vRealize Automation-Konfigurationen mit Mandantenfähigkeit für mehrere Organisationen stützten sich auf die koordinierte Konfiguration zwischen mehreren Produkten. Es muss sichergestellt werden, dass DNS-Einstellungen und Zertifikate ordnungsgemäß konfiguriert sind, damit die Konfiguration mit Mandantenfähigkeit für mehrere Organisationen funktioniert.

Diese Konfiguration für mehrere Organisationen setzt Knotenbereitstellungen für die folgenden Komponenten voraus:
  • Lifecycle Manager
  • Workspace ONE Access Identity Manager
  • vRealize Automation

Außerdem wird davon ausgegangen, dass Sie mit einem Standardmandanten beginnen, der als Anbieterorganisation fungiert, und dass Sie zwei Untermandanten erstellen, die als Mandant-1 und Mandant-2 bezeichnet werden.

Sie können Zertifikate mithilfe des Locker-Diensts in vRealize Suite Lifecycle Manager erstellen und anwenden. Sie können aber auch einen anderen Mechanismus verwenden. Mit Lifecycle Manager können Sie Zertifikate in vRealize Automation oder Workspace ONE Access ersetzen oder diesen erneut vertrauen.

DNS-Anforderungen

Sie müssen sowohl Datensätze mit dem Haupttyp A sowie Datensätze mit dem Typ CNAME für Systemkomponenten erstellen (siehe folgende Beschreibung).
  • Erstellen Sie Hauptdatensätze des Typs A für jede Systemkomponente und für jeden Mandanten, den Sie beim Aktivieren der Mehrmandantenfähigkeit erstellen.
  • Erstellen Sie mehrmandantenfähige Datensätze des Typs A für jeden von Ihnen erstellten Mandanten sowie für den Mastermandanten.
  • Erstellen Sie mehrmandantenfähige Datensätze des Typs CNAME für jeden von Ihnen erstellten Mandanten mit Ausnahme des Mastermandanten.

Zertifikatsanforderungen für eine Mehrmandantenbereitstellung mit einem Knoten

Sie müssen außerdem zwei SAN-Zertifikate (Subject Alternative Name) erstellen, eines für Workspace ONE Access und eines für vRealize Automation.

  • Das vRealize Automation-Zertifikat listet den Hostnamen des vRealize Automation-Servers sowie die Namen der von Ihnen erstellten Mandanten auf.
  • Das Workspace ONE Access-Zertifikat listet den Hostnamen des Workspace ONE Access-Servers und die Namen der von Ihnen erstellten Mandanten auf.
  • Bei Verwendung von dedizierten SAN-Namen müssen Zertifikate manuell aktualisiert werden, wenn Sie Hosts hinzufügen oder löschen oder einen Hostnamen ändern. Außerdem müssen Sie DNS-Einträge für Mandanten aktualisieren. Als Option zur Vereinfachung der Konfiguration können Sie Platzhalter für die Workspace ONE Access- und vRealize Automation-Zertifikate verwenden. Beispiel: *.example.com und *.vra.example.com.
    Hinweis: vRealize Automation 8.x unterstützt Platzhalterzertifikate nur für DNS-Namen, die mit den Spezifikationen in der Liste der öffentlichen Suffixe unter https://publicsuffix.org übereinstimmen. Beispielsweise ist *.myorg.com ein gültiger Name, wohingegen *.myorg.local ungültig ist.

Beachten Sie, dass Lifecyle Manager keine separaten Zertifikate für jeden Mandanten erstellt. Stattdessen wird ein einzelnes Zertifikat erstellt, in dem der Hostname jedes Mandanten aufgelistet ist. In Basiskonfigurationen wird für den CNAME des Mandanten folgendes Format verwendet: tenantname.vrahostname.domain. In Hochverfügbarkeitskonfigurationen wird für den Namen folgendes Format verwendet: tenantname.vraLBhostname.domain.

Zusammenfassung

In der folgenden Tabelle werden die DNS- und Zertifikatsanforderungen für eine Workspace ONE Access- und vRealize Automation-Bereitstellung mit einem Knoten zusammengefasst.

DNS-Anforderungen Anforderungen an SAN-Zertifikate
Main A Type Records

lcm.example.local

WorkspaceOne.example.local

vra.example.local

Workspace One Certificate

Hostname:

WorkspaceOne.example.local, default-tenant.example.local, tenant-1.vra.example.local, tenant-2.vra.example.local

Multi-tenancy A Type Records

default-tenant.example.local

tenant-1.example.local

tenant-2.example.local

Multi-Tenancy CNAME Type Records

tenant-1.vra.example.local

tenant-2.vra.example.local

vRealize Automation Certificate

Hostname:

vra.example.local, tenant-1.vra.example.local, tenant-2.vra.example.local