Mithilfe von VMware Aria Automation können IT-Anbieter mehrere Mandanten oder Organisationen innerhalb jeder Bereitstellung einrichten. Anbieter können mehrere Mandantenorganisationen einrichten, Infrastruktur innerhalb jeder Bereitstellung zuteilen und auch Benutzer für Mandanten verwalten.

In einer VMware Aria Automation-Konfiguration mit mehreren Organisationen können Anbieter mehrere Organisationen erstellen. Jede Mandantenorganisation verwaltet hierbei eigene Projekte, Ressourcen und Bereitstellungen. Obwohl Anbieter die Mandanteninfrastruktur nicht remote verwalten können, können sie sich bei Mandanten anmelden und die Infrastruktur innerhalb der Mandanten verwalten.

Mehrmandantenfähigkeit basiert auf der Koordination und Konfiguration von drei verschiedenen VMware-Produkten, wie im Folgenden beschrieben:
  • Workspace ONE Access: Dieses Produkt bietet die Infrastrukturunterstützung für Mehrmandantenfähigkeit und die Active Directory-Domänenverbindungen, die Benutzer- und Gruppenverwaltung innerhalb von Mandantenorganisationen ermöglichen.
  • VMware Aria Suite Lifecycle: Dieses Produkt unterstützt die Erstellung und Konfiguration von Mandanten für unterstützte Produkte, wie z. B. VMware Aria Automation. Darüber hinaus bietet es einige Zertifikatverwaltungsfunktionen.
  • VMware Aria Automation: Anbieter und Benutzer melden sich bei VMware Aria Automation an, um auf Mandanten zuzugreifen, in denen sie Bereitstellungen erstellen und verwalten.

Bei der Konfiguration der Mehrmandantenfähigkeit sollten die Benutzer mit allen drei Produkten und der zugehörigen Dokumentationen vertraut sein.

Weitere Informationen zum Verwenden von VMware Aria Suite Lifecycle und Workspace ONE Access finden Sie in den folgenden Dokumenten:

Administratoren mit VMware Aria Suite Lifecycle-Berechtigungen erstellen und verwalten Mandanten über die Seite „VMware Aria Suite Lifecycle-Mandanten“, die sich unterhalb des Identitäts- und Mandantenverwaltungsdiensts befindet. Mandanten werden mithilfe einer Active Directory IWA- oder LDAP-Verbindung erstellt. Sie werden von der zugeordneten Workspace ONE Access-Instanz unterstützt, die für VMware Aria Automation-Bereitstellungen erforderlich ist.

Beim Konfigurieren der Mehrmandantenfähigkeit beginnen Sie mit einem Basis- oder Mastermandanten. Dieser Mandant ist der Standardmandant, der bei der Bereitstellung der zugrunde liegenden Workspace ONE Access-Anwendung erstellt wird. Andere Mandanten, die als Submandanten bezeichnet werden, können auf dem Master-Mandanten basieren. VMware Aria Automation unterstützt aktuell bis zu 20 Mandantenorganisationen mit der aus drei Knoten bestehenden Standardbereitstellung.

Vor dem Aktivieren von VMware Aria Automation für Mehrmandantenfähigkeit müssen Sie die Anwendung zunächst in einer einzelnen Organisationskonfiguration installieren und dann mithilfe von VMware Aria Suite Lifecycle eine mehrere Organisationen umfassende Konfiguration einrichten. Eine Workspace ONE Access-Bereitstellung unterstützt die Verwaltung von Mandanten und der zugehörigen Active Directory-Domänenverbindungen.

Bei der Ersteinrichtung von Mehrmandantenfähigkeit wird in VMware Aria Suite Lifecycle ein Anbieteradministrator bestimmt. Sie können diesen Anbieteradministrator ändern oder Administratoren zu einem späteren Zeitpunkt hinzufügen. In Konfigurationen mit mehreren Organisationen werden VMware Aria Automation-Benutzer und -Gruppen in erster Linie über Workspace ONE Access verwaltet.

Nach der Erstellung von Organisationen können sich autorisierte Benutzer bei ihren Anwendungen anmelden, um Projekte und Ressourcen zu erstellen oder zu bearbeiten und Bereitstellungen zu erstellen. Administratoren können Benutzerrollen in VMware Aria Automation verwalten.

Einrichten einer Konfiguration mit mehreren Organisationen

Sie können eine Bereitstellung mit mehreren Organisationen aktivieren, nachdem Sie eine VMware Aria Automation-Installation abgeschlossen haben. Beim Einrichten einer Konfiguration mit mehreren Organisationen müssen Sie externen Workspace ONE Access für die Verwendung der Mehrmandantenfähigkeit konfigurieren und dann mithilfe von Lifecycle Manager Mandanten erstellen und konfigurieren. Dies gilt für neue und vorhandene Bereitstellungen. Als ersten Schritt zum Einrichten von Mandanten müssen Sie VMware Aria Suite Lifecycle verwenden, um einen Alias für den Mastermandanten festzulegen, der standardmäßig auf Workspace ONE Access erstellt wurde. Submandanten, die Sie anhand dieses Master-Mandanten erstellen, erben die Active Directory-Domänenverbindungen dieses Master-Mandanten.

In Lifecycle Manager weisen Sie einem Produkt, wie z. B. VMware Aria Automation, und einer bestimmten Umgebung Mandanten zu. Beim Einrichten eines Mandanten müssen Sie auch einen Mandantenadministrator festlegen. Standardmäßig wird die Mehrmandantenfähigkeit basierend auf dem Hostnamen des Mandanten aktiviert. Benutzer können den Mandantennamen manuell nach DNS-Namen konfigurieren. Während dieses Vorgangs müssen Sie verschiedene Flags zur Unterstützung der Mehrmandantenfähigkeit festlegen und einen Lastausgleichsdienst konfigurieren.

Wenn Sie eine Clusterinstanz verwenden, zeigen die auf dem Workspace ONE Access- und dem VMware Aria Automation-Mandanten basierenden Hostnamen auf den Lastausgleichsdienst.

Wenn die geclusterten VMware Aria Automation- und Workspace ONE Access-Lastausgleichsdienste keine Platzhalterzertifikate verwenden, müssen Benutzer Mandantenhostnamen als SAN-Einträge in den Zertifikaten hinzufügen. für jeden neu erstellten Mandanten.

Sie können Mandanten in VMware Aria Automation oder VMware Aria Suite Lifecycle nicht löschen. Wenn Sie einer vorhandenen Bereitstellung mit Mehrmandantenfähigkeit Mandanten hinzufügen müssen, ist dies mithilfe von VMware Aria Suite Lifecycle möglich. In diesem Fall muss eine Ausfallzeit von drei bis vier Stunden in Kauf genommen werden.

Weitere Informationen zur Verwendung von VMware Aria Suite Lifecycle Workspace ONE Access finden Sie in den Dokumentationslinks zu Beginn dieses Themas.

Hostnamen und Mehrmandantenfähigkeit

In früheren Versionen von VMware Aria Automation riefen Benutzer Mandanten mit URLs auf, die auf dem Verzeichnispfad basierten. Bei der aktuellen Implementierung von Mehrmandantenfähigkeit greifen Benutzer auf der Basis des Hostnamens auf Mandanten zu.

Darüber hinaus unterscheidet sich das Hostnamenformat, das VMware Aria Automation-Benutzer für den Zugriff auf Mandanten verwenden, von dem Format, das für den Zugriff auf Mandanten innerhalb von Workspace ONE Access verwendet wird. Beispielsweise sieht ein gültiger Hostname wie folgt aus: tenant1.example.eng.vmware.com, im Gegensatz zu vidm-node1.eng.vmware.com.

Mehrmandantenfähigkeit und Zertifikate

Sie müssen Zertifikate für alle Komponenten erstellen, die zu einer Konfiguration mit mehreren Organisationen gehören. Sie benötigen mindestens ein Zertifikat für Workspace ONE Access, VMware Aria Suite Lifecycle und VMware Aria Automation, je nachdem, ob Sie eine Konfiguration mit einem einzelnen Knoten oder eine Clusterkonfiguration verwenden.

Beim Konfigurieren von Zertifikaten können Sie entweder Platzhalter mit den SAN-Namen oder dedizierte Namen verwenden. Die Verwendung von Platzhaltern vereinfacht die Zertifikatsverwaltung, da Zertifikate aktualisiert werden müssen, wenn Sie neue Mandanten hinzufügen. Wenn die VMware Aria Automation- und Workspace ONE Access-Lastausgleichsdienste keine Platzhalterzertifikate verwenden, müssen Sie für jeden neu erstellten Mandanten Mandantenhostnamen als SAN-Einträge in den Zertifikaten hinzufügen. Bei Verwendung von SAN müssen Zertifikate darüber hinaus manuell aktualisiert werden, wenn Sie Hosts hinzufügen oder löschen oder einen Hostnamen ändern. Außerdem müssen Sie DNS-Einträge für Mandanten aktualisieren.

Beachten Sie, dass VMware Aria Suite Lifecycle keine separaten Zertifikate für jeden Mandanten erstellt. Stattdessen wird ein einzelnes Zertifikat erstellt, in dem der Hostname jedes Mandanten aufgelistet ist. In Basiskonfigurationen wird für den CNAME des Mandanten folgendes Format verwendet: tenantname.vrahostname.domain. In Hochverfügbarkeitskonfigurationen wird für den Namen folgendes Format verwendet: tenantname.vraLBhostname.domain.

Beachten Sie bei Verwendung einer Workspace ONE Access-Clusterkonfiguration, dass Lifecycle Manager das Zertifikat des Lastausgleichsdiensts nicht aktualisieren kann. Das Zertifikat muss in diesem Fall manuell aktualisiert werden. Darüber hinaus müssen Produkte oder Dienste, die sich außerhalb von VMware Aria Suite Lifecycle befinden, manuell neu registriert werden.