En esta sección se describen los conceptos y las terminologías claves que deben entenderse antes de comenzar con la administración de varios tenants.
Familiarícese con los términos de administración de tenants
- Tenant: es el nivel más alto de una estructura organizativa en VMware Identity Manager. Todos los objetos como directorios, usuarios, grupos e ID de terceros se mantienen individualmente para cada tenant. Cada tenant está aislado del resto de los tenants y no comparten ningún recurso entre sí.
- Tenant principal: siempre hay al menos un tenant (principal, predeterminado o base) presente en el VMware Identity Manager que se denomina tenant principal.
Para usuarios de vRealize Automation 7.x, este es el archivo 'vsphere.local’ que estaba presente de forma inmediata en las implementaciones de vRealize Automation 7.x. El tenant principal en vRealize Automation 7.x arrancaba de forma predeterminada con 'vsphere.local' como nombre. Sin embargo, esto no ocurre en una implementación independiente de VMware Identity Manager. El nombre del tenant principal se forma en función del nodo principal de VMware Identity Manager que se implementa y arranca. Por ejemplo, si 'idm1.vmwlab.local' es el primer nodo de VMware Identity Manager que se implementa, al arrancar VMware Identity Manager, el tenant principal se crea con el nombre 'idm1'. Los nodos con un escalado horizontal adicional como 'idm2.vmwlab.local' y 'idm3.vmwlab.local' no tienen efecto. El nombre del tenant principal se forma solo una vez y sigue siendo el mismo en una instancia única o agrupado en clúster.
- Alias de tenant principal: no se pueden crear subtenants en VMware Identity Manager en el tenant principal hasta que algunas configuraciones se establezcan y se habiliten. Una de estas configuraciones importantes es establecer un nombre de alias para el tenant principal. Se debe crear un alias en el tenant principal y siempre se debe acceder al tenant principal a través del FQDN del alias de tenant principal en un único nodo o una instancia en clúster.
- Administrador de proveedor: un administrador que posee la infraestructura de administración, que incluye VMware Identity Manager, vRealize Automation y otros productos. El administrador crea y administra todos los tenants y asocia los productos con los tenants. El usuario administrador de vRealize Suite Lifecycle Manager, 'admin@local', es el único administrador del proveedor y está autorizado para realizar funcionalidades de administración del tenant.
- Administrador de tenants: un administrador con el nivel más alto de permisos administrativos en cada tenant de VMware Identity Manager. Este permiso puede asignarse tanto a los usuarios locales de VMware Identity Manager como a los usuarios de Active Directory presentes en el tenant de VMware Identity Manager.
- Productos que reconocen tenants: los productos que admiten varios tenants y mantienen un aislamiento adecuado con cada instancia lógica de tenant son productos con capacidad para tenants. Tienen una asignación de uno a uno con tenants de VMware Identity Manager. A partir de la versión vRealize Suite Lifecycle Manager 8.1, solo vRealize Automation 8.1 reconoce el tenant.
- Organización y propietario de organización de vRealize Automation: en vRealize Automation 8.x, la organización es la construcción de nivel superior y se asigna 1:1 con el tenant de VMware Identity Manager. El propietario de la organización tiene permisos administrativos en la organización o en el tenant de vRealize Automation. Al agregar tenants y asociar vRealize Automation con el tenant recién agregado, el administrador de tenants de VMware Identity Manager se convierte en el propietario de la organización del nuevo tenant. Para obtener más información sobre cómo agregar tenants, consulte Agregar tenants.
- Directorio: los directorios son el segundo nivel de objetos en VMware Identity Manager. Representa un almacén de identidades externo o un proveedor como Active Directory (AD) o un servidor OpenLDAP. Existen múltiples variantes de directorio compatibles con VMware Identity Manager. Puede agregar Active Directory a través de LDAP y Active Directory con IWA en la sección Administración de directorios.
- Sincronización de directorios: al agregar directorios, se proporcionan opciones de configuración para filtrar y sincronizar los usuarios y los grupos requeridos del proveedor o del almacén de identidades a la base de datos de VMware Identity Manager. Solo después de una sincronización correcta, puede integrar los usuarios y los grupos con VMware Identity Manager.
- Directorios en el tenant: cada tenant puede contener varios directorios. La misma configuración de directorio puede estar presente en varios tenants; sin embargo, se considera un directorio independiente. Por ejemplo: ha agregado el directorio A en el tenant principal con algunas configuraciones de directorio (DN de usuario, DN de grupo, configuraciones de sincronización). Además, tiene dos subtenants denominados tenant-1 y tenant-2. Se pueden utilizar las mismas configuraciones de directorio A para agregar los directorios A1 y A2 en cada uno de los subtenants respectivamente, de modo que el mismo set de usuarios y grupos se sincronice en los subtenants: tenant-1 y tenant-2. Después de la adición, los cambios en las configuraciones de sincronización del directorio A del tenant principal no afectarán a los directorios A1 y A2, así como a sus usuarios y grupos sincronizados en tenant-1 y tenant-2. Los tres directorios y sus configuraciones son independientes entre sí. Los tres directorios solo se ven afectados si cambia el proveedor o el almacén de identidades externos. Por ejemplo, si los usuarios o grupos se eliminan directamente del proveedor de identidades, influye en los tres directorios de los tres tenants.