Sie können Mandantenfähigkeit für mehrere Organisationen für VMware Aria Automation mithilfe von VMware Aria Suite Lifecycle einrichten.

Im Folgenden finden Sie eine allgemeine Beschreibung des Verfahrens zur Einrichtung von Mehrmandantenfähigkeit für VMware Aria Automation, einschließlich der Konfiguration von DNS und Zertifikaten. Sie bezieht sich auf eine Bereitstellung mit einem Knoten, enthält aber Hinweise für eine Clusterkonfiguration.

Weitere Informationen und eine Videovorführung zur Konfiguration von VMware Aria Automation-Mehrmandantenfähigkeit für mehrere Organisationen finden Sie in diesem VMware-Blog.

Voraussetzungen

  • Installieren und konfigurieren Sie Workspace ONE Access.
  • Installieren und konfigurieren Sie VMware Aria Suite Lifecycle.

Prozedur

  1. Erstellen Sie die erforderlichen DNS-Datensätze vom Typ „A“ und „CNAME“.
    • Sie müssen für den primären Mandanten und jeden Untermandanten ein SAN-Zertifikat erstellen und anwenden.
    • Für Bereitstellungen mit einem Knoten verweist der VMware Aria Automation-FQDN auf die VMware Aria Automation-Appliance, und der Workspace ONE Access-FQDN verweist auf die Workspace ONE Access-Appliance.
    • Für Clusterbereitstellungen müssen die mandantenbasierten FQDNs sowohl für Workspace ONE Access als auch für VMware Aria Automation auf ihre entsprechenden Lastausgleichsdienste verweisen. Da Workspace ONE Access mit SSL-Terminierung konfiguriert ist, wird das Zertifikat sowohl auf den Workspace ONE Access-Cluster als auch auf den Lastausgleichsdienst angewendet. Der VMware Aria Automation-Lastausgleichsdienst verwendet SSL Passthrough, sodass das Zertifikat nur auf den VMware Aria Automation-Cluster angewendet wird.

    Weitere Einzelheiten hierzu finden Sie unter Managing certificates and DNS configuration under single-node multi-organization deployments und Managing certificate and DNS configuration in clustered VMware Aria Automation deployments.

  2. Erstellen oder importieren Sie die erforderlichen Zertifikate für mehrere Domänen (SAN) für Workspace ONE Access und VMware Aria Automation.
    Sie können Zertifikate in VMware Aria Suite Lifecycle mithilfe des Locker-Diensts erstellen. Mit dem Locker-Dienst können Sie Zertifikate, Lizenzen und Kennwörter erstellen. Alternativ dazu können Sie einen Zertifizierungsstellenserver oder einen anderen Mechanismus zum Generieren von Zertifikaten verwenden.

    Wenn Sie zusätzliche Mandanten hinzufügen oder erstellen möchten, müssen Sie Ihre VMware Aria Automation- und Workspace ONE Access-Mandanten neu erstellen und anwenden.

    Nachdem Sie Ihre Zertifikate erstellt haben, können Sie sie in VMware Aria Suite Lifecycle mit der Lifecycle Operations-Funktion anwenden. Sie müssen die Umgebung und das Produkt und dann die Option Zertifikat ersetzen auswählen. Anschließend können Sie das Produkt auswählen. Wenn Sie ein Zertifikat ersetzen, müssen Sie allen zugehörigen Produkten in Ihrer Umgebung erneut vertrauen.

    Warten Sie, bis das Zertifikat angewendet wurde und alle Dienste neu gestartet wurden, bevor Sie mit dem nächsten Schritt fortfahren.

    Weitere Einzelheiten hierzu finden Sie unter Managing certificates and DNS configuration under single-node multi-organization deployments und Managing certificate and DNS configuration in clustered VMware Aria Automation deployments.

  3. Wenden Sie das Workspace ONE Access-SAN-Zertifikat auf die Workspace ONE Access-Instanz oder den Cluster an.
  4. Führen Sie in VMware Aria Suite Lifecycle den Assistenten zum Aktivieren der Mandantenfähigkeit aus, um die Mehrmandantenfähigkeit zu aktivieren, und erstellen Sie einen Alias für den standardmäßigen primären Mandanten.
    Die Aktivierung der Mandantenfähigkeit erfordert, dass Sie einen Alias für den primären Mandanten oder den Standardmandanten der Anbieterorganisation erstellen. Nachdem Sie die Mandantenfähigkeit aktiviert haben, können Sie über den FQDN des primären Mandanten auf Workspace ONE Access zugreifen.

    Wenn beispielsweise der vorhandene Workspace ONE Access-FQDN idm.example.local ist und Sie einen Alias des Standardmandanten erstellen, ändert sich der Workspace ONE Access-FQDN nach dem Aktivieren der Mandantenfähigkeit zu default-tenant.example.local, und alle Clients, die mit Workspace ONE Access kommunizieren, kommunizieren dann über default-tenant.example.local.

  5. Wenden Sie die VMware Aria Automation-SAN-Zertifikate auf die VMware Aria Automation-Instanz oder den Cluster an.
    Sie können SAN-Zertifikate über den Lifecycle Operations-Dienst von VMware Aria Suite Lifecycle anwenden. Zeigen Sie Details der Umgebung an und wählen Sie dann Zertifikate ersetzen aus. Sie müssen warten, bis die Zertifikatersetzungsaufgabe abgeschlossen ist, bevor Sie Mandanten hinzufügen. Im Rahmen der Zertifikatersetzung werden VMware Aria Automation-Dienste neu gestartet.
  6. Führen Sie in VMware Aria Suite Lifecycle den Assistenten Mandanten hinzufügen aus, um die gewünschten Mandanten zu konfigurieren.
    Sie fügen Mandanten mithilfe der VMware Aria Suite Lifecycle-Seite Mandantenverwaltung unter Identitäts- und Mandantenverwaltung hinzu. Sie können nur Mandanten hinzufügen, für die Sie zuvor Zertifikate und DNS-Einstellungen konfiguriert haben.

    Beim Erstellen eines Mandanten müssen Sie einen Mandantenadministrator zuweisen, und Sie können die Active Directory-Verbindungen für diesen Mandanten auswählen. Verfügbare Verbindungen basieren auf denen, die in Ihrem Standard- oder primären Mandanten konfiguriert sind. Sie müssen auch das Produkt oder die Produktinstanz auswählen, der der Mandant zugeordnet werden soll.

Nächste Maßnahme

Nachdem Sie Mandanten erstellt haben, können Sie die VMware Aria Suite Lifecycle-Seite Mandantenverwaltung unter Identitäts- und Mandantenverwaltung verwenden, um Mandantenadministratoren zu ändern oder hinzuzufügen, Active Directory-Verzeichnisse zum Mandanten hinzuzufügen und Produktzuordnungen für den Mandanten zu ändern.

Sie können sich auch bei Ihrer Workspace ONE Access-Instanz anmelden, um Ihre Mandantenkonfiguration anzuzeigen und zu validieren.