如果要将 ArcGIS Server 站点与 Portal for ArcGIS 联合,需要注意的是,联合以后管理 ArcGIS Server 站点的方式将会发生改变。管理联合服务器方面的主要差异如下所示。
安全性差异
在联合 ArcGIS Server 站点与门户时,门户的安全性存储控制着对服务器的所有访问。这会影响到访问和管理联合服务器的方式。
用户、角色和权限
联合站点与门户后,之前在 ArcGIS Server 服务中配置的所有用户、角色和权限都不再有效。而服务访问权限将由门户成员、角色和共享权限决定。
与 ArcGIS Server 相似,门户将提供用户、发布者和管理员级别的权限。门户还提供一个查看器角色,该角色具有一组限定的权限。门户还包括联合服务器视为用户角色的自定义角色。向最终用户提供联合服务器之前,应先设置和检查门户中的这些权限。
联合站点与门户时,将自动在所有现有 ArcGIS Server Web 服务的门户中创建项目。这些项目归执行联合的管理员所有。联合站点与门户后,可根据需要将所有权重新分配给现有门户成员。联合以后,添加到门户的所有项目或服务将明确归创建项目或服务的成员所有。
联合时,将禁用隔离访问服务器功能。例如,任何具有发布者权限的用户可发布至任何联合服务器。但是,可以更新联合服务器的安全性配置,以限制管理访问和发布者访问。有关详细信息,请参阅以下联合服务器的细化访问控制。
查看器角色
已分配此角色的成员可以连接到并使用 ArcGIS Server 服务。作为查看器连接到联合服务器后,可以查看和使用与查看器或查看器所在群组共享的所有服务。查看器可以查看门户网站的自定义视图,可以使用组织地图、应用程序、图层和工具,还可以加入组织所有的群组。查看器没有创建、共享或拥有项目的权限。
用户角色
已分配此角色的成员可以连接到并使用 ArcGIS Server 服务。作为用户连接到联合服务器后,可以查看和使用与用户或用户所在群组共享的所有服务。用户可以查看门户网站的自定义视图,可以使用组织地图、应用程序、图层和工具,还可以加入组织所有的群组。用户还可以创建地图和应用程序、添加项目、共享内容及创建群组。
发布者角色
发布者只能使用已在门户中创建的服务。他们不能修改或删除其他发布者的服务。例如,连接到 ArcMap 中的联合服务器以后,将只显示发布者所发布的服务。发布者具有用户权限,还可以对地图的图层执行分析。
任何具有发布者权限的用户可发布至任何联合服务器。已发布到联合服务器的服务可自动添加为门户中的项目。直接发布至门户的托管服务在门户中显示为项目,在托管服务器中显示为服务。
管理员角色
管理员具有用户权限和发布者权限,并具有联合服务器托管的所有服务的权限。管理员还具有管理门户及其所有成员的权限。门户中必须至少有一个管理员。但是,对于可以管理组织的管理员数量没有限制。例如,如果门户中有五个成员,那么这五个成员都可以成为管理员。
自定义角色
自定义角色包括由管理员定义的一组特定权限。例如,具有自定义角色的成员可以创建内容,但是无法创建群组;他们可以发布要素,但是无法发布切片。在 10.5.1 和较早版本中,具有任何发布权限(针对要素、切片或场景)的自定义角色可以创建其他类型的 ArcGIS Server 服务。自 10.6 版本起,新增发布基于服务器的图层权限,将任何服务直接发布至 ArcGIS Server 需要该权限。
如果使用任何管理权限创建自定义角色,则 ArcGIS Server 将向该角色内的成员授予完全管理访问权限。其中包括将任何服务类型直接发布至 ArcGIS Server 以及查看和访问所有服务的权限。在为任何成员创建包括管理权限的自定义角色之前,需要考虑安全风险。
联合服务器的细化访问控制
您可以更新联合服务器以限制发布和管理访问。更新以后,所有门户管理员仍具有服务器的管理权限。默认情况下,具有发布者权限的门户成员将不授予服务器的发布权限。相反,发布者访问服务器则由名为 [联合服务器名称]_Publishers 的群组或名为 [联合服务器名称]_Publishers 的项目控制。要获得服务器的发布者权限,门户成员必须为 [联合服务器名称]_Publishers 群组的成员或 [联合服务器名称]_Publishers 项目已共享的群组的成员。同样,服务器的其他管理访问权限由名为 [联合服务器名称]_Administrators 的群组或名为 [联合服务器名称]_Administrators 的项目控制。要获得服务器的管理访问权限,门户成员必须为该群组的成员或项目已共享的群组的成员。
已在 ArcGIS Portal 目录中配置细化访问控制。联合服务器与门户后,请按照以下步骤更新服务器以启用该控制。
- 以具有管理权限的门户成员身份登录到 ArcGIS Portal 目录。门户目录的 URL 格式为 https://portal.domain.com/arcgis/portaladmin。
- 转到联合 > 服务器,然后单击需要编辑的服务器。
- 单击更新。
- 从服务器角色下拉菜单中,选择具有受限发布权限的联合服务器。
- 单击更新服务器。
您将看到 [联合服务器名称]_Administrators 和 [联合服务器名称]_Publishers 群组以及我的内容页面上的相应项目。这些将归更新服务器的门户成员所有。
连接到 Manager
只有在您的门户帐户已分配给管理员或发布者角色之后,才能连接到 ArcGIS Server Manager。无法使用已分配给查看器或用户角色的帐户登录 Manager。使用站点的主站点管理员帐户也不能登录 Manager。连接时,应使用应用 HTTPS 的 URL,并将服务器的完全限定域名称包括在内。
- 如果直接连接到 ArcGIS Server,则 URL 地址格式为 https://gisserver.domain.com:6443/arcgis/manager。若站点包括多个 GIS 服务器,那么在您联合站点的过程中,它将会是您为管理 URL 所指定的计算机的 URL。
- 如果通过 ArcGIS Web Adaptor 进行连接,需要确保 ArcGIS Web Adaptor 上已启用管理访问。将用于连接的 URL 地址格式为 https://webadaptorhost.domain.com/webadaptorname/manager。
如果门户已配置内置身份存储或轻量级目录访问协议 (LDAP),则需输入门户帐户的用户名和密码。
修改 Manager 的桌面快捷方式
ArcGIS Server 提供 ArcGIS Server Manager 的桌面快捷方式。默认快捷方式的 URL 格式为 http://localhost:6080/arcgis/manager,只要服务器尚未联合到 ArcGIS Enterprise 门户,该路径即为有效路径。如上节所述,使用 URL 格式 https://gisserver.domain.com:6443/arcgis/manager 访问联合服务器意味着默认快捷方式的 URL 会导致 Invalid redirect_uri 错误消息。请按照以下步骤更新联合服务器的快捷方式路径:
- 找到 <ArcGIS Server installation directory>/Support/Shortcuts 文件夹中的快捷方式文件。
- 在您的首选编辑程序中打开 ArcGIS Server Manager 快捷方式文件。应该按如下方法读取,尽管您指定的 Internet 浏览器可能有所不同:
[Desktop Entry] Comment=ArcGIS Server Manager Encoding=UTF-8 Exec=firefox localhost:6080/arcgis/manager Icon=web-browser Name=ArcGIS Server Manager Terminal=false Type=Application Keywords=arcgis;esri;
- 将 Exec 行中的 URL 修改为 https://gisserver.domain.com:6443/arcgis/manager 格式。
- 保存更改并退出程序。
现在,该快捷方式项目将使用更新的 URL 打开 ArcGIS Server Manager。
在 ArcGIS Desktop 中连接到服务器
在 ArcGIS Desktop 中,可使用任一门户帐户(例如,已分配给查看器、用户、发布者或管理员角色的帐户)连接到服务器。还可以使用 ArcGIS Server 站点中的主站点管理员帐户连接到服务器。
注:
您只能从 ArcGIS Pro 中建立到 ArcGIS Server 站点的用户连接;因此,即使您提供发布者或管理员帐户,您也无法在 ArcGIS Pro 中发布到或管理 ArcGIS Server 站点。要从 ArcGIS Desktop 客户端建立发布者或管理员连接,请使用 ArcMap。
如果使用添加 ArcGIS Server 向导连接到服务器,在提供服务器 URL 时,应指定使用 HTTPS 的 URL,并将服务器的完全限定域名称包括在内:
- 如果直接连接到 ArcGIS Server,则 URL 地址格式为 https://gisserver.domain.com:6443/arcgis。
- 如果以发布者或管理员的身份通过 ArcGIS Web Adaptor 进行连接,需确保 Web Adaptor 上已启用管理访问权限。将用于连接的 URL 地址格式为 https://webadaptorhost.domain.com/webadaptorname/manager。
如果门户已配置内置身份存储或轻量级目录访问协议 (LDAP),则需输入门户帐户的用户名和密码。 如果想使用主站点管理员帐户连接到 ArcGIS Server 站点,请输入该帐户的凭据。
连接到 ArcGIS Server 管理员目录和服务目录
连接到 ArcGIS Server 管理员目录时,可能需要提供门户令牌。登录页面介绍了如何获取此令牌。有关详细信息,请参阅访问联合服务器上的管理员目录。此外,如果直接通过端口 6080 或 6443 进行连接,可以使用服务器的主站点管理员帐户登录。
连接至 ArcGIS Server 服务目录时,无需提供令牌。将使用门户凭据登录。不能使用主站点管理员帐户登录。
门户托管服务器的行为
在指定联合服务器同时充当门户托管服务器时,可为门户提供功能强大的后端。允许具有最低发布者权限的门户用户发布缓存地图、要素服务和场景服务(切片图层、要素图层和场景图层)。这些用户的计算机上可能没有任何 ArcGIS 产品;他们可能仅通过门户网站上传 shapefile 或 CSV 文件来发布这些服务;但是,通过 ArcMap 发布仍是一种可选做法。
门户用户直接发布到门户的所有服务均为托管服务,它们都位于一个名为 Hosted 的 ArcGIS Server 文件夹中。这样,您便可以跟踪哪些服务是托管服务,哪些不是。如果通过门户删除托管服务,也会从服务器上删除此服务。发布到联合服务器的服务却并非如此;如果从门户中删除已发布到联合服务器的服务,此服务将不会从服务器中删除。
托管文件夹中列出的服务类型与其他服务器文件中列出的不同。这是为了匹配 Portal for ArcGIS 中显示的项类型。下表列出了所有受支持的托管服务及其更新的项类型:
ArcGIS Server 服务类型 | 托管文件夹/Portal for ArcGIS 项类型 |
---|---|
缓存地图服务 | 切片图层 |
缓存地图服务和要素服务 | 切片和要素图层 |
要素服务 | 要素图层 |
影像服务* | 影像图层 |
场景服务 | 场景图层 |
WFS 服务 | WFS 图层 |
*位于托管影像图层下面的影像服务运行在门户的栅格分析服务器上,而不是运行在门户的托管服务器上。
在 Manager 或 ArcMap 中查看和编辑托管服务属性时,仅有一组预期 ArcGIS Server 功能或操作可用。例如,Manager 中的服务图库或服务池化选项卡不会显示某些服务的实例信息。
在使用 ArcMap 中的目录窗口管理托管服务时,可通过我的托管服务节点而非 GIS 服务器连接节点来进行工作。这样可确保您仅查看门户提供的功能。
托管服务器应具有足够的存储空间、CPU 和内存,以容纳其托管的服务。您应仔细培训发布者,并监控服务器指标以避免超出容量。
切片图层和缓存作业的注意事项
单个大型缓存作业或多个并发作业需要的处理能力使得切片图层面临特殊挑战。通过以大比例发布切片层来覆盖任意大型区域,一个未经培训的门户发布者会将很大的缓存作业发送到服务器,这会长时间占用门户资源。
您通过在独立于其他服务的 ArcGIS Server 群集中运行 CachingTools 服务,可能会减少缓存作业的影响。如果此方法不可行,可减少允许同时运行的 CachingTools 服务实例的数量,从而使 CPU 循环用于其他服务。
您还可减少允许的 CachingControllers 服务实例的最大数量,以限制一次运行的缓存作业数量。默认情况下,可同时运行三个作业。
有关如何为缓存作业分配服务器资源的详细信息,请参阅分配服务器资源以创建缓存。
解除服务器与门户的联合
您可以解除服务器与门户的联合,从而允许它们独立于彼此继续运作。
警告:
取消联合服务器站点会导致多个严重后果,并且不应该作为常规故障排除的一部分来完成。该操作不易撤消,并且可能会造成不可逆的后果。从 ArcGIS Enterprise 门户中删除托管服务器会使现有托管 Web 图层无法使用。重新添加托管服务器不会将托管服务返回到可用状态。仅当您清楚了解影响后,才能取消联合站点。
取消联合需要以下步骤:
- 如果要删除的联合服务器不是托管服务器,并且不再需要发布到此联合服务器的服务,则可以登录到 ArcGIS Server Manager 并删除这些服务。如果仍要使用这些服务,则跳过此步骤。
- 如果此联合服务器是托管服务器,请登录到门户网站,然后删除已发布到门户的托管 Web 图层。
- 如果此联合服务器也是托管服务器,并且您不再需要在托管服务器上运行的任何服务,请禁用托管服务器,从而使门户用户无法再发布到该服务器。
- 从您的门户中移除 ArcGIS Server 站点,这会将 ArcGIS Server 安全性存储恢复为默认设置,并移除在联合服务器期间任何来自服务器的门户项目。
- 配置 ArcGIS Server 安全性以使用所需的用户和角色存储。