Varias instancias Web de ArcGIS Server para seguridad
Una instancia de ArcGIS Server admite sólo una combinación de ubicación de usuario, ubicación de rol y método de autenticación (para obtener más información sobre usuarios y roles, consulte Información general sobre la configuración de usuarios y roles). Si debe admitir más de un tipo de autenticación o almacenamiento de rol/usuario, puede configurar varias instancias de ArcGIS Server.
Normalmente, cada sistema de ArcGIS Server posee una instancia que está unida a un único Administrador de objetos de servidor (SOM). Esta sección describe la configuración que se realiza cuando varias instancias de ArcGIS Server están unidas a un único administrador de objetos de servidor.
Por ejemplo, es posible que usted tenga usuarios en la red interna y desee que puedan iniciar sesión con las cuentas de Windows. Pero, para los usuarios externos en Internet, desea establecer cuentas en una base de datos de SQL Server. Debido a que las instancias de ArcGIS Server sólo admiten una ubicación de usuario única, deberá establecer instancias separadas para cada tipo de usuario.
Debe tener en cuenta dos factores cuando administra varias instancias:
- Los permisos para las conexiones de Internet a los servicios se almacenan en el administrador de objetos de servidor. Si varias instancias trabajan con el administrador de objetos de servidor, las instancias comparten el mismo conjunto de permisos. Ya que los permisos se basan en roles, debe administrarlos con precaución para que los roles y, por consiguiente, los usuarios, en cada instancia funcionen correctamente. Consulte la sección Administrar permisos con varias instancias que aparece debajo, para obtener más información.
- Si habilita la capacidad Servicio de representación cartográfica en la red (WMS) para un servicio, todas las instancias compartirán la información de las capacidades del servicio. La URL de OnlineResource para el servicio se establecerá en una de las instancias. Para obtener más información, consulte Artículo de base de conocimiento 35672, ¿Por qué la URL de OnlineResource de las capacidades de WMS utiliza una instancia Web de ArcGIS diferente?.
Agregar una instancia de ArcGIS Server
Se incluye una utilidad para agregar y quitar instancias en <directorio de instalación de ArcGIS Server>\DotNet\AddInstance.exe. Puede hacer doble clic en el ejecutable desde el Explorador de Windows para abrir la herramienta. Siga las instrucciones en el asistente para agregar una nueva instancia.
El nombre que elija para la instancia se verá reflejado en la URL que otros usuarios utilizan para acceder a la instancia. Por ejemplo, si introduce ArcGIS2, la URL puede aparecer como http://myserver/ArcGIS2/services.
Una vez finalizado el asistente, puede tomar varios minutos para crear la instancia. Si más tarde decide quitar una instancia, puede utilizar la misma utilidad.
Utilizar la nueva instancia
La nueva instancia posee su propio Administrador. Para acceder al Administrador, vaya a Inicio > (Todos los) Programas > ArcGIS > ArcGIS Server para Microsoft .NET Framework > Administrador de ArcGIS Server <nombre de la instancia>. Utilice el nuevo Administrador para configurar el almacenamiento de usuario y rol para la nueva instancia. Notará que el panel Servicios enumera los mismos servicios que el Administrador original y que los permisos para los servicios también son los mismos. Consulte la sección siguiente para obtener información importante sobre la administración de permisos en varias instancias.
La nueva instancia no enumera las aplicaciones Web creadas con una instancia diferente. Cada instancia mantiene su propia lista de aplicaciones creadas con esa instancia.
Cada instancia se ubica en el directorio del servidor Web IIS donde se creó la instancia. Por ejemplo, si creó una nueva instancia llamada ArcGIS2 en el sitio Web predeterminado en el puerto 80, y el servidor IIS utiliza la ubicación predeterminada, la ubicación de la instancia será C:\Inetpub\wwwroot\ArcGIS2. La nueva instancia contendrá el mismo conjunto de carpetas que la instancia original, que incluye REST, Servicios y Seguridad.
Administrar permisos con varias instancias de ArcGIS Server
Ya que los permisos se almacenan en el administrador de objetos de servidor, las distintas instancias de ArcGIS Server que compartan el administrador de objetos de servidor también compartirán el mismo conjunto de permisos para los servicios. Cuando hace clic en el botón Permisos para un servicio o carpeta, puede ver los permisos para los roles agregados con cualquiera de los Administradores de la instancia.
Debe administrar los permisos para las carpetas y servicios para que los usuarios de ambas instancias puedan acceder a los servicios correctamente. Ya que los permisos se basan en roles, en lugar de usuarios, debe asegurarse de permitir los roles de cada instancia para los servicios, según sea necesario. Ya que los administradores que utilizan cualquiera de los Administradores ven la misma lista de roles permitidos, es posible quitar algún rol permitido en el otro Administrador por error.
Se recomienda seguir una de las siguientes estrategias para administrar roles y permisos:
- Utilizar los mismos nombres para los roles en ambas instancias y agregar usuarios en cada instancia a estos roles compartidos. Esta es la opción indicada si desea permitir que los usuarios en ambas instancias accedan a los servicios con las mismas reglas de permisos. Por ejemplo, puede agregar un grupo llamado Urbanistas a los grupos de Windows en el servidor y agregar usuarios de Windows al grupo. Después, en el Administrador que utiliza SQL Server para los roles, agregue también el rol Urbanistas y agregue los usuarios de SQL Server al rol. Entonces, cuando permita al rol Urbanistas acceder a un servicio, los usuarios de ambas instancias podrán utilizar el mismo servicio a través de la regla de permiso única de Urbanistas.
- Utilizar nombres visiblemente diferentes para los roles en las dos instancias. Esta es la opción indicada si desea utilizar reglas diferentes para los usuarios de cada instancia. Por ejemplo, desea crear un grupo de Windows llamado InternalEditors para usuarios internos, y, en el Administrador configurado para usar SQL Server para los roles, desea agregar un rol llamado ExternalViewers. Los prefijos Internal (internos) y External (externos) indican la ubicación de cada rol, para que cualquier usuario que use el Administrador en una instancia no quite un rol que se agregó para el beneficio de los usuarios de la otra instancia, por error.
Nota:Si una de las instancias utiliza pertenencias a ASP.NET, tenga en cuenta que los tres roles integrados (Todos, Usuario autenticado y Anónimo) abarcarán todas las instancias. Por ejemplo, supongamos que está utilizando el proveedor de pertenencia a Microsoft SQL Server para una instancia y usuarios y grupos del sistema operativo Windows para la segunda. Si permite el acceso en la carpeta raíz de servicios Web en la instancia de SQL Server, todos los usuarios de Windows podrán ver todos los servicios Web cuando se conecten.