Guide rapide de fédération d’ArcGIS Server
De plus en plus d’organisations adoptent les solutions SIG web d’Esri. Dans ce contexte, une option consiste à déployer ArcGIS Enterprise sur place, ce qui nécessite de fédérer ArcGIS Server et Portal for ArcGIS. Certaines organisations, qui exploitent actuellement un site ArcGIS Server autonome, se demandent par où commencer avec ce nouveau modèle de fédération. Si vous ressentez la même chose, ne vous inquiétez pas. Le présent « cours de base sur la fédération d’ArcGIS Server » vous permettra de partir du bon pied en un rien de temps.
Aujourd’hui, de plus en plus d’organisations adoptent les solutions SIG web d’Esri, que ce soit ArcGIS Online, ArcGIS Enterprise sur place ou une solution hybride. Pour déployer ArcGIS Enterprise, vous devez fédérer ArcGIS Server avec Portal for ArcGIS.
Certaines organisations, qui exploitent actuellement un site ArcGIS Server autonome, se demandent par où commencer avec ce nouveau modèle de fédération. Si vous êtes l’administrateur ArcGIS Server d’une telle organisation, ne vous inquiétez pas. Le présent « cours de base sur la fédération d’ArcGIS Server », combiné à un tutoriel vidéo, vous permettra de partir du bon pied en un rien de temps.
Alors, qu’est-ce que la fédération d’ArcGIS Server exactement?
La fédération d’ArcGIS Server est un moyen d’intégrer les modèles de sécurité et de partage de Portal for ArcGIS. Vous n’avez PAS besoin de fédérer ArcGIS Server avec le portail, à moins de vouloir obtenir les résultats suivants :
- authentification des utilisateurs à l’aide de la norme SAML (Security Assertion Markup Language);
- publication des couches hébergées directement à partir du portail;
- analyse spatiale dans la visionneuse de carte du portail.
Esri possède une documentation détaillée sur les fonctions qui deviennent disponibles une fois que vous avez fédéré ArcGIS Server. Généralement, les administrateurs et les utilisateurs remarquent immédiatement deux changements majeurs après la fédération d’ArcGIS Server :
- vous devez vous connecter à ArcGIS Server Manager et au répertoire des services REST à l’aide des identifiants de l’utilisateur nommé du portail, bien que vous puissiez toujours vous connecter au répertoire d’administrateur d’ArcGIS Server en tant qu’administrateur principal du site ArcGIS Server;
- pour contrôler les autorisations de vos services, vous devez mettre à jour les propriétés de partage des couches du service dans le portail, plutôt que d’effectuer des modifications dans ArcGIS Server Manager.
La documentation complète mentionne également un 3e niveau d’intégration entre ArcGIS Server et le portail, sous la forme d’un serveur d’hébergement. Un serveur d’hébergement est avant tout un serveur fédéré, et il doit avoir une base de données gérée, généralement par l’intermédiaire d’ArcGIS Data Store. Avec un serveur d’hébergement, les utilisateurs peuvent publier des services directement sur le portail, par exemple en téléchargeant un fichier SHP compressé sur le site web du portail et en créant simultanément un service d’entités. Reportez-vous à la documentation pour connaître les fonctions supplémentaires fournies uniquement par un serveur d’hébergement.
D’accord, mais comment fédérer ArcGIS Server avec Portal for ArcGIS?
Voyons d’abord quelles sont les composantes d’un site fédéré. Un site typique d’ArcGIS Enterprise contient les principaux éléments suivants : Portal for ArcGIS, ArcGIS Server, ArcGIS Data Store et ArcGIS Web Adaptor. Ces éléments peuvent être déployés sur une seule machine ou distribués sur plusieurs machines. Les adaptateurs web peuvent également être remplacés par votre propre serveur mandataire inverse.
Déploiement typique d’ArcGIS Enterprise
Pour me concentrer sur la fédération, supposons que j’ai déjà un site Portal for ArcGIS déployé avec un « portail » pour lequel Web Adaptor est configuré, un site ArcGIS Server avec un « serveur » pour lequel Web Adaptor est configuré et un magasin de données ArcGIS Data Store configuré. Au minimum, j’ai besoin de connaître les URL suivantes pour compléter la fédération :
URL côté client du portail, p. ex. https://web.domain.com/portal
URL privée du portail, par ex. https://portalserver.domain.local:7443/arcgis
URL des services ArcGIS Server, p. ex.. https://web.domain.com/server
URL d’administration d’ArcGIS Server, p. ex. https://arcgisserver.domain.local:6443/arcgis
L’URL des services ArcGIS Server et l’URL côté utilisateur du portail sont celles utilisées par les clients (p. ex., navigateurs et applications tierces). L’URL d’administration d’ArcGIS Server et l’URL privée du portail sont utilisées par les administrateurs, ainsi que par ArcGIS Server et le portail pour communiquer entre eux.
Avant la fédération, nous devons également nous assurer qu’ArcGIS Server et le portail utilisent le même protocole de sécurité. Portal for ArcGIS doit toujours avoir HTTPS activé. Il est facultatif de désactiver l’accès HTTP au portail. Si toutefois vous le faites, ArcGIS Server doit également être configuré en HTTPS uniquement. À retenir : 1) ArcGIS Server et le portail doivent avoir le même protocole de sécurité; 2) Le protocole peut être soit HTTPS uniquement, soit HTTP et HTTPS autorisés.
Le protocole de sécurité est prêt. Nous devons maintenant établir la confiance entre ArcGIS Server et le portail. En d’autres termes, il faut qu’ils aient mutuellement confiance en leurs certificats SSL. (Si ce n’est pas le cas, votre fédération peut quand même fonctionner, mais les utilisateurs risquent de rencontrer des problèmes lorsqu’ils travailleront dans ArcGIS Enterprise.)
Les URL de fédération nous indiquent que j’ai des certificats à trois emplacements : pour le serveur web (web.domain.com) au port implicite 443, pour ArcGIS Server au port explicite 6443 et pour le portail au port explicite 7443. La figure ci-dessous permet de comparer les certificats au port 443 du serveur web et au port 7443 du portail.
Certificats appliqués au serveur web et au port 7443
Si vous utilisez partout un certificat SSL signé par une autorité de certification de confiance, vous n’aurez peut-être rien à faire à ce stade; cependant, si vous utilisez un certificat SSL à validation du domaine ou le certificat autosigné par défaut (comme indiqué pour mon URL 7443), il sera peut-être nécessaire d’activer explicitement la confiance. Je vais vous donner un exemple ci-dessous, et vous serez en mesure de comprendre le reste.
Pour forcer ArcGIS Server à faire confiance au certificat autosigné du portail, vous pouvez suivre ces trois étapes simples (voir le diagramme) : 1) exporter le certificat du portail en tant que fichier .CER en utilisant l’option « Copy to File », 2) importer le certificat vers ArcGIS Server en utilisant l’option « Import Root Or Intermediate » du répertoire d’administrateur d’ArcGIS Server et 3) confirmer que le certificat a bien été importé.
Exportation du certificat autosigné du portail et importation dans ArcGIS Server
Répétez ensuite les étapes ci-dessus pour que le portail et ArcGIS Server aient mutuellement confiance en leurs certificats, ainsi qu’en celui du serveur web.
Parfait! Nous sommes prêts à fédérer ArcGIS Server avec le portail. Oh, une dernière chose : si vous avez configuré l’authentification Windows intégrée (IWA) avec ArcGIS Server et que vous voulez continuer à l’utiliser avec ArcGIS Enterprise, vous devez réinitialiser l’adaptateur web d’ArcGIS Server pour qu’il utilise l’authentification anonyme et configurer IWA pour le portail. (En apprendre davantage à ce sujet.)
Passons maintenant à la fédération.
Connectez-vous au portail en tant qu’administrateur, en utilisant l’URL côté client du portail, p. ex. https://web.domain.com/portal/home
- Allez à Organization > Edit Settings > Servers, puis cliquez sur Add Server
- Entrez l’URL des services, l’URL d’administration, l’identifiant d’administrateur ArcGIS Server, puis cliquez sur « Add ».
Ajout d’ArcGIS Server
- Si nécessaire, sélectionnez ArcGIS Server fédéré comme serveur d’hébergement, dans la mesure où un magasin ArcGIS Data Store est configuré.
Serveur fédéré et serveur d’hébergement
- Enregistrez, et c’est terminé!
Attendez une minute. Où se trouve l’URL privée du portail? Confirmons l’inscription de la fédération des deux côtés.
- Connectez-vous au répertoire d’administrateur du portail, puis allez dans Federation > Servers > [nom du serveur]. Notez que le champ « Url » correspond à l’URL des services ArcGIS Server que vous avez saisie, et que le champ « Admin Url » est l’URL d’administration saisie. (Notez que dans l’illustration, mes champs « Url » et « Admin Url » pointent vers le même serveur, car j’ai installé ArcGIS Server et IIS Web Server sur la même machine pour la démonstration.)
Informations sur la fédération du côté du portail
- Connectez-vous au répertoire d’administrateur d’ArcGIS Server, puis allez dans Security > Config, et examinez la section des propriétés du portail. L’URL privée du portail se trouve à la ligne « privatePortalUrl », et vous pouvez probablement reconnaître les autres URL indiquées.
Informations sur la fédération du côté d’ArcGIS Server
Nous avons fédéré ArcGIS Server!
Ressources supplémentaires :
Après avoir lu le blogue, vous aurez probablement encore besoin de passer de nombreuses heures à lire de la documentation et peut-être à vous entraîner dans un environnement de développement. Les moteurs de recherche vous seront utiles.
Si vous utilisez un site ArcGIS Server autonome en production et que vous devez migrer du contenu vers un site ArcGIS Enterprise, assurez-vous de consulter ce livre blanc : Migrating standalone ArcGIS Server to ArcGIS Enterprise (Migration d’ArcGIS Server autonome vers ArcGIS Enterprise).
Si vous souhaitez simplement déployer une nouvelle instance d’ArcGIS Enterprise sur une seule machine ou voir à quoi ressemble ArcGIS Enterprise, vous pouvez tirer parti d’ArcGIS Enterprise Builder. Il s’agit d’un assistant qui installe tous les éléments nécessaires et les configure pour vous, y compris la fédération.
J’espère que vous trouverez ce guide utile et que vous êtes prêt pour la fédération!
Ce billet a été écrit en anglais par Jing Yan et peut être consulté ici.