本节介绍在开始使用多租户之前需要了解的主要概念和术语。
熟悉租户管理术语
注: 以前的主租户 (Master tenant) 现在仍称为主租户 (Primary tenant)。
- 租户 - 在 VMware Identity Manager 中,租户是整个组织结构中的最高级别。系统将单独维护每个租户的所有对象,如目录、用户、组和第三方 IDP。每个租户与其余租户隔离,彼此之间不共享任何资源。
- 主租户 - VMware Identity Manager 中始终至少有一个租户(主租户、默认租户或基本租户),称为主租户。
对于 vRealize Automation 7.x 用户,主租户是 vRealize Automation 7.x 部署中即时可用的“vsphere.local”。默认情况下,vRealize Automation 7.x 中的主租户以“vsphere.local”作为名称进行引导。但在 VMware Identity Manager 的独立部署中,不会发生这种情况。主租户名称根据部署和引导的第一个 VMware Identity Manager 节点构成。例如,如果“idm1.vmwlab.local”是部署的第一个 VMware Identity Manager 节点,那么当您引导 VMware Identity Manager 时,将创建名为“idm1”的主租户。继续扩大的节点(如“idm2.vmwlab.local”和“idm3.vmwlab.local”)并不能产生效果。主租户名称只能构成一次,在单个实例或集群实例中保持不变。
- 主租户别名 - 要在 VMware Identity Manager 中的主租户下创建子租户,必须设置并启用几项配置。为主租户设置别名是一项重要的配置。必须为主租户创建别名,并且在单节点或集群实例中,应始终通过主租户别名 FQDN 访问主租户。
- 提供商管理员 - 负责包括 VMware Identity Manager、vRealize Automation 和其他产品的管理基础架构的管理员。管理员负责创建和管理所有租户,以及将产品与租户关联。vRealize Suite Lifecycle Manager 管理员用户“admin@local”是唯一的提供商管理员,有权执行租户管理功能。
- 租户管理员 - 每个 VMware Identity Manager 租户中具有最高管理权限的管理员。可以将此权限分配给本地 VMware Identity Manager 用户和 VMware Identity Manager 租户中的 Active Directory 用户。
- 租户感知产品 - 支持多租户并与每个逻辑租户实例保持适当隔离的产品是租户感知产品。它们与 VMware Identity Manager 租户具有一对一映射。从 vRealize Suite Lifecycle Manager 8.1 版本起,vRealize Automation 8.1 才是租户感知产品。
- vRealize Automation 组织和组织所有者 - 在 vRealize Automation 8.x 中,组织是顶层构造,它与 VMware Identity Manager 租户 1:1 映射。组织所有者在 vRealize Automation 组织或租户中具有管理权限。在添加租户并将 vRealize Automation 与新添加的租户关联时,VMware Identity Manager 租户管理员将成为新租户的组织所有者。有关添加租户的详细信息,请参见添加租户。
- 目录 - 目录是 VMware Identity Manager 中的第二级对象。它代表外部身份存储或提供程序,如 Active Directory (AD) 或 OpenLDAP 服务器。VMware Identity Manager 支持多种目录变体。您可以在“目录管理”部分中添加“基于 LDAP 的 Active Directory”和“使用 IWA 的 Active Directory”。
- 目录同步 - 在添加目录时,可以使用提供的配置选项从身份存储或提供商中筛选所需的用户和组并同步到 VMware Identity Manager 数据库。只有在成功同步后,您才能将用户和组与 VMware Identity Manager 集成。
- 租户中的目录 - 每个租户可以包含多个目录。同一目录配置可以存在于多个租户中,但被视为单独的目录。例如:您在主租户中添加了目录 A,并配置了一些目录配置(用户 DN、组 DN、同步配置)。您具有两个名为 Tenant-1 和 Tenant-2 的子租户。目录 A 的相同目录配置可用于分别在每个子租户上添加目录 A1 和 A2,以便同步子租户(Tenant-1 和 Tenant-2)中的同一组用户和组。添加后,对主租户中目录 A 的同步配置的任何更改都不会影响目录 A1 和 A2 以及 Tenant-1 和 Tenant-2 中已同步的用户和组。这三个目录及其配置相互独立。只有外部身份存储或提供程序发生更改时,这三个目录才会受到影响。例如,如果将用户或组直接从身份提供程序中移除,则会影响所有三个租户中的全部三个目录。