Si planea federar su sitio de ArcGIS Server con el portal de ArcGIS Enterprise, tenga presente que la forma de administrar su sitio de ArcGIS Server cambiará tras la federación. Las principales diferencias que presenta la administración de un servidor federado se enumeran a continuación.
Diferencias de seguridad
Al federar un sitio de ArcGIS Server con un portal, el almacén de seguridad del portal controla todo el acceso al servidor. Esto repercute en la forma de acceder y administrar el servidor federado.
Usuarios, roles y permisos
Cuando se federa, dejan de ser válidos los usuarios, los roles y los permisos configurados anteriormente en los servicios de ArcGIS Server. En su lugar, el acceso a los servicios está determinado por los miembros, roles y permisos de uso compartido del portal.
Al igual que ArcGIS Server, el portal ofrece niveles de privilegio de usuario, responsable de publicación y administrador. El portal también proporciona un rol de visor, que tiene un conjunto limitado de privilegios. Además, el portal incluye un rol personalizado que el servidor federado considera como rol de usuario. Debe configurar y comprobar estos permisos en su portal antes de exponer su servidor federado a los usuarios finales.
Durante la federación, en el portal se crean automáticamente los elementos de todos los servicios web de ArcGIS Server existentes. Estos elementos pertenecen al administrador que realiza la federación. Tras la federación, la titularidad puede reasignarse a los miembros actuales del portal de la manera deseada. Los elementos o servicios agregados al portal tras la federación pertenecen de forma explícita al miembro que los creó.
Cuando se federa un servidor, se elimina la posibilidad de aislar el acceso al mismo. Por ejemplo, cualquier persona con permisos de publicación puede publicar en cualquier servidor federado. No obstante, se puede actualizar la configuración de seguridad de un servidor federado para restringir el acceso administrativo y de publicador. Consulte Control detallado del acceso de servidores federados a continuación para obtener más detalles.
Rol de visor
Los miembros a quienes se les ha asignado este rol pueden conectarse a ArcGIS Server y usar sus servicios. Cuando se conecta a un servidor federado como visor, se pueden ver y consumir los servicios compartidos con el visor o un grupo al cual pertenece el visor. Los visores ven una vista personalizada del sitio web del portal, pueden usar los mapas, las aplicaciones, las capas y las herramientas, y unirse a los grupos pertenecientes a la organización. Los visores no tienen privilegios para crear, compartir o ser propietarios de elementos.
Rol del usuario
Los miembros a quienes se les ha asignado este rol pueden conectarse a ArcGIS Server y usar sus servicios. Cuando se conecta a un servidor federado como usuario, se pueden ver y consumir los servicios compartidos con el usuario o un grupo al cual pertenece el usuario. Los usuarios ven una vista personalizada del sitio web del portal, pueden usar los mapas, las aplicaciones, las capas y las herramientas, y unirse a los grupos pertenecientes a la organización. Los usuarios también pueden crear mapas y aplicaciones, agregar elementos, compartir contenido y crear grupos.
Rol de publicador
Los responsables de publicación solo pueden trabajar con los servicios que hayan creado en el portal. No pueden modificar ni eliminar los servicios de otros responsables de publicación. Por ejemplo, cuando se conecta al servidor federado en ArcMap, solo aparecen los servicios publicados por el responsable de publicación. Los publicadores tienen privilegios de usuario y también pueden realizar análisis en capas de mapas.
Cualquier persona con permisos de publicación puede publicar en cualquier servidor federado. Los servicios publicados en un servidor federado se agregan automáticamente como elementos en el portal. Los servicios alojados que se publican directamente en el portal aparecen como elementos en el portal y como servicios en el servidor de alojamiento.
Rol de administrador
Los administradores tienen permisos de usuario y de responsable de publicación, y tienen permisos para todos los servicios alojados por el servidor federado. Los administradores también tienen permisos para administrar el portal y todos sus miembros. Un portal debe tener al menos un administrador. Sin embargo, no existen límites sobre cuántos pueden administrar una organización. Por ejemplo, si un portal tiene cinco miembros, todos pueden ser administradores.
Rol personalizado
Los roles personalizados incluyen un conjunto específico de permisos definidos por el administrador. Por ejemplo, los miembros con el rol personalizado podrían crear contenido, pero no crear grupos; podrían publicar entidades, pero no teselas. En las versiones 10.5.1 y anteriores, un rol personalizado con cualquier privilegio de publicación (para entidades, teselas o escenas) podía crear otros tipos de servicios de ArcGIS Server. A partir de la versión 10.6, existe el privilegio Publicar capas basadas en servidor, necesario para publicar cualquier servicio directamente en ArcGIS Server.
Si se crea un rol personalizado con cualquier privilegio administrativo, ArcGIS Server concederá pleno acceso administrativo a miembros con dicho rol. Entre otros, se incluyen derechos para publicar cualquier tipo de servicio directamente en ArcGIS Server y la capacidad de visualizar y acceder a todos los servicios. Tenga en cuenta los riesgos de seguridad antes de crear para cualquier miembro un rol personalizado que incluya privilegios administrativos.
Control detallado del acceso de servidores federados
Es posible actualizar la configuración de seguridad de un servidor federado para restringir el acceso administrativo y de publicador. Después de la actualización, todos los administradores del portal seguirán teniendo privilegios de administración en el servidor. Los miembros del portal con privilegios de publicador no dispondrán de acceso de publicación al servidor de forma predeterminada. En su lugar, el acceso de publicación al servidor está controlado mediante un grupo llamado [nombre del servidor federado]_Publishers o el elemento [nombre del servidor federado]_Publishers. Para obtener privilegios de publicación en el servidor, el miembro del portal debe ser un miembro del grupo [nombre del servidor federado]_Publishers o del grupo con el que está compartido el elemento [nombre del servidor federado]_Publishers. De forma parecida, el acceso administrativo adicional al servidor está controlado mediante un grupo llamado [nombre del servidor federado]_Administrators o el elemento [nombre del servidor federado]_Administrators. El miembro del portal debe ser un miembro de este grupo o del grupo con el que está compartido el elemento para obtener acceso administrativo al servidor.
El control de accesos detallado se configura en el directorio de Portal for ArcGIS. Una vez que se ha federado un servidor con un portal, siga los pasos siguientes para actualizar el servidor con el fin de permitir este control.
- Inicie sesión en el directorio de Portal for ArcGIS como miembro del portal con privilegios de administración. La dirección URL del Directorio de Portal for ArcGIS tiene el formato https://portal.domain.com/arcgis/portaladmin.
- Vaya a Federación > Servidores y haga clic en el servidor que desee editar.
- Haga clic en Actualizar.
- En el menú desplegable Rol del servidor, seleccione Servidor federado con publicación restringida.
- Haga clic en Actualizar servidor.
Ahora verá los grupos [nombre del servidor federado]_Administrators y [nombre del servidor federado]_Publishers, así como los elementos correspondientes en la página Mi contenido. Estos son propiedad del miembro del portal que haya actualizado el servidor.
Conectar con Manager
Solo se puede conectar a ArcGIS Server Manager si su cuenta del portal está asignada al rol de administrador o responsable de publicación. No puede iniciar sesión en Manager con una cuenta asignada al rol de visor o usuario. Tampoco puede iniciar sesión con la cuenta de administrador de sitio principal del sitio. Al conectarse, debe usar una URL que utilice HTTPS e incluya el nombre de dominio totalmente cualificado del servidor:
- Si se conecta directamente a ArcGIS Server, la URL tiene el formato https://gisserver.domain.com:6443/arcgis/manager. Si el sitio incluye varios servidores SIG, será la dirección URL del equipo que especificó para la URL de administración al federar el sitio.
- Si se conecta a través de ArcGIS Web Adaptor, deberá asegurarse de que el acceso administrativo esté habilitado en ArcGIS Web Adaptor. La dirección URL que se utiliza para conectarse tiene el formato https://webadaptorhost.domain.com/webadaptorname/manager.
Si su portal está configurado con un almacén de identidades integrado con Lightweight Directory Access Protocol (LDAP), deberá introducir el nombre de usuario y la contraseña de su cuenta del portal. Si su portal está configurado con Windows Active Directory, es posible que se le soliciten sus credenciales de Windows o que se le inicie sesión en Manager automáticamente.
Modificar el acceso directo de escritorio de Manager
ArcGIS Server ofrece un acceso directo de escritorio de ArcGIS Server Manager. La URL de acceso directo predeterminada tiene el formato http://localhost:6080/arcgis/manager, que es una ruta válida siempre y cuando el servidor no se haya federado con un portal de ArcGIS Enterprise. Como se indica en la sección anterior, se accede a un servidor federado con el formato de URL https://gisserver.domain.com:6443/arcgis/manager, por lo que la URL de acceso directo predeterminada da un mensaje de error de Invalid redirect_uri. Siga estos pasos para actualizar la ruta del acceso directo de un servidor federado:
- Localice el acceso directo de ArcGIS Server Manager en el menú Inicio de Windows. Haga clic con el botón derecho en el elemento y seleccione Más > Abrir la ubicación del archivo.
- En la ventana que se abre del Explorador de archivos, haga clic con el botón derecho en el elemento de acceso directo de ArcGIS Server Manager y seleccione de nuevo Abrir la ubicación del archivo. De esta manera se abrirá vínculo de acceso directo en la carpeta C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.
- Copie el elemento de acceso directo de Manager y péguelo en el escritorio. Elimine el elemento de acceso directo de la ubicación original.
- Haga clic con el botón derecho en el elemento que ha pegado, abra Propiedades y modifique la propiedad URL al formato https://gisserver.domain.com:6443/arcgis/manager. Haga clic en Aceptar para aplicar el cambio y cerrar la ventana.
- Copie el elemento de acceso directo modificado y péguelo de nuevo en la carpeta C:\Program Files\Common Files\ArcGIS\Support\Shortcuts.
El elemento de acceso directo ahora abrirá ArcGIS Server Manager desde el menú Inicio de Windows.
Conéctese al servidor en ArcGIS Desktop
Puede conectarse al servidor en ArcGIS Desktop con cualquier cuenta del portal, como, por ejemplo, las cuentas asignadas al rol de visor, responsable de publicación o administrador. También es posible conectarse al servidor utilizando la cuenta de administrador principal del sitio de ArcGIS Server.
Nota:
Solo puede realizar conexiones de usuario a un sitio de ArcGIS Server desde ArcGIS Pro; por lo tanto, si proporciona una cuenta de publicador o administrador, no puede publicar ni administrar el sitio ArcGIS Server en ArcGIS Pro. Para establecer una conexión de publicador o administrador desde un cliente de ArcGIS Desktop, utilice ArcMap.
Al indicar la URL del servidor para conectarse al servidor utilizando el asistente Agregar ArcGIS Server, se debe especificar una URL que utilice HTTPS e incluya el nombre de dominio del servidor totalmente cualificado:
- Si se conecta directamente a ArcGIS Server, la URL tiene el formato https://gisserver.domain.com:6443/arcgis.
- Si se conecta a través de ArcGIS Web Adaptor como responsable de publicación o administrador, deberá asegurarse de que el acceso administrativo esté habilitado en Web Adaptor. La dirección URL que se utiliza para conectarse tiene el formato https://webadaptorhost.domain.com/webadaptorname/manager.
Si su portal está configurado con un almacén de identidades integrado con Lightweight Directory Access Protocol (LDAP), deberá introducir el nombre de usuario y la contraseña de su cuenta del portal. Si su portal está configurado con Windows Active Directory, no introduzca sus credenciales de Windows en el asistente. Haga clic en Finalizar para conectarse automáticamente al servidor. Si desea conectarse a un sitio de ArcGIS Server utilizando la cuenta de administrador principal del sitio, introduzca las credenciales de la cuenta.
Conectarse al Directorio del administrador de ArcGIS Server y al Directorio de servicios
Al conectarse con el Directorio del administrador de ArcGIS Server, es posible que tenga que proporcionar un token del portal. La página de inicio de sesión proporciona instrucciones sobre la obtención de este token. Para obtener más información, consulte Acceder al Directorio del administrador en un servidor federado. De forma alternativa, puede iniciar sesión con la cuenta del administrador de sitio principal del servidor si se conecta directamente a través del puerto 6080 o 6443.
Al conectarse con el Directorio de servicios de ArcGIS Server, no necesita proporcionar ningún token. Iniciará sesión con sus credenciales del portal. No puede iniciar sesión con la cuenta de administrador de sitio principal.
Comportamiento del servidor de alojamiento de un portal
Cuando designa su servidor federado para actuar también como servidor de alojamiento del portal, proporciona al portal un potente back-end. Permite que los usuarios del portal con permisos mínimos de publicador publiquen mapas, servicios de entidades y servicios de escena (capas de teselas, capas de entidades y capas de escena) en caché. Puede que estos usuarios no tengan productos de ArcGIS en sus equipos; solo pueden publicar los servicios cargando un shapefile o un archivo CSV a través del sitio web del portal; sin embargo, la publicación a través de ArcMap sigue siendo una opción.
Todos los servicios que los usuarios del portal publican directamente en el portal son servicios alojados y se guardan en una carpeta de ArcGIS Server denominada Hosted. De esta forma, se puede realizar un seguimiento de los servicios que son servicios alojados y los que no.
Si se elimina un servicio del portal, también se eliminará del servidor. Lo mismo se aplica a los servicios publicados en el servidor federado y a los servicios alojados publicados directamente en el portal.
Nota:
Antes de 10.6.1, la eliminación de un servicio no alojado del portal no eliminaba automáticamente el servicio del servidor federado. Los servicios alojados se eliminaban automáticamente del servidor al eliminarlos del portal.
Los tipos servicios contenidos en la carpeta Alojados difieren de los contenidos en otras carpetas del servidor. Esto se hace así para coordinar los tipos de elementos que se visualizan en el portal de ArcGIS Enterprise. La tabla siguiente enumera todos los servicios alojados admitidos y sus tipos de componentes actualizados:
Tipo de servicio de ArcGIS Server | Tipo de elemento de carpeta alojada/portal |
---|---|
Servicio de mapas en caché | Capa de teselas |
Servicio de mapas en caché con servicio de entidades | Capa de teselas y entidades |
Servicio de entidades | Capa de entidades |
Servicio de imágenes* | Capa de imágenes |
Servicio de escena | Capa de escena |
Servicio WFS | Capa WFS |
*El servicio de imágenes que subyace en una capa de imágenes alojada se ejecuta en el servidor de análisis de ráster del portal, no en el servidor de alojamiento del portal.
Cuando visualice y edite las propiedades de servicios alojados en Manager o ArcMap, solo habrá un subconjunto de los recursos previstos o de las operaciones disponibles de ArcGIS Server. Por ejemplo, algunos servicios no mostrarán información de instancias en la galería de servicios ni en la pestaña Agrupar de servicios en Manager.
Cuando usa la ventana Catálogo en ArcMap para administrar sus servicios alojados, debe realizar su trabajo a través del nodo Mis servicios alojados en lugar de su nodo de conexión de Servidores SIG. Esto ayudará a garantizar que solo usted verá las capacidades disponibles a través del portal.
Un servidor de alojamiento debe tener suficiente espacio de almacenamiento, CPU y memoria para acomodar los servicios que alojará. Debe formar bien a sus responsables de publicación y supervisar las métricas del servidor para que no se sobrepase la capacidad.
Consideraciones sobre las capas de teselas y los trabajos de almacenamiento en caché
Las capas en teselas presentan desafíos especiales debido a la potencia de procesamiento que puede exigir un solo trabajo grande de almacenamiento en caché o varios trabajos concurrentes. Al publicar una capa de teselas a gran escala en un área indiscriminadamente amplia, un publicador del portal sin formación podría enviar al servidor un trabajo de almacenamiento en caché muy grande que consumiría los recursos del portal durante un largo periodo de tiempo.
Puede mitigar potencialmente el efecto de almacenar en caché trabajos ejecutando el servicio CachingTools en un clúster de ArcGIS Server independiente desde otros servicios. Si esto no es posible, puede reducir el número de instancias del servicio CachingTools que se permitan para ejecutarse de una vez; de ese modo, se dejan disponibles ciclos de CPU para otros servicios.
También puede limitar el número de trabajos de almacenamiento en caché que se puedan ejecutar de una vez reduciendo el número máximo de instancias permitidas para el servicio CachingControllers. De forma predeterminada, se pueden ejecutar tres trabajos simultáneamente.
Consulte Asignación de los recursos del servidor para almacenar en la caché si desea conocer más detalles sobre cómo se distribuyen los recursos del servidor para el almacenamiento en caché de los trabajos.
Anular la federación de un servidor en el portal
Puede optar por anular la federación de un servidor en el portal para permitir que uno y otro sigan funcionando de manera independiente.
Precaución:
Anular la federación de un sitio de servidor tiene diversas consecuencias importantes y no se debe hacer como parte de la solución de problemas rutinaria. No se puede deshacer fácilmente y puede tener consecuencias irreversibles. La eliminación de un servidor de alojamiento del portal de ArcGIS Enterprise convierte en inutilizables las capas web alojadas. La adición de nuevo de un servidor de alojamiento no devuelve los servicios alojados a un estado utilizable. Anule la federación de un sitio solamente si entiende claramente el impacto.
Para anular la federación es necesario realizar los siguientes pasos:
- Si el servidor federado que desea eliminar no es el servidor de alojamiento, y los servicios que se publicaron en este servidor federado ya no se necesitan, puede iniciar sesión en ArcGIS Server Manager y eliminar los servicios. Si los servicios seguirán en uso, omita este paso.
- Si este servidor federado es el servidor de alojamiento, inicie sesión en el sitio web del portal y elimine las capas web alojadas que se publicaron en el portal.
- Si este servidor federado es también el servidor de alojamiento y ya no necesita ninguno de los servicios que se ejecutan en el servidor de alojamiento, deshabilite el servidor de alojamiento de modo que los usuarios del portal ya no puedan publicar en él.
- Elimine el sitio de ArcGIS Server del portal, lo que restaura la configuración predeterminada del almacenamiento de seguridad de ArcGIS Server y elimina los elementos del portal que se unieron desde el servidor cuando este estaba federado.
- Configure la seguridad de ArcGIS Server de modo que use los almacenes de roles y de usuarios.