуется ввести имя пользователя и пароль вашей учетной записи на портале. Если ваш портал настроен на работу с Windows Active Directory, вам может быть предложено ввести учетные данные Windows или войти в Manager автоматически.
Изменение ярлыка Менеджер на рабочем столе
ArcGIS Server предусмотрен ярлык рабочего стола для ArcGIS Server Manager. По умолчанию URL-адрес ярлыка имеет формат http://localhost:6080/arcgis/manager, что соответствует действующему пути, до тех пор, пока сервер не будет интегрирован с порталом ArcGIS Enterprise. Как уже упоминалось в предыдущем разделе, интегрированный сервер доступен по URL-адресу формата https://gisserver.domain.com:6443/arcgis/manager; это значит, что при использовании ярлыка с URL-адресом по умолчанию будет выведено сообщение об ошибке Invalid redirect_uri. Для обновления пути для ярлыка быстрого доступа к интегрированному серверу выполните следующие шаги:
- Найдите ярлык быстрого доступа ArcGIS Server Manager в меню Пуск Windows. Щелкните по нему правой кнопкой мыши и выберите Еще > Открыть местоположение файла.
- В открывшемся окне Проводник файлов щелкните правой кнопкой на ярлыке ArcGIS Server Manager и снова выберите Открыть местоположение файла. Откроется ярлык-ссылка в папке C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.
- Скопируйте ярлык-ссылку Manager и поместите ее на рабочий стол. Удалите элемент ярлыка с его исходного местоположения.
- Щелкните правой кнопкой на элементе, который вы вставили, откройте Свойства и замените формат URL на формат https://gisserver.domain.com:6443/arcgis/manager. Щелкните OK, чтобы применить изменения и закрыть диалоговое окно.
- Скопируйте измененный элемент ярлыка и снова вставьте его в папку C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.
Теперь ярлык быстрого доступа будет открывать ArcGIS Server Manager из меню Пуск Windows.
Подключение к серверу в ArcGIS Desktop
Вы можете подключиться к серверу в ArcGIS Desktop с любой учетной записью портала, например, с учетной записью, для которой была определена роль обозревателя, пользователя, издателя или администратора. Вы также можете подключиться к серверу, используя учетную запись основного администратора сайта ArcGIS Server.
Примечание:
Вы сможете установить только подключение пользователя к сайту ArcGIS Server из ArcGIS Pro; поэтому, даже если вы будете использовать учетную запись издателя или администратора, вы не сможете опубликовать ресурсы или администрировать сайт ArcGIS Server в ArcGIS Pro. Чтобы установить подключения издателя или администратора из клиента ArcGIS Desktop, используйте ArcMap.
Когда вы вводите URL-адрес сервера при подключении к этому серверу с помощью мастера Добавить ArcGIS Server, необходимо указать URL-адрес, использующий HTTPS и в котором содержится полное доменное имя сервера:
- Если вы подключаетесь к ArcGIS Server напрямую, то URL-адрес имеет формат https://gisserver.domain.com:6443/arcgis.
- Если вы подключаетесь через ArcGIS Web Adaptor как издатель или администратор, следует убедиться, что в Web Adaptor был включен административный доступ. URL-адрес для подключения имеет формат https://webadaptorhost.domain.com/webadaptorname/manager.
Если портал настроен с использованием встроенного хранилища идентификаций или протокола Lightweight Directory Access Protocol (LDAP), вам потребуется ввести имя пользователя и пароль вашей учетной записи на портале. Если ваш портал настроен на работу с Windows Active Directory, не вводите в мастер учетные данные Windows, щелкните Завершить, и подключение будет выполнено автоматически. Если вы хотите подключиться к ArcGIS Server, используя учетную запись основного администратора сайта, введите соответствующие данные этой учетной записи.
Подключение к ArcGIS Server Administrator Directory и Services Directory
При подключении к ArcGIS Server Administrator Directory может потребоваться указать токен портала. На странице входа имеются инструкции по получению этого токена. Дополнительную информацию см. в разделе Доступ к Administrator Directory на интегрированном сервере. Или вы можете войти используя первичную учетную запись администратора сайта сервера, если вы подключаетесь через порт 6080 или 6443.
При подключении к ArcGIS Server Services Directory вам не потребуется указывать токен портала. Вы сможете войти, используя свои учетные данные на портале. Вы не сможете войти, используя первичную учетную запись администратора сайта.
Поведение хост-сервера портала
Если назначить интегрированному серверу также и роль хост-сервера портала, вы обеспечите порталу мощную поддержку. Вы разрешаете пользователям портала, обладающим правами доступа уровня издателя и выше, публиковать кэшированные картографические сервисы, сервисы объектов и сервисы сцен (слои листов, векторные слои и слои сцен). Эти пользователи могут не иметь продуктов ArcGIS на их компьютерах; они могут просто публиковать сервисы, загружая шейп-файл или файл CSV на веб-сайт портала. Однако возможность публикации через ArcMap все еще сохраняется.
Все сервисы, публикуемые пользователями портала непосредственно на портале, станут размещенными сервисами, и они помещаются в папке ArcGIS Server с названием Hosted. Таким образом, вы можете видеть, какие сервисы являются хост-сервисами, а какие – нет.
Если вы удаляете сервис через портал, он также будет удален с сервера. Это работает для сервисов, опубликованных на интегрированном сервере и размещенных сервисов, опубликованных непосредственно на портале.
Примечание:
До версии 10.6.1, удаление не размещенного сервиса с портала не приводило к автоматическому удалению сервиса с интегрированного сервера. Размещенные сервисы автоматически удалялись с сервера при удалении с портала.
Типы сервисов, перечисленные в папке Размещенные, отличаются от типов сервисов, которые перечисляются в других папках сервера. Это – для того, чтобы соответствовать типам элементов, которые отображаются в портале ArcGIS Enterprise. В следующей таблице приведен список всех поддерживаемых размещенных сервисов и их обновленных типов элементов:
Тип сервиса ArcGIS Server | Сетевая папка/тип элемента портала |
---|---|
Кэшированный картографический сервис | |
Картографический сервис с сервисом пространственных объектов | |
Сервис объектов | |
Сервис изображений* | |
Сервис сцены | |
WFS сервис | |
Сервис векторных листов |
*Сервис изображений, на основе которого работает размещенный слой изображений, запускается на сервере анализа растров или хост-сервере изображений портала, а не на хост-сервере портала.
При просмотре и редактировании свойств размещенных сервисов в Server Manager или ArcMap будет доступен только ограниченный набор возможностей и доступных операций, которые вы ожидаете от ArcGIS Server. Например, некоторые сервисы не будут отображать информацию об количестве экземпляров в галерее сервисов или на вкладке Слияние сервисов в Manager.
При использовании окна Каталог в ArcMap для администрирования размещенных сервисов следует использовать узел Мои размещенные сервисы вместо узла подключения ГИС-серверы. Это гарантирует, что вы видите только те функции, которые доступны через портал.
Сервер должен иметь достаточно свободного пространства, соответствующие ЦПУ и объем памяти, чтобы обеспечить нормальную работу размещенных сервисов. Следует проинструктировать издателей и постоянно контролировать метрики сервера, чтобы избежать недостатка ресурсов.
Рекомендации по использованию слоев листов и кэшированию
Слои карт представляют собой особый случай с точки зрения вычислительной мощности, потребляемой при решении одной большой задачи кэширования или нескольких более мелких задач. Публикуя кэшированный слой листов в крупном масштабе для большой области без разбора, один неопытный издатель может загрузить сервер таким большим объемом кэширования, что надолго займет все ресурсы портала.
Вы можете уменьшить влияние задач кэширования, если запустите сервис CachingTools в отдельном кластере ArcGIS Server, обособленно от других сервисов. Если это невозможно, можно уменьшить число экземпляров сервиса CachingTools, которые разрешается запускать одновременно, что позволит высвободить ЦПУ для обслуживания других сервисов.
Также можно ограничить число одновременно работающих заданий кэширования, уменьшив максимальное число экземпляров, разрешенных для сервиса CachingControllers. По умолчанию одновременно могут выполняться три задания.
Подробнее о распределении ресурсов сервера при кэшировании см. в разделе Распределение ресурсов сервера для кэширования.
Отмена интеграции сервера на портале
Вы можете отменить интеграцию сервера на портале, чтобы позволить им работать независимо.
Внимание:
Отмена интеграции сайта сервера имеет несколько значимых последствий, она не должна выполняться как часть обычного процесса устранения проблем. Отменить ее не просто, и она может иметь необратимые последствия. При удалении хост-сервера с портала ArcGIS Enterprise все существующие размещенные веб-слои перестанут работать. При добавлении хост-сервера обратно на портал размещенные сервисы не вернутся автоматически в рабочее состояние. Отменяйте интеграцию сервера, только если вы четко понимаете последствия.
Для отмены интеграции необходимо выполнить следующие шаги:
- Если интегрированный сервер, который вы хотите удалить, не является хост-сервером, и сервисы, которые были опубликованы на этом интегрированном сервере, больше не нужны, вы можете войти в ArcGIS Server Manager и удалить эти сервисы. Если эти сервисы будут использоваться в дальнейшем, пропустите этот шаг.
- Если этот интегрированный сервер является хост-сервером, то произведите вход в веб-сайт портала и удалите размещенные веб-слои, которые были опубликованы на портале.
- Удалите сайт ArcGIS Server с портала; это произведет восстановление хранилища настроек безопасности ArcGIS Server до стандартных настроек, а также удалит все элементы портала, которые были созданы на основе сервисов интегрируемого сервера.
- Настройте систему безопасности ArcGIS Server для использования нужных хранилищ пользователей и ролей.