vRealize Automation permite que los proveedores de TI configuren varios tenants, u organizaciones, dentro de cada implementación. Los proveedores pueden configurar varias organizaciones de tenants y asignar infraestructura dentro de cada implementación, así como administrar usuarios de tenants.
En una configuración de vRealize Automation de varias organizaciones, los proveedores pueden crear varias organizaciones, y la organización de cada tenant administra sus propios proyectos, recursos e implementaciones. Si bien los proveedores no pueden administrar la infraestructura de tenant de forma remota, pueden iniciar sesión en los tenants y administrar la infraestructura dentro de ellos.
- Workspace ONE Access: este producto proporciona compatibilidad de infraestructura para conexiones de dominio de varios tenants y de Active Directory que proporcionan administración de usuarios y grupos dentro de las organizaciones de tenants.
- vRealize Suite Lifecycle Manager: este producto admite la creación y configuración de tenants para productos compatibles, como vRealize Automation. Además, proporciona algunas capacidades de administración de certificados.
- vRealize Automation: los proveedores y los usuarios inician sesión en vRealize Automation para acceder a los tenants en los que crean y administran las implementaciones.
Al configurar varios tenants, los usuarios deben estar familiarizados con los tres productos y la documentación asociada.
- vRealize Suite Lifecycle Manager: consulte documentación del producto Lifecycle Manager
- Workspace ONE Access: consulte Administración de usuarios con VMware Identity Manager y Administración de VMware Workspace ONE Access
Los administradores con privilegios de vRealize Suite Lifecycle Manager crean y administran tenants mediante la página de tenants de Lifecycle Manager que se encuentra en el servicio de administración de identidades y tenants. Los tenants se construyen mediante una conexión LDAP o IWA de Active Directory, y son compatibles con la instancia de VMware Workspace ONE Access asociada que se requiere para las implementaciones de vRealize Automation. Consulte la documentación asociada para obtener información sobre el uso de Lifecycle Manager.
Al configurar varios tenants, empiece con un tenant de base o principal. Este es el tenant predeterminado que se crea al implementar la aplicación Workspace ONE Access subyacente. Otros tenants, conocidos como subtenants, pueden basarse en el tenant principal. Actualmente, vRealize Automation admite hasta 20 organizaciones de tenants con la implementación estándar de tres nodos.
Antes de habilitar vRealize Automation para varios tenants, primero debe instalar la aplicación en la configuración de una sola organización y, a continuación, utilizar Lifecycle Manager para establecer una configuración de varias organizaciones. Una implementación de Workspace ONE Access es compatible con la administración de tenants y las conexiones de dominio de Active Directory asociadas.
Cuando inicialmente configura varios tenants, se designa un administrador de proveedores en Lifecycle Manager. Puede cambiar esta designación o agregar administradores más adelante, si lo desea. En las configuraciones de varias organizaciones, los usuarios y los grupos de vRealize Automation se administran principalmente a través de Workspace ONE Access.
Después de que se creen las organizaciones, los usuarios autorizados podrán iniciar sesión en sus aplicaciones para crear o trabajar con proyectos y recursos, y crear implementaciones. Los administradores pueden administrar las funciones de usuario en vRealize Automation.
Establecer una configuración de varias organizaciones
Puede habilitar una implementación de varias organizaciones después de completar la instalación de vRealize Automation. Al definir los ajustes para una configuración de varias organizaciones, debe configurar la instancia de Workspace ONE Access externa para el uso de varios tenants y, a continuación, utilizar Lifecycle Manager para crear y configurar tenants. Esto se aplica tanto a las implementaciones nuevas como a las existentes. Como paso inicial para configurar los tenants, debe usar Lifecycle Manager para definir un alias para el tenant principal que se creó de forma predeterminada en Workspace ONE Access. Los subtenants que se crean a partir de este tenant principal heredan las configuraciones de dominio de Active Directory de este.
En Lifecycle Manager, los tenants se asignan a un producto, como vRealize Automation, y a un entorno específico. Cuando se configura un tenant, también se debe designar un administrador de tenants. De forma predeterminada, la configuración para varios tenants está habilitada en función del nombre de host del tenant. Los usuarios pueden optar por configurar manualmente el nombre de tenant por nombre de DNS. Durante este procedimiento, debe establecer varias marcas para admitir varios tenants y también debe configurar el equilibrador de carga.
Si utiliza una instancia agrupada en clúster, ambos nombres de host basados en tenant de Workspace ONE Access y vRealize Automation apuntarán al equilibrador de carga.
Si la instancia de Workspace ONE Access agrupada en clúster y los equilibradores de carga de vRealize Automation no utilizan certificados comodín, los usuarios deben agregar nombres de host de tenant como entradas de SAN en los certificados. para cada tenant nuevo que se crea.
No puede eliminar los tenants en vRealize Automation ni en Lifecycle Manager. Si necesita agregar tenants a una implementación de varios tenants existente, puede hacerlo con Lifecycle Manager, pero necesitará un periodo de inactividad de entre tres y cuatro horas.
Consulte los vínculos de la documentación al principio de este tema para obtener más información sobre el uso de vRealize Suite Lifecycle Manager Workspace ONE Access.
Nombres de host y varios tenants
En versiones anteriores de vRealize Automation, los usuarios accedían a los tenants con URL basadas en la ruta de acceso del directorio. En la implementación de varios tenants actual, los usuarios acceden a los tenants en función del nombre de host.
Asimismo, el formato de nombre de host que utilizarán los usuarios de vRealize Automation para acceder a los tenants es diferente del formato que se utiliza para acceder a los tenants en Workspace ONE Access. Por ejemplo, un nombre de host válido tendría el siguiente aspecto: tenant1.example.eng.vmware.com
en lugar de vidm-node1.eng.vmware.com
.
Configuración para varios tenants y certificados
Debe crear certificados para todos los componentes que participan en una configuración de varias organizaciones. Necesitará uno o más certificados para Workspace ONE Access, Lifecycle Manager y vRealize Automation, según se utilice una configuración de un solo nodo o una configuración agrupada en clúster.
Cuando se configuran certificados, se pueden utilizar comodines con nombres de SAN o nombres dedicados. El uso de comodines simplificará la administración de certificados, ya que estos deben actualizarse cuando se agregan nuevos tenants. Si su equilibrador de carga de Workspace ONE Access y vRealize Automation no utilizan certificados comodín, debe agregar nombres de host de tenant como entradas de SAN en los certificados para cada nuevo tenant que se crea. Además, si utiliza SAN, los certificados deben actualizarse manualmente si agrega o elimina hosts, o si cambia un nombre de host. También debe actualizar las entradas de DNS para los tenants.
Tenga en cuenta que Lifecyle Manager no crea certificados independientes para cada tenant. En su lugar, crea un único certificado con cada nombre de host del tenant que aparece en la lista. Para las configuraciones básicas, el CNAME del tenant utiliza el siguiente formato: tenantname.vrahostname.domain. Para las configuraciones de alta disponibilidad, el nombre utiliza el siguiente formato: tenantname.vraLBhostname.dominio.
Si utiliza una configuración de Workspace ONE Access agrupada en clúster, tenga en cuenta que Lifecycle Manager no puede actualizar el certificado del equilibrador de carga, por lo que debe actualizarlo manualmente. Además, si necesita volver a registrar productos o servicios que son externos a Lifecycle Manager, debe hacerlo de forma manual.