Sie können vRealize Suite Lifecycle Manager verwenden, um die Mehrmandantenfähigkeit lokal in VMware Identity Manager 3.3.2 mit vReallize Automation 8.1 zu aktivieren.
Für vReallize Automation 8.1 ist die Mehrmandantenfähigkeit standardmäßig mit dem „tenant-in-host-name“-Modus und nicht dem „tenant-in-path“-Modus aktiviert. .
Im „tenant-in-host-name“-Modus müssen Sie eine URL des vollqualifizierten Domänennamens (FQDN) des Mandanten verwenden, um auf Mandanten zuzugreifen. Die URL des Lastausgleichsdiensts oder die VMware Identity Manager-URL funktioniert nicht. Beispiel:
- URL vor Aktivierung der Mehrmandantenfähigkeit: https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
- URL nach Aktivierung der Mehrmandantenfähigkeit: https://tenant1.vmwareidentity.com
Sie müssen darauf vorbereitet sein, vorhandene vRealize-Produkte neu zu registrieren, nachdem Sie die Mehrmandantenfähigkeit für die VMware Identity Manager-Bereitstellung mit Lastausgleich aktiviert haben.
In der folgenden Abbildung werden gültige URLs und ungültige URLs veranschaulicht. Die Abbildung enthält auch Beispiele für Lastausgleichsdienst- und DNS-Konfigurationen.
Voraussetzungen
Erstellen Sie die entsprechenden DNS-Einträge:
„Einzelner Knoten“ oder „Geclustert“ | Aktion |
---|---|
Für die VMware Identity Manager-Bereitstellung auf einem einzelnen Knoten | Erstellen Sie DNS-Einträge, um den vollqualifizierten Domänennamen für jeden Mandanten in die VMware Identity Manager-IP-Adresse aufzulösen. |
Für eine geclusterte VMware Identity Manager-Bereitstellung | Erstellen Sie DNS-Einträge, um den vollqualifizierten Domänennamen für jeden Mandanten in die IP-Adresse des Lastausgleichsdiensts aufzulösen. |
Prozedur
- ♦ Verwenden Sie vRealize Suite Lifecycle Manager, um die Mehrmandantenfähigkeit zu aktivieren.
Informationen zum Erstellen von Mandanten finden Sie im Handbuch vRealize Suite Lifecycle Manager 8.1-Installation, -Upgrade und -Verwaltung.Wichtig: Halten Sie sich an die folgenden Richtlinien, wenn Sie die Mehrmandantenfähigkeit aktivieren.
- Beim Konfigurieren von SSL-Zertifikaten empfiehlt es sich, das Platzhalter-SAN-Zertifikat (Subject Alternative Name) zu verwenden, das vorzugsweise von einer öffentlichen Zertifizierungsstelle (CA) signiert wurde. Sie können jedoch auch ein selbstsigniertes Zertifikat mit einem Platzhalter-SAN verwenden.
Hinweis: Wenn Sie ein Zertifikat ohne Platzhalter-SAN verwenden, führen Sie ggf. die folgenden Schritte aus.
- Fügen Sie dem Zertifikat alle vollqualifizierten Domänennamen des Mandanten als SANs hinzu.
- Wenn Sie einen Mandanten erstellen, stellen Sie stets sicher, dass der FQDN des neuen Mandanten als SAN zum VMware Identity Manager-Zertifikat hinzugefügt wird. Eine Zertifikataktualisierung erfordert einen Neustart des Horizon-Diensts.
- Die folgenden VMware Identity Manager Connector-Informationen gelten.
- Für einen untergeordneten Mandanten wird der Konnektor auf der Seite „Konnektoren“ standardmäßig nicht angezeigt. Eine Konnektorinstanz wird auf der Seite „Konnektoren“ in der VMware Identity Manager-Konsole erst dann aufgelistet, wenn das Unternehmensverzeichnis mithilfe dieser Konnektorinstanz erstellt wurde.
- Wenn Sie die integrierte Windows-Authentifizierung (Integrated Windows Authentication, IWA) oder die Kerberos-Authentifizierung verwenden, verwenden Sie einen externen Windows-Konnektor.
- Führen Sie die Domänenbeitrittsvorgänge immer vom Mastermandanten aus durch.
- Wenn Sie sich dazu entscheiden, ein IWA-Verzeichnis für eine andere Domäne auf dem untergeordneten Mandanten zu erstellen, verwenden Sie verschiedene externe Windows-Konnektorinstanzen.
- Die für jeden untergeordneten Mandanten aktivierte externe Konnektorinstanz wird nur für diesen Mandanten verwendet.
- Die für einen Mastermandanten aktivierte externe Konnektorinstanz kann auf allen untergeordneten Mandanten verwendet werden.
- Beim Konfigurieren von SSL-Zertifikaten empfiehlt es sich, das Platzhalter-SAN-Zertifikat (Subject Alternative Name) zu verwenden, das vorzugsweise von einer öffentlichen Zertifizierungsstelle (CA) signiert wurde. Sie können jedoch auch ein selbstsigniertes Zertifikat mit einem Platzhalter-SAN verwenden.
Nächste Maßnahme
Sie müssen die vorhandenen vRealize-Produkte, z. B. VMware vRealize Operations, VMware vRealize Automation und VMware vRealize Log Insight, mit dem vollqualifizierten Domänennamen des Mastermandanten-Alias erneut registrieren. Weitere Informationen finden Sie in der Dokumentation zu vRealize Suite Lifecycle Manager 8.1.