Mithilfe von vRealize Automation können IT-Anbieter mehrere Mandanten oder Organisationen innerhalb jeder Bereitstellung einrichten. Anbieter können mehrere Mandantenorganisationen einrichten und in jeder Bereitstellung eine Infrastruktur zuteilen. Anbieter können auch Benutzer für Mandanten verwalten. Jeder Mandant verwaltet seine eigenen Projekte, Ressourcen und Bereitstellungen.

In einer vRealize Automation-Konfiguration mit mehreren Organisationen können Anbieter mehrere Organisationen erstellen. Jede Mandantenorganisation verwendet hierbei eigene Projekte, Ressourcen und Bereitstellungen. Obwohl Anbieter die Mandanteninfrastruktur nicht remote verwalten können, können sie sich bei Mandanten anmelden und die Infrastruktur innerhalb der Mandanten verwalten.

Mehrmandantenfähigkeit basiert auf der Koordination und Konfiguration von drei verschiedenen VMware-Produkten, wie im Folgenden beschrieben:
  • Workspace ONE Access: Dieses Produkt bietet die Infrastrukturunterstützung für Mehrmandantenfähigkeit und die Active Directory-Domänenverbindungen, die Benutzer- und Gruppenverwaltung innerhalb von Mandantenorganisationen ermöglichen.
  • vRealize Suite Lifecycle Manager: Dieses Produkt unterstützt die Erstellung und Konfiguration von Mandanten für unterstützte Produkte, wie z. B. vRealize Automation. Darüber hinaus bietet es einige Zertifikatverwaltungsfunktionen.
  • vRealize Automation: Anbieter und Benutzer melden sich bei vRealize Automation an, um auf Mandanten zuzugreifen, in denen sie Bereitstellungen erstellen und verwalten.

Bei der Konfiguration der Mehrmandantenfähigkeit sollten die Benutzer mit allen drei Produkten und der zugehörigen Dokumentationen vertraut sein.

Weitere Informationen zum Arbeiten mit vRealize Suite Lifecycle Manager und Workspace ONE Access finden Sie im Folgenden.

Administratoren mit vRealize Suite Lifecycle Manager-Berechtigungen erstellen und verwalten Mandanten über die Seite „Lifecycle Manager-Mandanten“, die sich unterhalb des Identitäts- und Mandantenverwaltungsdiensts befindet. Mandanten werden mithilfe einer Active Directory IWA- oder LDAP-Verbindung erstellt und von der verknüpften VMware Workspace ONE Access-Instanz unterstützt, die für vRealize Automation-Bereitstellungen benötigt wird. Weitere Informationen zur Verwendung von Lifecycle Manager finden Sie in der zugehörigen Dokumentation.

Beim Konfigurieren der Mehrmandantenfähigkeit beginnen Sie mit einem Basis- oder Mastermandanten. Dieser Mandant ist der Standardmandant, der bei der Bereitstellung der zugrunde liegenden Workspace ONE Access-Anwendung erstellt wird. Andere Mandanten, die als Submandanten bezeichnet werden, können auf dem Master-Mandanten basieren. vRealize Automation unterstützt aktuell bis zu 20 Mandantenorganisationen mit der aus drei Knoten bestehenden Standardbereitstellung.

Vor dem Aktivieren von vRealize Automation für Mehrmandantenfähigkeit müssen Sie die Anwendung zunächst in einer einzelnen Organisationskonfiguration installieren und dann mithilfe von Lifecycle Manager eine mehrere Organisationen umfassende Konfiguration einrichten. Eine Workspace ONE Access-Bereitstellung unterstützt die Verwaltung von Mandanten und der zugehörigen Active Directory-Domänenverbindungen.

Bei der Ersteinrichtung von Mehrmandantenfähigkeit wird in Lifecycle Manager ein Anbieteradministrator bestimmt. Sie können diesen Anbieteradministrator ändern oder Administratoren zu einem späteren Zeitpunkt hinzufügen. In Konfigurationen mit mehreren Organisationen werden vRealize Automation-Benutzer und -Gruppen in erster Linie über Workspace ONE Access verwaltet.

Nach der Erstellung von Organisationen können sich autorisierte Benutzer bei ihren Anwendungen anmelden, um Projekte und Ressourcen zu erstellen oder zu bearbeiten und Bereitstellungen zu erstellen. Administratoren können Benutzerrollen in vRealize Automation verwalten.

Einrichten einer Konfiguration mit mehreren Organisationen

Sie können eine Bereitstellung mit mehreren Organisationen aktivieren, nachdem Sie eine vRealize Automation-Installation abgeschlossen haben. Beim Einrichten einer Konfiguration mit mehreren Organisationen müssen Sie externen Workspace ONE Access für die Verwendung der Mehrmandantenfähigkeit konfigurieren und dann mithilfe von Lifecycle Manager Mandanten erstellen und konfigurieren. Dies gilt für neue und vorhandene Bereitstellungen. Als ersten Schritt zum Einrichten von Mandanten müssen Sie Lifecycle Manager verwenden, um einen Alias für den Mastermandanten festzulegen, der standardmäßig auf Workspace ONE Access erstellt wurde. Submandanten, die Sie anhand dieses Master-Mandanten erstellen, erben die Active Directory-Domänenverbindungen dieses Master-Mandanten.

In Lifecycle Manager weisen Sie einem Produkt, wie z. B. vRealize Automation, und einer bestimmten Umgebung Mandanten zu. Beim Einrichten eines Mandanten müssen Sie auch einen Mandantenadministrator festlegen. Standardmäßig wird die Mehrmandantenfähigkeit basierend auf dem Hostnamen des Mandanten aktiviert. Benutzer können den Mandantennamen manuell nach DNS-Namen konfigurieren. Während dieses Vorgangs müssen Sie verschiedene Flags zur Unterstützung der Mehrmandantenfähigkeit festlegen und einen Lastausgleichsdienst konfigurieren.

Wenn Sie eine Clusterinstanz verwenden, zeigen die auf dem Workspace ONE Access- und dem vRealize Automation-Mandanten basierenden Hostnamen auf den Lastausgleichsdienst.

Wenn die geclusterten vRealize Automation- und Workspace ONE Access-Lastausgleichsdienste keine Platzhalterzertifikate verwenden, müssen Benutzer Mandantenhostnamen als SAN-Einträge in den Zertifikaten hinzufügen. .

Sie können Mandanten in vRealize Automation oder Lifecycle Manager nicht löschen. Wenn Sie einer vorhandenen Bereitstellung mit Mehrmandantenfähigkeit Mandanten hinzufügen müssen, ist dies mithilfe von Lifecycle Manager möglich. In diesem Fall muss eine Ausfallzeit von drei bis vier Stunden in Kauf genommen werden.

Weitere Informationen zur Verwendung von vRealize Suite Lifecycle Manager Workspace ONE Access finden Sie in den Dokumentationslinks zu Beginn dieses Themas.

Hostnamen und Mehrmandantenfähigkeit

In früheren Versionen von vRealize Automation riefen Benutzer Mandanten mit URLs auf, die auf dem Verzeichnispfad basierten. Bei der aktuellen Implementierung von Mehrmandantenfähigkeit greifen Benutzer auf der Basis des Hostnamens auf Mandanten zu.

Darüber hinaus unterscheidet sich das Hostnamenformat, das vRealize Automation-Benutzer für den Zugriff auf Mandanten verwenden, von dem Format, das für den Zugriff auf Mandanten innerhalb von Workspace ONE Access verwendet wird. Beispielsweise sieht ein gültiger Hostnamen wie folgt aus: tenant1.example.eng.vmware.com, im Gegensatz zu vidm-node1.eng.vmware.com.

Mehrmandantenfähigkeit und Zertifikate

Sie müssen Zertifikate für alle Komponenten erstellen, die zu einer Konfiguration mit mehreren Organisationen gehören. Sie benötigen mindestens ein Zertifikat für Workspace ONE Access, Lifecycle Manager und vRealize Automation, je nachdem, ob Sie eine Konfiguration mit einem einzelnen Knoten oder eine Clusterkonfiguration verwenden.

Bei der Konfiguration von Zertifikaten können Sie Platzhalter mit den SAN- oder dedizierten Namen verwenden. Die Verwendung von Platzhaltern vereinfacht die Zertifikatsverwaltung, da Zertifikate aktualisiert werden müssen, wenn Sie neue Mandanten hinzufügen. Wenn die vRealize Automation- und Workspace ONE Access-Lastausgleichsdienste keine Platzhalterzertifikate verwenden, müssen Sie für jeden neu erstellten Mandanten Mandantenhostnamen als SAN-Einträge in den Zertifikaten hinzufügen. Bei Verwendung von SAN müssen Zertifikate darüber hinaus manuell aktualisiert werden, wenn Sie Hosts hinzufügen oder löschen oder einen Hostnamen ändern. Außerdem müssen Sie DNS-Einträge für Mandanten aktualisieren.

Beachten Sie, dass Lifecyle Manager keine separaten Zertifikate für jeden Mandanten erstellt. Stattdessen wird ein einzelnes Zertifikat erstellt, in dem der Hostname jedes Mandanten aufgelistet ist. In Basiskonfigurationen wird für den CNAME des Mandanten folgendes Format verwendet: tenantname.vrahostname.domain. In Hochverfügbarkeitskonfigurationen wird für den Namen folgenden Format verwendet: tenantname.vraLBhostname.domain.

Beachten Sie bei Verwendung einer Workspace ONE Access-Clusterkonfiguration, dass Lifecycle Manager das Zertifikat des Lastausgleichsdiensts nicht aktualisieren kann. Das Zertifikat muss in diesem Fall manuell aktualisiert werden. Darüber hinaus müssen Produkte oder Dienste, die sich außerhalb von Lifecycle Manager befinden, manuell neu registriert werden.