La función de estructura jerárquica de Orchestrator proporciona un cierto nivel de aislamiento entre tenants.

Después de habilitar la estructura jerárquica, los objetos que administra Orchestrator se dividen en un ámbito de sistema y en un ámbito específico de tenant. Estos objetos son flujos de trabajo, acciones, paquetes, configuraciones, categorías, políticas, plantillas de políticas, tareas y ciclos de ejecución del flujo de trabajo, entre otros.

Ámbito del sistema

El ámbito del sistema es el espacio semántico que contiene todo el contenido de Orchestrator que se comparte entre todos los tenants. El contenido del sistema incluye los siguientes elementos:

  • Todos los objetos incluidos en los complementos predeterminados de Orchestrator.

  • Objetos personalizados creados antes de habilitar la función de estructura jerárquica.

  • Objetos creados por el administrador del sistema vRealize Automation.

  • Contenido de automatización predefinido (flujos de trabajo, acciones y otros) administrado por el tenant del sistema y que está disponible para que todos los tenants que no pertenecen al sistema lo puedan leer e invocar.

Los tenants tienen acceso de solo lectura a este contenido y no pueden crear, modificar ni eliminar ningún objeto de ámbito del sistema.

Ámbito específico del tenant

Los objetos específicos del tenant están asociados al tenant que los ha creado. Estos objetos pueden ser flujos de trabajo, acciones, políticas, plantillas de políticas y recursos, entre otros. Los tenants pueden editar o eliminar contenido que hayan creado ellos mismos. Pueden ejecutar y ver el contenido del sistema, así como su propio contenido específico del tenant.

Los tenants no pueden ver, editar o eliminar objetos de ámbito del sistema u objetos creados por otros tenants.

Complementos de Orchestrator en un entorno de varios tenants

vRealize Orchestrator 7.4 no admite la estructura jerárquica de los complementos y objetos de inventario de complementos de Orchestrator. Los objetos que pertenecen al inventario de complementos forman parte del ámbito del sistema.

Nota:

Objetos como terminales y elementos de inventario que se crean ejecutando flujos de trabajo desde la biblioteca de complementos son visibles y accesibles para todos los tenants.

Asignación de recursos

Los recursos del servidor de Orchestrator, como CPU, memoria, almacenamiento, ancho de banda de red, espacio de base de datos, número máximo de ciclos de ejecución de flujo de trabajo y grupos de subprocesos, entre otros, se comparten entre todos los tenants. Si uno de los tenants llega al límite de los recursos asignados, esto afectará a los todos los demás tenants que usen la misma instancia de Orchestrator.

Seguridad

El aislamiento de seguridad entre los tenants en vRealize Orchestrator 7.4 utiliza los roles de usuario de administrador del sistema y administrador de tenants tal y como se definen en vRealize Automation. Para obtener más información acerca de los roles de usuario en vRealize Automation, consulte Descripción general de los roles de usuario en Preparar y utilizar blueprints de servicio en vRealize Automation.

Nota:

El administrador del sistema de vRealize Automation debe ser un miembro del grupo de administradores de Orchestrator que introduzca en el cuadro de texto Grupo de administradores al configurar el proveedor de autenticación en el centro de control.

Los permisos de usuario que puede configurar desde el cliente de Orchestrator no se corresponden con ninguno de los roles de usuario de vRealize Automation. Debe configurarlos de forma explícita para un determinado usuario o grupo. Para obtener más información sobre cómo ajustar los permisos de usuarios, consulte Uso del cliente de VMware vRealize Orchestrator.