通过联合 ArcGIS Server 站点与门户,可以集成门户与一个或多个 ArcGIS Server 站点的安全性并共享模型。除非您希望进行以下操作,否则联合为可选项:
- 使用安全声明标记语言 (SAML) 身份提供者配置站点。
- 托管由门户成员发布的切片图层、要素图层和场景图层。
- 允许门户成员在Map Viewer中执行空间分析。
按本主题介绍的方式将服务器添加到门户后,即可视为将服务器与门户联合。已添加到门户的服务器成为联合服务器。
注:
ArcGIS Enterprise 基础部署的元素,其中包括托管服务器在内,必须与门户的版本相同。这也适用于 ArcGIS GeoEvent Server、GeoAnalytics Server 和栅格分析服务器实例。但是,在 10.5 版或更高版本中没有指定用于栅格分析的 ArcGIS GIS Server 其他实例和任何 ArcGIS Image Server 可以与 10.6.x 门户联合。在联合服务器与门户后,门户的安全性存储可控制对服务器的所有访问。这提供了便捷的登录体验,但同时也会影响您访问和管理联合服务器的方式。例如,在联合服务器与门户后,之前在 ArcGIS Server 服务中配置的诸如用户、角色及权限都不再有效。而服务访问权限将由门户成员、角色和共享权限决定。联合之前,请查看管理联合服务器中的信息以了解更多关于联合如何影响您现有站点的信息。
进行联合时 ArcGIS Server 站点上包含的服务将自动添加到门户作为项目。这些项目归执行联合的门户管理员所有。联合后,门户管理员可以根据需要将这些项目的所有权重新分配给现有门户成员。发布到联合服务器的所有后续项目将在门户中作为项目自动进行添加,并归发布它们的用户所有。
联合后,可以选择将单个服务器站点指定为门户托管服务器。有关在门户具有托管服务器时的可用功能列表,请参阅关于将服务器与 Portal for ArcGIS 配合使用中的表格。 有关指定联合服务器之一作为门户的托管服务器的说明,请参阅配置托管服务器。
旧版本:
从 10.6.1 开始,门户托管服务器的托管数据库必须为关系 ArcGIS 数据存储。您可以继续联合使用企业级地理数据库的服务器作为其托管数据库,但不能将其设置为门户的托管服务器。
如果将联合的服务器使用的是 Web 层身份验证,您需要禁用 Web 层身份验证(基本式或摘要式),然后在将服务器与门户进行联合前启用对配置了站点的 ArcGIS Web Adaptor 的匿名访问。虽然这听起来可能有悖常理,但是必需如此站点才能自由与门户联合并读取门户中的用户和角色。如果您的 ArcGIS Server 站点尚未使用 Web 层身份验证,则无需执行任何操作。您可以继续执行以下步骤。
注:
如果要将组织的反向代理服务器与 Portal for ArcGIS 结合使用,则在执行以下步骤之前需要向反向代理服务器添加门户。有关完整说明,请参阅将反向代理服务器与 Portal for ArcGIS 结合使用。
下列步骤将说明如何将 ArcGIS Server 站点与门户联合:
- 默认情况下,将 ArcGIS Server 配置为使用 HTTP 和 HTTPS 进行通信。Portal for ArcGIS 默认使用 HTTP 和 HTTPS 进行通信。可强制使用 HTTPS 进行所有调用(仅 HTTPS),或者允许服务器使用 HTTP 和 HTTPS 中的任一协议。所选协议不必与门户的协议相匹配,除非在以下情况下:
- 如果要在门户中使用集成的 Windows 身份验证,或者组织中所有通信都需要 HTTPS,则必须将 ArcGIS Server 和 Portal for ArcGIS 配置为仅使用 HTTPS 进行通信。
- 如果要将服务器配置为门户的托管服务器,则所选通信协议应与门户的协议相匹配。例如,如果门户协议为仅使用 HTTPS,则托管服务器应配置为仅使用 HTTPS。如果门户支持 HTTP 和 HTTPS,则服务器协议应配置为 HTTP 和 HTTPS。
有关更改 ArcGIS Server 通信协议的完整说明,请参阅以下步骤:
- 打开 ArcGIS Server 管理员目录,然后以具有管理权限的用户身份登录。管理员目录 URL 的格式为 https://gisserver.domain.com:6443/arcgis/admin。
- 单击安全 > 配置 > 更新。
- 在操作 - 更新页面上的协议下拉列表中选择以下之一:
- 如果组织中的所有通信都需要 HTTPS,则选择仅 HTTPS。
- 如果在 portal 中使用集成的 Windows 身份验证,则必须选择仅 HTTPS。
- 单击更新。
将重新启动 ArcGIS Server 站点。等待完全重新启动后才能继续操作。
- 登出管理员目录。
注:
Web Adaptor 需要大约一分钟的时间来识别站点通信协议的更改。
旧版本:
在 10.2.1 和较早版本中,需要在更新 ArcGIS Server 的通信协议后重新配置 ArcGIS Web Adaptor。在 10.2.2 和更高版本中,无需再执行此操作。
- 如果要联合使用通配符安全证书的 ArcGIS Server,请在联合前将根证书导入门户。如果门户只有一个适用于联合服务器的通配符证书,则无法验证 CNAME 证书,因此将无法发布服务或执行其他一些操作。
- 以管理员身份登录到 Portal for ArcGIS,然后浏览到组织 > 编辑设置 > 服务器。
在此步骤中,您必须通过 Web Adaptor URL(例如 https://webadaptorhost.domain.com/webadaptorname/home)连接到网站。请勿使用端口 7443 上的内部 URL。
- 单击添加服务器。
- 提供以下信息:
- 服务 URL - 访问 ArcGIS Server 站点时外部用户使用的 URL。如果此站点包含 Web Adaptor,则此 URL 包含 Web Adaptor 地址,例如 http://webadaptorhost.domain.com/webadaptorname。如果您已向组织的反向代理服务器添加了 ArcGIS Server,则 URL 为反向代理服务器地址(例如,http://reverseproxy.domain.com/myorg)。如果组织中的所有通信都需要 HTTPS,请使用 https 而不选择 http。请注意,联合操作将执行验证校验以确定是否可从服务器站点访问提供的服务 URL。如果生成的验证校验失败,将在 Portal for ArcGIS 日志中生成一个警告。但是,如果未验证服务 URL,则联合将不会失败,因为可能无法从服务器站点访问 URL,例如当服务器站点在防火墙后面时。
- 管理 URL - 在内部网络执行管理操作时用于访问 ArcGIS Server 的 URL,例如 http://gisserver.domain.com:6080/arcgis。如果组织中的所有通信都需要 HTTPS(例如使用集成式 Windows 身份验证时),请使用 https://gisserver.domain.com:6443/arcgis。
注:
如果与多机站点或高可用性 ArcGIS Server 联合,或者如果 ArcGIS Server 托管在云环境中,则需要改用此字段中的 Web Adaptor 或负载均衡器 URL。管理 URL 必须是门户可用于与站点中的所有服务器进行通信的 URL,即使在其中一个服务器不可用的情况下也是如此。如果将 Web Adaptor 用于此 URL,请确保已通过 Web Adaptor 启用服务器的管理权限。
- 用户名 - 用于初始登录到 Manager 和管理 ArcGIS Server 的主站点管理员帐户的名称。如果该帐户不可用,您需要重新启用它。
- 密码 - 主站点管理员帐户的密码。
- 单击添加。
- 单击保存以保存联合服务器设置。
现已将服务器与门户联合,您将使用 URL(如 https://gisserver.domain.com:6443/arcgis/manager)登录 ArcGIS Server Manager。如果站点包括多个 ArcGIS Server 计算机,它将会是您为管理 URL 所指定的计算机的 URL。需要您提供门户帐户的用户名和密码。使用联合服务器登录门户时,与使用非联合服务器登录有各种不同之处,详情请参阅管理联合服务器。
将服务器与门户联合后,您可能还希望执行以下操作:
将联合服务器之一配置为托管服务器 - 这样即允许门户用户向此门户发布托管图层。用户可以使用门户网站或者 ArcMap 或 ArcGIS Pro 中目录树下的我的托管服务结点执行此操作。
为门户指定托管服务器时,该托管服务器的打印服务会自动通过门户进行配置。仅需启动并共享打印服务便能在门户中使用该服务。但如果您之前已通过门户配置了打印服务,则在指定托管服务器时不会更新此 URL。您需要启动服务、共享服务并将其配置为实用程序服务。
禁用主站点管理员帐户 - 并不是所有站点都需要此操作,但是此操作可通过强制所有用户使用门户帐户和令牌提供额外的安全性措施。