您可以使用 vRealize Suite Lifecycle Manager，通过 vReallize Automation 8.4 在 VMware Identity Manager 3.3.5 上启用内部部署的多租户功能。

对于 vReallize Automation 8.4，默认情况下，将以 tenant-in-host-name 模式启用多租户功能，而不是以 tenant-in-path 模式。.

使用 tenant-in-host-name 模式时，您必须使用租户的完全限定域名 (FQDN) 的 URL 来访问租户。负载均衡器 URL 或 VMware Identity Manager URL 不起作用。例如：

• 启用多租户功能之前的 URL：https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
• 启用多租户功能后的 URL：https://tenant1.vmwareidentity.com

在实现负载均衡的 VMware Identity Manager 部署中启用多租户功能之后，请准备重新注册现有 vRealize 产品。

下图说明了有效的 URL 和无效的 URL。该图还提供了负载均衡器和 DNS 配置的示例。

• ♦ 使用 vRealize Suite Lifecycle Manager 可启用多租户功能。
  请参见《 vRealize Suite Lifecycle Manager 8.4 安装、升级和管理指南》中有关创建租户的信息。

  重要事项： 启用多租户功能时，请遵循以下准则。

  • 配置 SSL 证书时，最佳做法是使用通配符主体备用名称 (SAN) 证书，该证书最好由公共证书颁发机构 (CA) 签名。但是，您也可以将自签名证书与通配符 SAN 结合使用。

    确保证书包含完全限定域名作为负载均衡器、节点和 default-tennat 别名的 SAN。

    注： 如果您使用不带通配符 SAN 的证书，请执行以下步骤（如果适用）。

    • 将所有租户完全限定域名作为 SAN 添加到证书中。
    • 每次创建租户时，请确保将新租户 FQDN 作为 SAN 添加到 VMware Identity Manager 证书中。更新证书时，需要重新启动 Horizon 服务。
  • 以下 VMware Identity Manager Connector 信息适用。
    • 对于子租户，默认情况下，连接器不会显示在“连接器”页面上。只有在使用连接器实例创建企业目录后，VMware Identity Manager 控制台中的“连接器”页面才会列出该连接器实例。
    • 始终从主租户执行域加入操作。
    • 如果您选择为子租户上的不同域创建 IWA 目录，请使用不同的外部 Windows 连接器实例。
      • 根据任何子租户激活的外部连接器实例仅用于该租户。
      • 根据主租户激活的外部连接器实例可以在所有子租户中使用。
    • 升级期间，VMware Identity Manager 服务会为所有连接器实例生成 cluster-hostname-conn-timestamp.enc 文件。cluster-hostname-conn-timestamp.enc 文件包含嵌入式连接器配置信息。