您可以使用 vRealize Suite Lifecycle Manager,通过 vReallize Automation 8.4 在 VMware Identity Manager 3.3.5 上启用内部部署的多租户功能。

对于 vReallize Automation 8.4,默认情况下,将以 tenant-in-host-name 模式启用多租户功能,而不是以 tenant-in-path 模式。.

使用 tenant-in-host-name 模式时,您必须使用租户的完全限定域名 (FQDN) 的 URL 来访问租户。负载均衡器 URL 或 VMware Identity Manager URL 不起作用。例如:

  • 启用多租户功能之前的 URL:https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
  • 启用多租户功能后的 URL:https://tenant1.vmwareidentity.com

在实现负载均衡的 VMware Identity Manager 部署中启用多租户功能之后,请准备重新注册现有 vRealize 产品。

下图说明了有效的 URL 和无效的 URL。该图还提供了负载均衡器和 DNS 配置的示例。

图 1. Tenant-In-Host-Name 多租户部署示例
在 VMware vRealize Automation 使用 tenant-in-host-name 多租户功能情况下的 VMware Identity Manager

前提条件

创建相应的 DNS 条目:

单节点或集群式 操作
对于单节点 VMware Identity Manager 部署 创建 DNS 条目,以将每个租户的完全限定域名解析为 VMware Identity Manager IP 地址。
对于集群式 VMware Identity Manager 部署 创建 DNS 条目,以将每个租户的完全限定域名解析为负载均衡器 IP 地址。

过程

  • 使用 vRealize Suite Lifecycle Manager 可启用多租户功能。
    请参见《 vRealize Suite Lifecycle Manager 8.4 安装、升级和管理指南》中有关创建租户的信息。
    重要事项: 启用多租户功能时,请遵循以下准则。
    • 配置 SSL 证书时,最佳做法是使用通配符主体备用名称 (SAN) 证书,该证书最好由公共证书颁发机构 (CA) 签名。但是,您也可以将自签名证书与通配符 SAN 结合使用。

      确保证书包含完全限定域名作为负载均衡器、节点和 default-tennat 别名的 SAN。

      注: 如果您使用不带通配符 SAN 的证书,请执行以下步骤(如果适用)。
      • 将所有租户完全限定域名作为 SAN 添加到证书中。
      • 每次创建租户时,请确保将新租户 FQDN 作为 SAN 添加到 VMware Identity Manager 证书中。更新证书时,需要重新启动 Horizon 服务。
    • 以下 VMware Identity Manager Connector 信息适用。
      • 对于子租户,默认情况下,连接器不会显示在“连接器”页面上。只有在使用连接器实例创建企业目录后,VMware Identity Manager 控制台中的“连接器”页面才会列出该连接器实例。
      • 始终从主租户执行域加入操作。
      • 如果您选择为子租户上的不同域创建 IWA 目录,请使用不同的外部 Windows 连接器实例。
        • 根据任何子租户激活的外部连接器实例仅用于该租户。
        • 根据主租户激活的外部连接器实例可以在所有子租户中使用。
      • 升级期间,VMware Identity Manager 服务会为所有连接器实例生成 cluster-hostname-conn-timestamp.enc 文件。cluster-hostname-conn-timestamp.enc 文件包含嵌入式连接器配置信息。

后续步骤

您必须使用主租户别名完全限定域名重新注册现有的 vRealize 产品,比如 VMware vRealize OperationsVMware vRealize AutomationVMware vRealize Log Insight。请参见 vRealize Suite Lifecycle Manager 8.4 文档。