トップへ戻る

サーバー サイトのフェデレート

このトピックの内容

  1. サーバー サイトの追加
  2. フェデレーション サーバーの詳細なアクセス制御

フェデレーションのプロセスにより、ArcGIS Server のサイトが ArcGIS Enterprise とリンクされ、組織の機能が拡張されて、サーバー サイトのコンテンツが ArcGIS Enterprise と自動的に共有されます。

ArcGIS Enterprise on Kubernetes では、フェデレーションのプロセスはオプションです。 Windows や Linux のコンピューターで動作する追加のサーバー サイトと接続し、組織でサービスを操作できます。 このリリースでは、次のタイプの Windows ベースのサーバーと Linux ベースのサーバーを ArcGIS Enterprise on Kubernetes とフェデレートできます。

  • ArcGIS GIS Server
  • ArcGIS Image Server
  • ArcGIS Workflow Manager Server

詳細:

ArcGIS Enterprise on Kubernetes には Kubernetes Pod に基づく独自のサービス アーキテクチャがあり、ホスティング サーバーが含まれています。 ArcGIS Enterprise on Kubernetes をデプロイすると、Map Viewer でサービスの公開、ホスト レイヤーの作成、解析ワークフローの実行をすぐに開始できます。

フェデレーションの実行時に ArcGIS Server サイトに存在するサービスは、将来サーバー サイトに公開されるすべてのサービスと同様に、アイテムとして自動的に組織に追加されます。 これらのアイテムの所有者は、フェデレーションを実行した管理者になります。 フェデレーションの実行後、管理者は既存のメンバーにこれらのアイテムの所有権を再割り当てすることができます。 これ以降、フェデレーション サーバーに公開するアイテムはすべて、アイテムとして自動的に追加され、アイテムを公開するユーザーによって所有されます。

サーバーをフェデレートしたら、サーバーへのすべてのアクセスは、ポータルのセキュリティ ストアによって制御されます。 これは、便利なサイン イン操作を提供しますが、フェデレーション サーバーへのアクセスや管理に影響を与えます。 たとえば、サーバーをフェデレートすると、ArcGIS Server サービスで以前に構成したすべてのユーザー、ロール、および権限は利用できなくなります。 代わりに、サービスへのアクセスは、組織メンバー、ロール、および共有権限によって決定されます。

フェデレートするサーバーは、自己署名証明書ではなく CA 署名証明書を使用する必要があります。

注意:

廃止されたソフトウェア バージョンでは、新しいバージョンとの互換性は保証されません。 以前のバージョンでサポート対象のサーバー サイトをフェデレートする場合、そのバージョンは、テクニカル サポートを受けるための製品ライフ サイクル ポリシーに従ってサポートされる必要があります。

サーバー サイトの追加

サーバーをフェデレートするには、次の手順を実行します。

  1. 管理 URL の TLS 証明書が組織で信頼されているか、URL のホスト名が含まれているかを確認してください。

    ArcGIS Server サイトをフェデレートする場合、管理 URL に使用される TLS 証明書は、組織から完全に信頼されているか、URL のホスト名が CN (Common Name) または SAN (Subject Alternative Name) として含まれている必要があります。 これらの条件のいずれかが満たされていない場合、フェデレーション処理は失敗します。

    たとえば、管理 URL で、ドメイン CA のようにあまり知られていない認証局によって署名されたワイルドカード証明書を使用している場合が考えられます。ワイルドカード証明書には通常、URL のホスト名が SAN として含まれていないため、組織は証明書に署名した CA を信頼する必要があります。 そのため、フェデレーションの前に、ルート証明書および中間証明書が存在する場合はその証明書を組織にインポートする必要があります。

  2. デフォルトの管理者またはサーバーの設定を管理するための管理権限を持つカスタム ロールとして ArcGIS Enterprise 組織サイトにサイン インします。
  3. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  4. ページの横側にある [サーバー] をクリックします。
  5. [サーバー サイトの追加] をクリックします。
  6. 表示される [サーバー サイトの追加] ページで、次の情報を入力します。
    • [サービス URL] - スキーマ、ホスト、および単一レベルのコンテキストで構成されるサーバー サイトにアクセスするときに外部ユーザーが使用する URL。 ArcGIS Server を組織のリバース プロキシ サーバーに追加している場合、この URL はリバース プロキシ サーバーのアドレスになります (例: http://reverseproxy.example.com/myorg)。 組織がすべての通信に HTTPS を求める場合、HTTP の代わりに HTTPS プロトコルを使用します。 フェデレーション操作では、指定された [サービス URL] 値がサーバー サイトからアクセス可能であるかどうかを確認するために検証チェックを実行します。 結果として検証チェックが失敗した場合、ログに警告が生成されます。 ただし、サービス URL にサーバー サイトからアクセスできないため (サーバー サイトがファイアウォールの内側にある場合など)、[サービス URL] 値が検証されなかった場合、フェデレーションは失敗しません。
    • [管理 URL] - 内部ネットワークで管理操作を実行するときに、サーバー サイトにアクセスするために使用する URL。 [管理 URL] 値は、https://server.example.com:6443/arcgis 形式で GIS Server、Image Server、Workflow Manager Server を表します。
      注意:

      複数コンピューターのサイトまたは可用性の高い ArcGIS Server とフェデレートする場合や、ArcGIS Server のサイトがクラウド環境にホスティングされている場合は、代わりにロード バランサーの URL をこのフィールドに使用します。 [管理 URL] 値は、サーバーの 1 つが利用できないときでも組織がサイト内のすべてのサーバーとの通信に使用できる URL でなければなりません。

    • [ユーザー名] - 最初にサーバー サイトにサイン インし、そのサーバー サイトを管理するために使用されたプライマリ サイト管理者のユーザー名。 このアカウントが無効になっている場合は、もう一度有効にする必要があります。
    • [パスワード] - プライマリ サイト管理者のアカウントのパスワード。
  7. [次へ] をクリックして、サーバー サイトをフェデレートします。
    注意:

    サーバー サイトのフェデレートには多少時間がかかることがあります。

  8. 必要に応じて、[サーバー ロールの構成] ページで [Workflow Manager Server] 切り替えボタンを使用して、Workflow Manager サーバー ロールでフェデレーション サーバー サイトを構成します。

    サーバー サイトを Workflow Manager Server サイトとして構成するには、サーバー サイトがサーバー ロールの要件を満たしている必要があります。 要件が満たされていない場合は、[要件が満たされていません] をクリックして詳細を確認します。 サーバー ロールを構成しない場合は、[完了] をクリックします。 フェデレーション サーバー サイトの [サーバー ロールの構成] オプションを使用して、後からサーバー ロールを構成することができます。

  9. [サーバー ロールの保存] をクリックします。

サーバー サイトが組織とフェデレートされました。 サーバー サイトは、[サーバー] ページの [フェデレーション サーバー サイト] セクションに表示されます。

フェデレーション サーバーの詳細なアクセス制御

フェデレーション サーバーを更新して、公開アクセスおよび管理アクセスを制限できます。 更新しても、すべての組織管理者は、サーバーに対する管理権限を引き続き持っています。 デフォルトでは、公開者権限を持つ組織メンバー自身に対しては、サーバーに対する公開アクセス権限は付与されません。 代わりに、サーバーへの公開者アクセスは、[[フェデレーション サーバー名]_Publishers] グループまたは [[フェデレーション サーバー名]_Publishers] アイテムによって制御されます。

注意:

デフォルトのグループ名とアイテム名は変更できません。

サーバーに対する公開者権限を取得するには、[フェデレーション サーバー名]_Publishers グループのメンバーであるか、[フェデレーション サーバー名]_Publishers アイテムが共有されているグループのメンバーである必要があります。 サーバーへの追加管理アクセスは、[[フェデレーション サーバー名]_Administrators] グループまたは [[フェデレーション サーバー名]_Administrators] アイテムによって制御されます。 サーバーに対する管理アクセス権限を取得するには、組織メンバーは、このグループのメンバーであるか、このアイテムが共有されているグループのメンバーである必要があります。

詳細なアクセス制御は、ArcGIS Enterprise Administrator API で構成されます。 サーバーを組織サイトとフェデレートしたら、以下の手順に実行してサーバーを更新し、この制御を有効にします。

  1. 管理者権限のある組織メンバーとして ArcGIS Enterprise Administrator API にサイン インします。

    URL の形式は https://organization.example.com/context/admin です。

  2. [Organizations] > [Organization ID] の順にクリックします。
  3. [Federation] > [Servers] の順にクリックし、更新するサーバーをクリックします。
  4. [Update] をクリックします。
  5. [Server role] ドロップダウン メニューで、[Federated Server With Restricted Publishing] を選択します。
  6. [Update Server] をクリックします。

    [[フェデレーション サーバー名]_Administrators] グループと [[フェデレーション サーバー名]_Publishers] グループ、および対応するアイテムが [マイ コンテンツ] ページに表示されます。 これらの所有者は、サーバーを更新した組織メンバーになります。

このトピックへのフィードバック

このトピックの内容
  1. サーバー サイトの追加
  2. フェデレーション サーバーの詳細なアクセス制御