如果要将 ArcGIS Server 站点与 ArcGIS Enterprise 门户联合,需要注意的是,联合以后管理 ArcGIS Server 站点的方式将会发生改变。 管理联合服务器方面的主要差异如下所示。
安全性差异
在联合 ArcGIS Server 站点与门户后,门户的安全性存储可控制对服务器的所有访问权限。 这会影响到访问和管理联合服务器的方式。
用户、角色和权限
联合站点与门户后,之前在 ArcGIS Server 服务中配置的所有用户、角色和权限都不再有效。 而服务访问权限将由门户成员、角色和共享权限决定。
与 ArcGIS Server 相似,门户将提供用户、发布者和管理员级别的权限。 门户还提供一个查看者角色,该角色具有一组限定的权限。 门户还包括联合服务器视为用户角色的自定义角色。 向最终用户提供联合服务器之前,应先设置和检查门户中的这些权限。
联合站点与门户时,将自动在所有现有 ArcGIS Server Web 服务的门户中创建项目。 这些项目归执行联合的管理员所有。 联合站点与门户后,可根据需要将所有权重新分配给现有门户成员。 联合以后,添加到门户的所有项目或服务将明确归创建项目或服务的成员所有。
联合时,将禁用隔离访问服务器功能。 例如,任何内置发布者角色的成员都可以发布到任何联合服务器。 但是,可以更新联合服务器的安全性配置,以限制管理访问和发布者访问。 有关详细信息,请参阅以下联合服务器的细化访问控制。
查看者角色
已分配此角色的成员可以连接到并使用 ArcGIS Server 服务。 作为查看者连接到联合服务器后,可以查看和使用与查看者或查看者所在群组共享的所有服务。 查看者可以查看门户网站的自定义视图,可以使用组织地图、应用程序、图层和工具,还可以加入组织所有的群组。 查看者没有创建、共享或拥有项目的权限。
用户角色
已分配此角色的成员可以连接到并使用 ArcGIS Server 服务。 作为用户连接到联合服务器后,可以查看和使用与用户或用户所在群组共享的所有服务。 用户可以查看门户网站的自定义视图,可以使用组织地图、应用程序、图层和工具,还可以加入组织所有的群组。 用户还可以创建地图和应用程序、添加项目、共享内容及创建群组。
发布者角色
发布者只能删除或修改已在门户中创建的服务。 他们不能修改或删除其他发布者的服务。 但是,发布者拥有用户权限,并且他们可以使用其他发布者与其共享的任何图层。
任何具有发布者权限的用户可发布至任何联合服务器。 已发布到联合服务器的服务可自动添加为门户中的项目。 直接发布至门户的托管服务在门户中显示为项目,在托管服务器中显示为服务。
管理员角色
管理员具有用户权限和发布者权限,并具有访问联合服务器托管的所有服务的权限。 管理员还具有管理门户及其所有成员的权限。 门户中必须至少有一个管理员。 但是,对于可以管理组织的管理员数量没有限制。 例如,如果门户中有五个成员,那么这五个成员都可以成为管理员。
自定义角色
自定义角色包括由管理员定义的一组特定权限。 例如,具有自定义角色的成员可以创建内容,但是无法创建群组;他们可以发布要素,但是无法发布切片。 要允许成员将服务发布到联合 ArcGIS Server 站点,必须为该角色分配常规内容发布基于服务器的图层权限。
如果使用任何管理权限来创建自定义角色,则 ArcGIS Server 将向具有该角色的成员授予有限的管理访问权限。 其中包括将任何服务类型直接发布至 ArcGIS Server 以及查看和访问所有服务的权限。 在为任何成员创建包括管理权限的自定义角色之前,需要考虑安全风险。
联合服务器的细化访问控制
您可以更新联合服务器以限制发布和管理访问。 更新以后,所有门户管理员仍具有服务器的管理权限。 默认情况下,具有发布者权限的门户成员将不授予服务器的发布权限。 相反,发布者访问服务器则由名为 [联合服务器名称]_Publishers 的群组或名为 [联合服务器名称]_Publishers 的项目控制。
注:
不得更改默认组和项目名称。
要获得服务器的发布者权限,门户成员必须为 [联合服务器名称]_Publishers 群组的成员或 [联合服务器名称]_Publishers 项目已共享的群组的成员。 同样,服务器的其他管理访问权限由名为 [联合服务器名称]_Administrators 的群组或名为 [联合服务器名称]_Administrators 的项目控制。 要获得服务器的管理访问权限,门户成员必须为该群组的成员或项目已共享的群组的成员。
已在 ArcGIS Portal 目录中配置细化访问控制。 联合服务器与门户后,请按照以下步骤更新服务器以启用该控制。
- 以具有管理权限的门户成员身份登录到 ArcGIS Portal 目录。
门户目录的 URL 格式为 https://portal.domain.com/arcgis/portaladmin。
- 转到联合 > 服务器,然后单击需要编辑的服务器。
- 单击更新。
- 从服务器角色下拉菜单中,选择具有受限发布权限的联合服务器。
- 单击更新服务器。
您将看到 [联合服务器名称]_Administrators 和 [联合服务器名称]_Publishers 群组以及我的内容页面上的相应项目。 这些将归更新服务器的门户成员所有。
连接到 Server Manager
只有在为门户帐户分配管理员权限或发布者角色之后才能连接到 ArcGIS Server Manager。 无法使用已分配给查看者、用户角色或自定义角色的帐户登录到 Server Manager。 使用站点的主站点管理员帐户也不能登录 Manager。 连接时,请选择使用 HTTPS 的 URL,并将服务器的完全限定域名称包括在内:
- 如果直接连接到 ArcGIS Server,则 URL 地址格式为 https://gisserver.domain.com:6443/arcgis/manager。 若站点包括多个计算机,那么在您联合站点的过程中,它将会是您为管理 URL 所指定的计算机的 URL。
- 如果您通过 ArcGIS Web Adaptor 进行连接,则必须确保在 ArcGIS Web Adaptor 上启用了管理访问权限。 用于连接的 URL 地址格式为 https://webadaptorhost.domain.com/webadaptorname/manager。
如果门户已配置内置身份存储或轻量级目录访问协议 (LDAP),则您必须提供门户帐户的用户名和密码。 如果门户已配置了 Windows Active Directory,则系统会提示您输入 Windows 凭据或自动登录到 Server Manager。
修改 Server Manager 的桌面快捷方式
ArcGIS Server 提供 ArcGIS Server Manager 的桌面快捷方式。 默认快捷方式的 URL 格式为 http://localhost:6080/arcgis/manager,只要服务器尚未联合到 ArcGIS Enterprise 门户,该路径即为有效路径。 如上节所述,使用 URL 格式 https://gisserver.domain.com:6443/arcgis/manager 访问联合服务器意味着默认快捷方式的 URL 会导致 Invalid redirect_uri 错误消息。 请按照以下步骤更新联合服务器的快捷方式路径:
- 在联合服务器上的 Windows 开始菜单中,右键单击 ArcGIS Server Manager 快捷方式,单击更多,然后单击打开文件位置。
- 在打开的“文件资源管理器”窗口中,右键单击 ArcGIS Server Manager 快捷方式项目并再次选择打开文件位置。
文件夹 C:\Program Files\Common Files\ArcGIS\Support\Shortcuts 中的快捷方式链接随即打开。
- 剪切 Manager 快捷方式项目并将其粘贴到桌面上。
Manager 快捷方式项目现已从其原始位置删除。
- 右键单击所粘贴的项目,打开属性,然后修改 URL 属性,从而使 URL 使用 HTTPS 和 6443 端口进行连接。
例如,URL 应类似于以下内容:https://gisserver.domain.com:6443/arcgis/manager,其中 gisserver.domain.com 是 ArcGIS Server 站点中一台计算机的完全限定域名。
- 单击确定以应用更改并关闭属性窗口。
- 剪切已修改的快捷方式项目并将其粘贴回 C:\Program Files\Common Files\ArcGIS\Support\Shortcuts 文件夹。
现在,该快捷方式项目将从 Windows 开始菜单中打开 ArcGIS Server Manager。
在 ArcGIS Pro 中连接到服务器
在 ArcGIS Pro 中连接到门户后,您即可在发布时选择联合服务器。 请参阅 ArcGIS Pro 帮助中的通过 ArcGIS Pro 管理门户连接和共享 web 图层简介。
连接到 ArcGIS Server Administrator Directory 和 Services Directory
连接到 ArcGIS Server Administrator Directory 时,可能需要提供门户令牌。 登录页面介绍了如何获取此令牌。 有关详细信息,请参阅在联合服务器上访问 Administrator Directory。 此外,如果直接通过端口 6080 或 6443 进行连接,可以使用服务器的主站点管理员帐户登录。
连接至 ArcGIS Server 服务目录时,无需提供令牌。 使用门户管理员的凭据进行登录。 不能使用主站点管理员帐户进行登录。
门户托管服务器的行为
一旦您将联合 ArcGIS GIS Server 站点指定为门户的托管服务器,您就为发布者提供了创建缓存地图切片、要素服务和场景服务(切片图层、要素图层和场景图层)的功能。 这些用户的计算机上可能没有任何 ArcGIS 产品;他们可能仅通过门户网站上传 shapefile 或 .csv 文件来发布这些服务;但是,通过 ArcGIS Pro 发布仍是一种可选做法。
直接发布到门户的服务为托管服务,这些服务都位于托管服务器上一个名为 Hosted 的 ArcGIS Server 文件夹中。 这样,您便可以追踪哪些服务是托管服务,哪些不是。
如果您删除了门户中的托管图层项目,则系统也会从托管服务器中删除该服务。 同样,如果您删除了引用联合服务器上服务的项目,则从门户中删除该项目的同时将删除该服务。 对于发布到联合服务器的服务和直接发布到门户的托管服务均适用。
下表列出了受支持的托管服务及其项目类型:
ArcGIS Server 服务类型 | 门户项目类型 |
---|---|
缓存地图服务 | |
缓存地图服务和要素服务 | |
要素服务 | |
影像服务* | |
场景服务 | |
WFS 服务 | |
矢量切片服务 | |
知识图谱服务** | 知识图谱 |
*托管影像图层引用的影像服务运行在门户的栅格分析服务器或影像托管服务器上,而不是运行在门户的托管服务器上。
**托管知识图谱所引用的知识图谱服务将在门户的知识服务器上而非门户的托管服务器上运行。
在 Server Manager 中查看和编辑托管服务属性时,仅有一组 ArcGIS Server 功能或操作可用。 例如,Server Manager 中的服务图库或服务池化选项卡不会显示某些服务的实例信息。
托管服务器需要足够的存储空间、CPU 和内存,以容纳其托管的服务。 培训您的发布者,使其了解服务将如何影响托管服务器上的资源,并监控托管服务器计算机上的指标以避免超出容量。
切片图层和缓存作业的注意事项
单个大型缓存作业或多个并发作业需要的处理能力使得切片图层面临特殊挑战。 通过以大比例发布切片层来覆盖任意大型区域,一个未经培训的门户发布者会将很大的缓存作业发送到服务器,这会长时间占用门户资源。
您通过在独立于其他服务的 ArcGIS Server 群集中运行 CachingTools 服务,可能会减少缓存作业的影响。 如果此方法不可行,可减少允许同时运行的 CachingTools 服务实例的数量,从而使 CPU 循环用于其他服务。
您还可减少允许的 CachingControllers 服务实例的最大数量,以限制一次运行的缓存作业数量。 默认情况下,可以同步运行三个作业。
有关如何为缓存作业分配服务器资源的详细信息,请参阅分配服务器资源以创建缓存。
解除服务器与门户的联合
警告:
您可以解除 ArcGIS Server 站点与门户的联合,从而允许它们独立于彼此继续运作。 但是,取消联合 ArcGIS Server 站点会导致多个严重后果,并且不应该作为常规故障排除的一部分来完成。 该操作不易撤消,并且可能会造成不可逆的后果。 从 ArcGIS Enterprise 门户中移除托管服务器会使现有托管 Web 图层无法使用。 重新添加托管服务器不会将托管服务返回到可用状态。 仅当您清楚了解影响后,才能取消联合站点。
只有具备有限数量角色的站点才能作为独立 ArcGIS Server 站点运行。 例如,ArcGIS GeoAnalytics Server 站点和 ArcGIS Knowledge Server 站点无法作为独立站点运行,且解除联合会使这些站点变得不可用。
取消联合需要以下步骤:
- 删除服务。
如果服务位于托管服务器上,则您必须将其删除。 如果服务位于可以充当独立 ArcGIS Server 站点的联合服务器上,则您可以跳过此步骤。
- 如果要移除的联合服务器不是托管服务器,并且不再需要发布到此联合服务器的服务,则可以以管理员身份登录到 ArcGIS Server Manager 并删除这些服务。
- 如果此联合服务器是托管服务器,请登录到门户网站,然后删除已发布到门户的托管 Web 图层。
- 从您的门户中移除 ArcGIS Server 站点,这会将 ArcGIS Server 安全性存储恢复为默认设置,并移除在联合服务器期间任何来自服务器的门户项目。
- 配置 ArcGIS Server 安全性以使用所需的用户和角色存储。