In diesem Abschnitt werden die wichtigsten Konzepte und Begriffe beschrieben, die es zu verstehen gilt, bevor Sie mit der Mehrmandantenfähigkeit beginnen.
Machen Sie sich mit den Begriffen zur Mandantenverwaltung vertraut
- Mandant: Dies ist die höchste Ebene in einer Organisationsstruktur in VMware Identity Manager. Alle Objekte wie Verzeichnisse, Benutzer, Gruppen, Drittanbieter-IDPs werden für jeden Mandanten einzeln verwaltet. Jeder Mandant ist vom Rest der Mandanten isoliert, und es werden keine Ressourcen untereinander geteilt.
- Primärer Mandant: Es ist immer mindestens ein Mandant (primär, Standard oder Basis) im VMware Identity Manager vorhanden, der als primärer Mandant bezeichnet wird.
Für Benutzer von vRealize Automation 7.x ist dies „vsphere.local“, der einsatzbereit in Bereitstellungen von vRealize Automation 7.x vorhanden war. Für den primären Mandanten in vRealize Automation 7.x wurde standardmäßig ein Bootstrap mit „vsphere.local“ als Name durchgeführt. Dies geschieht jedoch nicht in einer eigenständigen Bereitstellung von VMware Identity Manager. Der Name des primären Mandanten wird auf Basis des ersten VMware Identity Manager-Knotens gebildet, der bereitgestellt und mit Bootstrap gestartet wird. Wenn beispielsweise „idm1.vmwlab.local“ der erste VMware Identity Manager-Knoten ist, der bereitgestellt wird, wird beim Bootstrap von VMware Identity Manager der primäre Mandant mit dem Namen „idm1“ erstellt. Knoten, die weiter horizontal skaliert werden, wie „idm2.vmwlab.local“ und „idm3.vmwlab.local“, haben keine Auswirkungen. Der Name des primären Mandanten wird nur einmal gebildet und bleibt in einer einzelnen oder geclusterten Instanz unverändert.
- Alias des primären Mandanten: Sie können unter dem primären Mandanten in VMware Identity Manager keine Untermandanten erstellen, bis einige Konfigurationen festgelegt und aktiviert sind. Das Festlegen eines Aliasnamens für den primären Mandanten ist so eine wichtige Konfiguration. Auf dem primären Mandanten muss ein Alias erstellt werden. Auf den primären Mandanten sollte immer über den Alias-FQDN des primären Mandanten auf einem Einzelknoten oder einer Clusterinstanz zugegriffen werden.
- Anbieter-Admin: Ein Administrator, der die Verwaltungsinfrastruktur besitzt, die VMware Identity Manager, vRealize Automation und andere Produkte umfasst. Der Administrator erstellt und verwaltet alle Mandanten und verknüpft Produkte mit Mandanten. Der vRealize Suite Lifecycle Manager-Admin-Benutzer „admin@local“ ist der einzige Anbieteradministrator und autorisiert, Mandantenverwaltungsfunktionen durchzuführen.
- Mandantenadministrator: Ein Administrator mit der höchsten administrativen Berechtigung in jedem VMware Identity Manager-Mandanten. Diese Berechtigung kann sowohl lokalen Benutzern von VMware Identity Manager als auch Active Directory-Benutzern innerhalb des Mandanten von VMware Identity Manager zugewiesen werden.
- Mandantenfähige Produkte: Produkte, die Mehrmandantenfähigkeit unterstützen und eine ordnungsgemäße Isolierung zu jeder logischen Mandanteninstanz aufrechterhalten, sind mandantenfähige Produkte. Sie verfügen über eine 1:1-Zuordnung mit VMware Identity Manager-Mandanten. Ab Version vRealize Suite Lifecycle Manager 8.1 ist nur vRealize Automation 8.1 mandantenfähig.
- vRealize Automation-Organisation und -Organisationsbesitzer: In vRealize Automation 8.x ist die Organisation das Konstrukt der obersten Ebene und wird 1:1 dem VMware Identity Manager zugeordnet. Der Organisationsbesitzer verfügt über Administratorberechtigungen in der Organisation oder dem Mandanten von vRealize Automation. Beim Hinzufügen von Mandanten und beim Zuordnen von vRealize Automation zum neu hinzugefügten Mandanten wird der Mandantenadministrator von VMware Identity Manager zum Organisationsbesitzer für den neuen Mandanten. Weitere Informationen zum Hinzufügen von Mandanten finden Sie unter Hinzufügen von Mandanten.
- Verzeichnis: Verzeichnisse sind die zweite Ebene von Objekten in VMware Identity Manager. Sie stellen eine externe Identitätsquelle oder einen externen Anbieter wie Active Directory (AD) oder einen OpenLDAP-Server dar. Es gibt mehrere Varianten von Verzeichnissen, die in VMware Identity Manager unterstützt werden. Sie können Active Directory über LDAP und Active Directory mit IWA im Abschnitt „Verzeichnisverwaltung“ hinzufügen.
- Verzeichnissynchronisierung: Beim Hinzufügen von Verzeichnissen werden Konfigurationsoptionen zum Filtern und Synchronisieren der erforderlichen Benutzer und Gruppen aus der Identitätsquelle oder dem Anbieter mit der VMware Identity Manager-Datenbank bereitgestellt. Erst nach einer erfolgreichen Synchronisierung können Sie die Benutzer und Gruppen in VMware Identity Manager integrieren.
- Verzeichnisse im Mandanten – Jeder Mandant kann mehrere Verzeichnisse enthalten. Dieselbe Verzeichniskonfiguration kann in mehreren Mandanten vorhanden sein, wird jedoch als separates Verzeichnis betrachtet. Beispiel: Sie haben Verzeichnis A im primären Mandanten mit einigen Verzeichniskonfigurationen (Benutzer-DNs, Gruppen-DNs, Synchronisierungskonfigurationen) hinzugefügt. Außerdem haben Sie zwei Untermandanten mit dem Namen Tenant-1 und Tenant-2. Die gleichen Verzeichniskonfigurationen von Verzeichnis A können weiterverwendet werden, um die Verzeichnisse A1 und A2 auf jedem Untermandanten hinzuzufügen, sodass dieselbe Gruppe von Benutzern und Gruppen in Untermandanten – Tenant-1 und Tenant-2 – synchronisiert wird. Nach dem Hinzufügen wirken sich Änderungen an den Synchronisierungskonfigurationen von Verzeichnis A im primären Mandanten nicht auf die Verzeichnisse A1 und A2 und die damit synchronisierten Benutzer und Gruppen in Tenant-1 und Tenant-2 aus. Alle drei Verzeichnisse und ihre Konfigurationen sind voneinander unabhängig. Alle drei Verzeichnisse sind nur betroffen, wenn sich die externe Identitätsquelle oder der Anbieter ändert. Wenn beispielsweise Benutzer oder Gruppen direkt vom Identitätsanbieter entfernt werden, wirkt sich dies auf alle drei Verzeichnisse in allen drei Mandanten aus.