Sie können vRealize Suite Lifecycle Manager verwenden, um die Mehrmandantenfähigkeit lokal in VMware Identity Manager 3.3.6 mit vReallize Automation 8.4 zu aktivieren.

Für vReallize Automation 8.4 ist die Mehrmandantenfähigkeit standardmäßig mit dem „tenant-in-host-name“-Modus und nicht mit dem „tenant-in-path“-Modus aktiviert.

Im „tenant-in-host-name“-Modus müssen Sie eine URL des vollqualifizierten Domänennamens (FQDN) des Mandanten verwenden, um auf Mandanten zuzugreifen. Die URL des Lastausgleichsdiensts oder die VMware Identity Manager-URL funktioniert nicht. Beispiel:

  • URL vor Aktivierung der Mehrmandantenfähigkeit: https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
  • URL nach Aktivierung der Mehrmandantenfähigkeit: https://tenant1.vmwareidentity.com

Sie müssen darauf vorbereitet sein, vorhandene vRealize-Produkte neu zu registrieren, nachdem Sie die Mehrmandantenfähigkeit für die VMware Identity Manager-Bereitstellung mit Lastausgleich aktiviert haben.

In der folgenden Abbildung werden gültige URLs und ungültige URLs veranschaulicht. Die Abbildung enthält auch Beispiele für Lastausgleichsdienst- und DNS-Konfigurationen.

Abbildung 1. Beispiel für eine „tenant-in-host-name“-Mehrmandantenbereitstellung
VMware Identity Manager mit VMware vRealize Automation unter Verwendung der „tenant-in-host-name“-Mehrmandantenfähigkeit

Voraussetzungen

Erstellen Sie die entsprechenden DNS-Einträge:

„Einzelner Knoten“ oder „Geclustert“ Aktion
Für die VMware Identity Manager-Bereitstellung auf einem einzelnen Knoten Erstellen Sie DNS-Einträge, um den vollqualifizierten Domänennamen für jeden Mandanten in die VMware Identity Manager-IP-Adresse aufzulösen.
Für eine geclusterte VMware Identity Manager-Bereitstellung Erstellen Sie DNS-Einträge, um den vollqualifizierten Domänennamen für jeden Mandanten in die IP-Adresse des Lastausgleichsdiensts aufzulösen.

Prozedur

  • Verwenden Sie vRealize Suite Lifecycle Manager, um die Mehrmandantenfähigkeit zu aktivieren.
    Informationen zum Erstellen von Mandanten finden Sie im Handbuch vRealize Suite Lifecycle Manager 8.4-Installation, -Upgrade und -Verwaltung.
    Wichtig: Halten Sie sich an die folgenden Richtlinien, wenn Sie die Mehrmandantenfähigkeit aktivieren.
    • Beim Konfigurieren von SSL-Zertifikaten empfiehlt es sich, das Platzhalter-SAN-Zertifikat (Subject Alternative Name) zu verwenden, das vorzugsweise von einer öffentlichen Zertifizierungsstelle (CA) signiert wurde. Sie können jedoch auch ein selbstsigniertes Zertifikat mit einem Platzhalter-SAN verwenden.

      Stellen Sie sicher, dass das Zertifikat vollständig qualifizierte Domänennamen als SANs für den Lastausgleichsdienst, die Knoten und den Alias „default-tenant“ enthält.

      Hinweis: Wenn Sie ein Zertifikat ohne Platzhalter-SAN verwenden, führen Sie ggf. die folgenden Schritte aus.
      • Fügen Sie dem Zertifikat alle vollqualifizierten Domänennamen des Mandanten als SANs hinzu.
      • Wenn Sie einen Mandanten erstellen, stellen Sie stets sicher, dass der FQDN des neuen Mandanten als SAN zum VMware Identity Manager-Zertifikat hinzugefügt wird. Eine Zertifikatsaktualisierung erfordert einen Neustart des Horizon-Diensts.
    • Die folgenden VMware Identity Manager Connector-Informationen gelten.
      • Für einen untergeordneten Mandanten wird der Konnektor auf der Seite „Konnektoren“ standardmäßig nicht angezeigt. Eine Konnektorinstanz wird auf der Seite „Konnektoren“ in der VMware Identity Manager-Konsole erst dann aufgelistet, wenn das Unternehmensverzeichnis mithilfe dieser Konnektorinstanz erstellt wurde.
      • Führen Sie die Domänenbeitrittsvorgänge immer vom Mastermandanten aus durch.
      • Wenn Sie sich dazu entscheiden, ein IWA-Verzeichnis für eine andere Domäne auf dem untergeordneten Mandanten zu erstellen, verwenden Sie verschiedene externe Windows-Konnektorinstanzen.
        • Die für jeden untergeordneten Mandanten aktivierte externe Konnektorinstanz wird nur für diesen Mandanten verwendet.
        • Die für einen Mastermandanten aktivierte externe Konnektorinstanz kann auf allen untergeordneten Mandanten verwendet werden.
      • Während des Upgrades erzeugt der VMware Identity Manager-Dienst die Datei cluster-hostname-conn-timestamp.enc für alle Konnektorinstanzen. Die Datei cluster-hostname-conn-timestamp.enc enthält Informationen zur Konfiguration des eingebetteten Konnektors.

Nächste Maßnahme

Sie müssen die vorhandenen vRealize-Produkte, z. B. VMware vRealize Operations, VMware vRealize Automation und VMware vRealize Log Insight, mit dem vollqualifizierten Domänennamen des Mastermandanten-Alias erneut registrieren. Weitere Informationen finden Sie in der Dokumentation zu vRealize Suite Lifecycle Manager 8.4.