ArcGIS Server サイトとポータルのフェデレートでは、セキュリティを統合し、ポータルのモデルを 1 つ以上の ArcGIS Server サイトと共有します。 次の操作を実行する場合を除いて、フェデレーションはオプションです。
- SAML (Security Assertion Markup Language) ID プロバイダーを使用してサイトを構成する。
- ホスト タイル レイヤー、フィーチャ レイヤー、およびシーン レイヤーがポータルのメンバーによって公開される。
- Map Viewerで空間解析を実行することをポータルのメンバーに許可する。
このトピックの説明に従ってサーバーをポータルに追加する場合、サーバーをポータルとフェデレートすると言います。 ユーザーのポータルに追加したサーバーは、フェデレーション サーバーと呼ばれます。
メモ:
ホスティング サーバーを含む ArcGIS Enterprise 基本配置のエレメントは、すべてポータルと同じバージョンである必要があります。 すべての ArcGIS GeoEvent Server サイト、GeoAnalytics Server サイト、および ArcGIS Image Server ラスター解析サイトもポータルのバージョンと一致する必要があります。
ただし、バージョン 10.5 以降の ArcGIS Server サイトの中には、より新しいバージョンのポータルとフェデレートできるものもあります。 これは、ホスティング サーバー以外の追加の ArcGIS GIS Server サイトやラスター解析用に指定されていない ArcGIS Image Server にも当てはまります。 ArcGIS Server サイトは、サイト自体よりも前のバージョンのポータルとフェデレートすることはできません。
ArcGIS Server をポータルとフェデレートしたら、サーバーへのすべてのアクセスは、ポータルのセキュリティ ストアによって制御されます。 これにより、便利なサインオンを可能にしますが、フェデレーション サーバーへのアクセスや管理に影響を与えます。 たとえば、フェデレートすると、ArcGIS Server サービスで以前に構成したすべてのユーザー、ロール、および権限は利用できなくなります。 代わりに、サービスへのアクセスは、ポータル メンバー、ロール、および共有権限によって決定されるようになります。 フェデレートする前に、フェデレーションが既存のサイトに与える影響について、「フェデレーション サーバーの管理」の情報をご参照ください。
フェデレーションの実行時に ArcGIS Server サイトに存在するサービスは、アイテムとして自動的にポータルに追加されます。 これらのアイテムは、フェデレーションを実行するポータル管理者によって所有されます。 フェデレーションの実行後、ポータル管理者は、必要に応じて、既存のポータル メンバーにこれらのアイテムの所有権を再割り当てすることができます。 これ以降、フェデレーション サーバーに公開するアイテムはすべて、ポータル上にアイテムとして自動的に追加され、アイテムを公開するユーザーによって所有されます。
フェデレーションの実行後は、必要に応じて、単一のサーバー サイトをポータルのホスティング サーバーとして指定できます。 ポータルにホスティング サーバーが存在する場合に使用可能な機能の一覧については、「Portal for ArcGIS でのサーバーの使用について」の表をご参照ください。 フェデレーション サーバーの 1 つをポータルのホスティング サーバーとして指定する手順については、「ホスティング サーバーの構成」をご参照ください。
レガシー:
10.6.1 以降、ポータルのホスティング サーバーの管理されたデータベースは、リレーショナル ArcGIS Data Store でなければなりません。 エンタープライズ ジオデータベースを管理されたデータベースとして使用するサーバーは引き続きフェデレートできますが、これらをポータルのホスティング サーバーとして設定することはできません。
フェデレートする ArcGIS Server サイトで Web 層認証を使用している場合、Portal for ArcGIS とフェデレートする前に Web 層認証 (基本認証またはダイジェスト認証) を無効化し、サイトで構成されている ArcGIS Web Adaptor に対する匿名アクセスを有効化する必要があります。 これは、一見間違っているように感じられますが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取れるようにするために必要な操作です。 ArcGIS Server サイトで Web 層認証を使用していない場合は、上記の操作は必要ありません。 これで次の手順に進むことができます。
メモ:
Portal for ArcGIS で組織のリバース プロキシ サーバーを使用する場合は、次の手順を実行する前に、Portal for ArcGIS をリバース プロキシ サーバーに追加する必要があります。 手順の詳細については、「Portal for ArcGIS でのリバース プロキシ サーバーの使用」をご参照ください。
ArcGIS Server サイトを Portal for ArcGIS とフェデレートするには、次の手順に従います。
- デフォルトでは、ArcGIS Enterprise コンポーネントの通信には HTTPS のみが使用され、HTTP プロトコルは使用できません。 ただし、ArcGIS Server ではどちらのプロトコル (HTTP と HTTPS) も使用できます 次のシナリオを除いて、選択したプロトコルとポータルのプロトコルが同じでなくてもかまいません。
- Portal for ArcGIS で統合 Windows 認証を使用する場合や組織内のすべての通信に HTTPS が必要な場合は、HTTPS のみを使用して通信するように ArcGIS Server と Portal for ArcGIS を設定する必要があります。
- サーバーをポータルのホスティング サーバーとして構成する場合は、選択した通信プロトコルとポータルのプロトコルを同じにする必要があります。 たとえば、ポータルが [HTTPS only] の場合は、ホスティング サーバーを [HTTPS only] として設定する必要があります。 ポータルが [HTTP and HTTPS] に対応している場合は、サーバーのプロトコルを [HTTP and HTTPS] に設定する必要があります。
ArcGIS Server の通信プロトコルの変更方法の詳細については、以下の手順をご参照ください。
- ArcGIS Server Administrator Directory を開き、管理者権限を持つユーザーとしてサイン インします。 ArcGIS Server Administrator Directory の URL 形式は https://gisserver.domain.com:6443/arcgis/admin です。
- [security] > [config] > [update] の順にクリックします。
- [Operation - update] ページで、[Protocol] ドロップダウン リストから、次のいずれかを選択します。
- 組織内のすべての通信に HTTPS が必要な場合は、[HTTPS only] を選択します。
- ポータルで統合 Windows 認証を使用する場合は、[HTTPS only] を選択する必要があります。
- [Update] をクリックします。
ArcGIS Server サイトが再起動されます。 サイトの再起動が完了するのを待ってから、次に進みます。
- ArcGIS Server Administrator Directory からサイン アウトします。
メモ:
ArcGIS Web Adaptor がサイトの通信プロトコルの変更を認識するまで、約 1 分かかります。
レガシー:
10.2.1 以前のバージョンでは、ArcGIS Server の通信プロトコルの更新後に、ArcGIS Web Adaptor を再構成する必要がありました。 10.2.2 以降のバージョンでは、この作業は必要なくなりました。
- ワイルドカード セキュリティ証明書を使用する ArcGIS Server をフェデレートする場合、フェデレートする前に、ルート証明書をポータルにインポートします。 ポータルにフェデレーション サーバーのワイルドカード証明書しかない場合、証明書の CNAME の検証ができないため、サービスの公開および一部の操作の実行ができません。
- サーバー サイトをポータルへ追加するには、次の手順に従います。
サーバーをポータルとフェデレートしたら、https://gisserver.domain.com:6443/arcgis/manager などの URL を使用して ArcGIS Server Manager にサイン インします。 サイトに複数の ArcGIS Server コンピューターが含まれている場合、URL は [管理 URL] 設定で指定したコンピューターの URL になります。 ポータルの管理者またはポータル アカウントの名前とパスワードを入力するよう求められます。 フェデレーション サーバーを使用する場合、他にもさまざまな違いがあります。詳細については、「フェデレーション サーバーの管理」をご参照ください。
サーバーをポータルとフェデレートしたら、以下の操作を行うこともできます。
フェデレーション サーバーの 1 つをホスティング サーバーとして構成 - この操作により、ポータル ユーザーはポータルにホスト レイヤーを公開できるようになります。 この操作は、ポータル Web サイトで実行するか、ArcMap の [カタログ] ツリーにある [マイ ホスト サービス] ノードから実行するか、ArcGIS Pro から実行できます。
ポータルのホスティング サーバーを指定すると、ホスティング サーバーの印刷サービスが自動的にポータルに構成されます。 印刷サービスを開始して共有し、そのサービスをポータルで使用するだけです。 ただし、以前に印刷サービスをポータルに構成している場合、ホスティング サーバーの指定時にその URL は更新されません。 サービスを起動して、サービスを共有し、ユーティリティ サービスとしてサービスを構成する必要があります。
プライマリ サイト管理者アカウントの無効化 - この操作はすべてのサイトで必要なわけではありませんが、すべてのユーザーにポータル アカウントとトークンを強制的に使用させることで、セキュリティをさらに強化することができます。