ArcGIS Server サイトとポータルのフェデレートでは、セキュリティを統合し、ポータルのモデルを 1 つ以上の ArcGIS Server サイトと共有します。次の操作を実行する場合を除いて、フェデレーションはオプションです。
- SAML (Security Assertion Markup Language) ID プロバイダーを使用してサイトを構成する。
- ホスト タイル レイヤー、フィーチャ レイヤー、およびシーン レイヤーがポータルのメンバーによって公開される。
- Map Viewerで空間解析を実行することをポータルのメンバーに許可する。
このトピックの説明に従ってサーバーをポータルに追加する場合、サーバーをポータルとフェデレートすると言います。ユーザーのポータルに追加したサーバーは、フェデレーション サーバーと呼ばれます。
メモ:
ホスティング サーバーを含む ArcGIS Enterprise 基本配置のエレメントは、すべてポータルと同じバージョンである必要があります。すべての ArcGIS GeoEvent Server サイト、GeoAnalytics Server サイト、および ArcGIS Image Server ラスター解析サイトもポータルのバージョンと一致する必要があります。
ただし、バージョン 10.5 以降の ArcGIS Server サイトの中には、より新しいバージョンのポータルとフェデレートできるものもあります。これは、ホスティング サーバー以外の追加の ArcGIS GIS Server サイトやラスター解析用に指定されていない ArcGIS Image Server にも当てはまります。ArcGIS Server サイトは、サイト自体よりも前のバージョンのポータルとフェデレートすることはできません。
ArcGIS Server をポータルとフェデレートしたら、サーバーへのすべてのアクセスは、ポータルのセキュリティ ストアによって制御されます。これにより、便利なサインオンを可能にしますが、フェデレーション サーバーへのアクセスや管理に影響を与えます。たとえば、フェデレートすると、ArcGIS Server サービスで以前に構成したすべてのユーザー、ロール、および権限は利用できなくなります。代わりに、サービスへのアクセスは、ポータル メンバー、ロール、および共有権限によって決定されるようになります。フェデレートする前に、フェデレーションが既存のサイトに与える影響について、「フェデレーション サーバーの管理」の情報をご参照ください。
フェデレーションの実行時に ArcGIS Server サイトに存在するサービスは、アイテムとして自動的にポータルに追加されます。これらのアイテムは、フェデレーションを実行するポータル管理者によって所有されます。フェデレーションの実行後、ポータル管理者は、必要に応じて、既存のポータル メンバーにこれらのアイテムの所有権を再割り当てすることができます。これ以降、フェデレーション サーバーに公開するアイテムはすべて、ポータル上にアイテムとして自動的に追加され、アイテムを公開するユーザーによって所有されます。
フェデレーションの実行後は、必要に応じて、単一のサーバー サイトをポータルのホスティング サーバーとして指定できます。ポータルにホスティング サーバーが存在する場合に使用可能な機能の一覧については、「ArcGIS Server でのポータルの使用について」の表をご参照ください。 フェデレーション サーバーの 1 つをポータルのホスティング サーバーとして指定する手順については、「ホスティング サーバーの構成」をご参照ください。
レガシー:
10.8.1 以降、ポータルのホスティング サーバーの管理されたデータベースは、リレーショナル ArcGIS Data Store でなければなりません。エンタープライズ ジオデータベースを管理されたデータベースとして使用するサーバーは引き続きフェデレートできますが、これらをポータルのホスティング サーバーとして設定することはできません。
フェデレートする ArcGIS Server サイトで Web 層認証を使用している場合、Portal for ArcGIS とフェデレートする前に Web 層認証 (基本認証またはダイジェスト認証) を無効化し、サイトで構成されている ArcGIS Web Adaptor に対する匿名アクセスを有効化する必要があります。これは、一見間違っているように感じられますが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取れるようにするために必要な操作です。ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。これで次の手順に進むことができます。
メモ:
Portal for ArcGIS で組織のリバース プロキシ サーバーを使用する場合は、次の手順を実行する前に、Portal for ArcGIS をリバース プロキシ サーバーに追加する必要があります。手順の詳細については、「Portal for ArcGIS でのリバース プロキシ サーバーの使用」をご参照ください。
ArcGIS Server サイトを Portal for ArcGIS とフェデレートするには、次の手順に従います。
- デフォルトでは、ArcGIS Server は HTTP および HTTPS を使用して通信するように構成されています。Portal for ArcGIS では、デフォルトで通信に HTTPS が使用されています。すべての通信で強制的に HTTPS を使用することも ([HTTPS only])、どちらかのプロトコルを選択して使用することも ([HTTP and HTTPS]) できます。次のシナリオを除いて、選択したプロトコルとポータルのプロトコルが同じでなくてもかまいません。
- Portal for ArcGIS で統合 Windows 認証を使用する場合や組織内のすべての通信に HTTPS が必要な場合は、HTTPS のみを使用して通信するように ArcGIS Server と Portal for ArcGIS を設定する必要があります。
- サーバーをポータルのホスティング サーバーとして構成する場合は、選択した通信プロトコルとポータルのプロトコルを同じにする必要があります。たとえば、ポータルが [HTTPS only] の場合は、ホスティング サーバーを [HTTPS only] として設定する必要があります。ポータルが [HTTP and HTTPS] に対応している場合は、サーバーのプロトコルを [HTTP and HTTPS] に設定する必要があります。
ArcGIS Server の通信プロトコルの変更方法の詳細については、以下の手順をご参照ください。
- ArcGIS Server Administrator Directory を開き、管理者権限を持つユーザーとしてサイン インします。ArcGIS Server Administrator Directory の URL 形式は https://gisserver.domain.com:6443/arcgis/admin です。
- [security] > [config] > [update] の順にクリックします。
- [Operation - update] ページで、[Protocol] ドロップダウン リストから、次のいずれかを選択します。
- 組織内のすべての通信に HTTPS が必要な場合は、[HTTPS only] を選択します。
- ポータルで統合 Windows 認証を使用する場合は、[HTTPS only] を選択する必要があります。
- [更新] をクリックします。
ArcGIS Server サイトが再起動されます。サイトの再起動が完了するのを待ってから、次に進みます。
- ArcGIS Server Administrator Directory からサイン アウトします。
メモ:
ArcGIS Web Adaptor がサイトの通信プロトコルの変更を認識するまで、約 1 分かかります。
レガシー:
10.2.1 以前のバージョンでは、ArcGIS Server の通信プロトコルの更新後に、ArcGIS Web Adaptor を再構成する必要がありました。10.2.2 以降のバージョンでは、この作業は必要なくなりました。
- ワイルドカード セキュリティ証明書を使用する ArcGIS Server をフェデレートする場合、フェデレートする前に、ルート証明書をポータルにインポートします。ポータルにフェデレーション サーバーのワイルドカード証明書しかない場合、証明書の CNAME の検証ができないため、サービスの公開および一部の操作の実行ができません。
- 管理者として Portal for ArcGIS Web サイトにサイン インし、[組織] > [設定] > [サーバー] の順に移動します。
この手順では、ArcGIS Web Adaptor の URL (https://webadaptorhost.domain.com/webadaptorname/home など) を介して Web サイトに接続する必要があります。ポート 7443 では内部 URL を使用できません。
- [サーバーの追加] をクリックします。
- 次の情報を入力します。
- [サービス URL] - ArcGIS Server サイトにアクセスするときに外部ユーザーが使用する URL。サイトに ArcGIS Web Adaptor がある場合は、この URL に ArcGIS Web Adaptor のアドレスが含まれます (例: http://webadaptorhost.domain.com/webadaptorname)。ArcGIS Server を組織のリバース プロキシ サーバーに追加している場合、この URL はリバース プロキシ サーバーのアドレスになります (例: http://reverseproxy.domain.com/myorg)。組織がすべての通信に HTTPS を求める場合、HTTP の代わりに HTTPS プロトコルを使用します。フェデレーション操作では、指定された [サービス URL] がサーバー サイトからアクセス可能であるかどうかを確認するために整合チェックを実行します。結果として整合チェックが失敗した場合、Portal for ArcGIS ログに警告が生成されます。ただし、サービス URL にサーバー サイトからアクセスできないため (サーバー サイトがファイアウォールの内側にある場合など)、[サービス URL] が整合チェックされなかった場合、フェデレーションは失敗しません。
- [管理 URL] - 内部ネットワークで管理操作を実行するときに、ArcGIS Server にアクセスするために使用する URL。管理 URL の形式は、ポータルに追加される ArcGIS Server のタイプによって異なります。
- GIS Server、Image Server、または GeoAnalytics Server: https://server.domain.com:6443/arcgis
- Notebook Server: https://notebookserver.domain.com:11443/arcgis
- Mission Server: https://missionserver.domain.com:20443/arcgis
メモ:
複数コンピューターのサイトまたは可用性の高い ArcGIS Server とフェデレートする場合、または ArcGIS Server がクラウド環境でホストされている場合は、代わりに ArcGIS Web Adaptor またはロード バランサーの URL をこのフィールドに使用します。[管理 URL] 設定は、サーバーの 1 つが利用できないときでもポータルがサイト内のすべてのサーバーとの通信に使用できる URL でなければなりません。この URL に ArcGIS Web Adaptor を使用する場合は、ArcGIS Web Adaptor を介したサーバーへの管理アクセスが有効化されていることを確認します。
- [ユーザー名] - 最初に ArcGIS Server Manager にサイン インし、ArcGIS Server を管理するために使用されたプライマリ サイト管理者の名前。このアカウントが無効化されている場合、再び有効化する必要があります。
- [パスワード] - プライマリ サイト管理者のアカウントのパスワード。
- [追加] をクリックします。
- [Save] をクリックして、フェデレーション サーバーの設定を保存します。
サーバーをポータルとフェデレートしたら、https://gisserver.domain.com:6443/arcgis/manager などの URL を使用して ArcGIS Server Manager にサイン インします。サイトに複数の ArcGIS Server コンピューターが含まれている場合、URL は [管理 URL] 設定で指定したコンピューターの URL になります。ポータルの管理者またはポータル アカウントの名前とパスワードを入力するよう求められます。フェデレーション サーバーを使用する場合、他にもさまざまな違いがあります。詳細については、「フェデレーション サーバーの管理」をご参照ください。
サーバーをポータルとフェデレートしたら、以下の操作を行うこともできます。
フェデレーション サーバーの 1 つをホスティング サーバーとして構成 - この操作により、ポータル ユーザーはポータルにホスト レイヤーを公開できるようになります。この操作は、ポータル Web サイト、ArcMap の [カタログ] ツリーにある [マイ ホスト サービス] ノード、または ArcGIS Pro のいずれかから実行することができます。
ポータルのホスティング サーバーを指定すると、ホスティング サーバーの印刷サービスが自動的にポータルに構成されます。印刷サービスを開始して共有し、そのサービスをポータルで使用するだけです。ただし、以前に印刷サービスをポータルに構成している場合、ホスティング サーバーの指定時にその URL は更新されません。サービスを起動して、サービスを共有し、ユーティリティ サービスとしてサービスを構成する必要があります。
プライマリ サイト管理者アカウントの無効化 - この操作はすべてのサイトで必要なわけではありませんが、すべてのユーザーにポータル アカウントとトークンを強制的に使用させることで、セキュリティをさらに強化することができます。