Esta seção descreve os principais conceitos e terminologias que devem ser compreendidos antes de iniciar a multilocação.
Familiarize-se com os termos de gerenciamento de tenants
- Tenant: é o nível mais alto em uma estrutura organizacional no VMware Identity Manager. Todos os objetos, como diretórios, usuários, grupos e IDPs de terceiros, são mantidos individualmente para cada tenant. Cada tenant é isolado do restante dos tenants, e eles não compartilham recursos entre si.
- Tenant primário: há sempre pelo menos um tenant (primário, padrão ou base) presente no VMware Identity Manager, que é chamado de tenant primário.
Para usuários do vRealize Automation 7.x, este é o “vsphere.local” que estava presente por padrão em implementações do vRealize Automation 7.x. O tenant primário no vRealize Automation 7.x era inicializado por padrão com “vsphere.local” como nome. Porém, isso não acontece em uma implantação autônoma do VMware Identity Manager. O nome do tenant primário é formado com base no primeiro nó do VMware Identity Manager a ser implantado e inicializado. Por exemplo, se “idm1.vmwlab.local” for o primeiro nó do VMware Identity Manager a ser implantado, quando você inicializar o VMware Identity Manager , o tenant primário será criado com o nome “idm1”. Nós subsequentes dimensionados, como “idm2.vmwlab.local” e “idm3.vmwlab.local”, não têm efeito. O nome do tenant primário é formado apenas uma vez e permanece o mesmo em uma instância única ou em cluster.
- Alias do tenant primário: você não poderá criar subtenants no VMware Identity Manager abaixo do tenant principal até que algumas configurações sejam definidas e habilitadas. Definir um nome de alias para o tenant primário é uma configuração importante. Um alias deve ser criado no tenant primário, que, por sua vez, sempre deve ser acessado por meio do FQDN do alias do tenant primário em um único nó ou em uma instância em cluster.
- Administrador de provedor: um administrador que possui a infraestrutura de gerenciamento, que inclui o VMware Identity Manager, o vRealize Automation e outros produtos. O administrador cria e gerencia todos os tenants e associa produtos a eles. O usuário administrador do vRealize Suite Lifecycle Manager, “admin@local” é o único administrador de provedor e está autorizado a executar as funcionalidades de gerenciamento de tenants.
- Administrador de tenant: um administrador com o nível mais alto de permissão administrativa em cada tenant do VMware Identity Manager. Essa permissão pode ser atribuída a usuários locais do VMware Identity Manager e usuários do Active Directory presentes no tenant do VMware Identity Manager.
- Produtos com Reconhecimento de Tenant: produtos que oferecem suporte para multilocação e mantêm o isolamento adequado com cada instância de tenant lógica são produtos com reconhecimento de tenant. Eles têm um mapeamento de um-para-um com tenants do VMware Identity Manager. A partir do vRealize Suite Lifecycle Manager versão 8.1, apenas o vRealize Automation 8.1 tem reconhecimento de tenant.
- Organização e Proprietário da Organização do vRealize Automation: no vRealize Automation 8.x, a organização é a construção de nível superior e tem um mapeamento de 1:1 com o tenant do VMware Identity Manager. O Proprietário da Organização tem permissão administrativa na Organização ou tenant do vRealize Automation. Ao adicionar tenants e associar o vRealize Automation com o tenant recém-adicionado, o administrador de tenant do VMware Identity Manager torna-se o proprietário da organização para o novo tenant. Para obter mais informações sobre como adicionar tenants, consulte Como adicionar tenants.
- Diretório: diretórios são o segundo nível de objetos no VMware Identity Manager. Ele representa um armazenamento ou provedor de identidade externo, como o Active Directory (AD) ou um servidor OpenLDAP. Existem várias variantes de diretórios com suporte no VMware Identity Manager. Você pode adicionar o Active Directory via LDAP e Active Directory com IWA na seção Gerenciamento de Diretórios.
- Sincronização de Diretórios: ao adicionar diretórios, opções de configuração são fornecidas para filtrar e sincronizar os usuários e grupos necessários do armazenamento ou provedor de identidade para o banco de dados do VMware Identity Manager. Somente após uma sincronização bem-sucedida, você poderá integrar os usuários e grupos com o VMware Identity Manager.
- Diretórios no tenant: cada tenant pode conter vários diretórios. A mesma configuração de diretório pode estar presente em vários tenants. Porém, ela é considerada um diretório separado. Por exemplo: você adicionou o Diretório A ao tenant primário com algumas configurações de diretório (DNs de usuário, DNs de grupo, configurações de sincronização). E tem dois subtenants chamados Tenant-1 e Tenant-2. As mesmas configurações do diretório A podem ser usadas para adicionar os diretórios A1 e A2 em cada um dos subtenants, respectivamente, de modo que o mesmo conjunto de usuários e grupos sejam sincronizados nos subtenants: Tenant-1 e Tenant-2. Após a adição, alterações nas configurações de sincronização do diretório A no tenant primário não afetarão os diretórios A1 e A2 e seus usuários e grupos sincronizados no Tenant-1 e Tenant-2. Todos os três diretórios e suas configurações são independentes uns dos outros. Todos os três diretórios apenas serão afetados se o armazenamento ou provedor de identidades externo for alterado. Por exemplo, se usuários ou grupos estiverem sendo removidos diretamente do provedor de identidades, isso influenciará todos os três diretórios em todos os três tenants.