Sie können Mandantenfähigkeit für mehrere Organisationen für vRealize Automation mithilfe von vRealize Suite Lifecycle Manager einrichten.
Im Folgenden finden Sie eine allgemeine Beschreibung des Verfahrens zur Einrichtung von Mehrmandantenfähigkeit für vRealize Automation, einschließlich der Konfiguration von DNS und Zertifikaten. Sie bezieht sich auf eine Bereitstellung mit einem Knoten, enthält aber Hinweise für eine Clusterkonfiguration.
Unter https://vmwarelab.org/2020/04/14/vrealize-automation-8-1-multi-tenancy-setup-with-vrealize-suite-lifecycle-manager-8-1/ finden Sie weitere Informationen und eine Videopräsentation zum Einrichten einer vRealize Automation-Konfiguration mit mehreren Organisationen.
Voraussetzungen
- Installieren und Konfigurieren von Workspace ONE Access Version 3.3.4 oder höher.
- Installieren und Konfigurieren Sie vRealize Suite Lifecycle Manager Version 8.5.
Prozedur
- Erstellen Sie die erforderlichen DNS-Datensätze vom Typ „A“ und „CNAME“.
- Sie müssen für den Mastermandanten und jeden Untermandanten ein SAN-Zertifikat erstellen und anwenden.
- Für Bereitstellungen mit einem Knoten verweist der vRealize Automation-FQDN auf die vRealize Automation-Appliance, und der Workspace ONE Access-FQDN verweist auf die Workspace ONE Access-Appliance.
- Für Clusterbereitstellungen müssen die mandantenbasierten FQDNs sowohl für Workspace ONE Access als auch für vRealize Automation auf ihre entsprechenden Lastausgleichsdienste verweisen. Da Workspace ONE Access mit SSL-Terminierung konfiguriert ist, wird das Zertifikat sowohl auf den Workspace ONE Access-Cluster als auch auf den Lastausgleichsdienst angewendet. Der vRealize Automation-Lastausgleichsdienst verwendet SSL Passthrough, sodass das Zertifikat nur auf den vRealize Automation-Cluster angewendet wird.
Weitere Einzelheiten hierzu finden Sie unter Verwalten von Zertifikaten und DNS-Konfiguration in Bereitstellungen mit einem Knoten und mehreren Organisationen und Verwalten der Zertifikat- und DNS-Konfiguration unter vRealize Automation-Clusterbereitstellungen.
- Erstellen oder importieren Sie die erforderlichen Zertifikate für mehrere Domänen (SAN) für Workspace ONE Access und vRealize Automation.
Sie können Zertifikate in Lifecycle Manager mithilfe des Locker-Dienstes erstellen, mit dem Sie Zertifikatlizenzen und Kennwörter erstellen können. Alternativ dazu können Sie einen Zertifizierungsstellenserver oder einen anderen Mechanismus zum Generieren von Zertifikaten verwenden.
Wenn Sie zusätzliche Mandanten hinzufügen oder erstellen möchten, müssen Sie Ihre vRealize Automation- und Workspace ONE Access-Mandanten neu erstellen und anwenden.
Nachdem Sie Ihre Zertifikate erstellt haben, können Sie sie in Lifecycle Manager mit der Lifecycle Operations-Funktion anwenden. Sie müssen die Umgebung und das Produkt und dann die Option „Zertifikat ersetzen“ im Menü auf der rechten Seite auswählen. Anschließend können Sie das Produkt auswählen. Wenn Sie ein Zertifikat ersetzen, müssen Sie allen zugehörigen Produkten in Ihrer Umgebung erneut vertrauen.
Sie müssen warten, bis das Zertifikat angewendet und alle Dienste neu gestartet wurden, bevor Sie mit dem nächsten Schritt fortfahren.
Weitere Einzelheiten hierzu finden Sie unter Verwalten von Zertifikaten und DNS-Konfiguration in Bereitstellungen mit einem Knoten und mehreren Organisationen und Verwalten der Zertifikat- und DNS-Konfiguration unter vRealize Automation-Clusterbereitstellungen.
- Wenden Sie das Workspace ONE Access-SAN-Zertifikat auf die Workspace ONE Access-Instanz oder den Cluster an.
- Führen Sie in vRealize Suite Lifecycle Manager den Assistenten zum Aktivieren der Mandantenfähigkeit aus, um die Mehrmandantenfähigkeit zu aktivieren, und erstellen Sie einen Alias für den standardmäßigen Mastermandanten.
Die Aktivierung der Mandantenfähigkeit erfordert, dass Sie einen Alias für den Mastermandanten oder den Standardmandanten der Anbieterorganisation erstellen. Nachdem Sie die Mandantenfähigkeit aktiviert haben, können Sie über den FQDN des Mastermandanten auf
Workspace ONE Access zugreifen.
Wenn beispielsweise der vorhandene Workspace ONE Access-FQDN idm.example.local
ist und Sie einen Alias des Standardmandanten erstellen, ändert sich der Workspace ONE Access-FQDN nach dem Aktivieren der Mandantenfähigkeit zu default-tenant.example.local
, und alle Clients, die mit Workspace ONE Access kommunizieren, kommunizieren dann über default-tenant.example.local
.
- Wenden Sie die vRealize Automation-SAN-Zertifikate auf die vRealize Automation-Instanz oder den Cluster an.
Sie können SAN-Zertifikate über den Lifecycle Operations-Dienst von Lifecycle Manager anwenden. Sie müssen die Details der Umgebung anzeigen und dann im rechten Menü die Option „Zertifikate ersetzen“ auswählen. Sie müssen warten, bis die Zertifikatersetzungsaufgabe abgeschlossen ist, bevor Sie Mandanten hinzufügen. Im Rahmen der Zertifikatersetzung werden
vRealize Automation-Dienste neu gestartet.
- Führen Sie in Lifecycle Manager den Assistenten zum Hinzufügen von Mandanten aus, um die gewünschten Mandanten zu konfigurieren.
Sie fügen Mandanten mithilfe der Seite „Mandantenverwaltung in Lifecycle Manager unter „Identitäts- und Mandantenverwaltung“ hinzu. Sie können nur Mandanten hinzufügen, für die Sie zuvor Zertifikate und DNS-Einstellungen konfiguriert haben.
Beim Erstellen eines Mandanten müssen Sie einen Mandantenadministrator zuweisen, und Sie können die Active Directory-Verbindungen für diesen Mandanten auswählen. Verfügbare Verbindungen basieren auf denen, die in Ihrem Standard- oder Mastermandanten konfiguriert sind. Sie müssen auch das Produkt oder die Produktinstanz auswählen, der der Mandant zugeordnet werden soll.
Nächste Maßnahme
Nachdem Sie Mandanten erstellt haben, können Sie die Seite „Mandantenverwaltung“ in Lifecycle Manager unter „Identitäts- und Mandantenverwaltung“ verwenden, um Mandantenadministratoren zu ändern oder hinzuzufügen, Active Directory-Verzeichnisse zum Mandanten hinzuzufügen und Produktzuordnungen für den Mandanten zu ändern.
Sie können sich auch bei Ihrer Workspace ONE Access-Instanz anmelden, um Ihre Mandantenkonfiguration anzuzeigen und zu validieren.