Les configurations de VMware Aria Automation avec mutualisation entre plusieurs organisations reposent sur une configuration coordonnée entre plusieurs produits. Vous devez donc vous assurer que les paramètres DNS et les certificats sont correctement configurés pour que votre configuration avec mutualisation entre plusieurs organisations fonctionne.

Cette configuration à plusieurs organisations suppose des déploiements à nœud unique pour les composants suivants :
  • VMware Aria Suite Lifecycle
  • Workspace ONE Access Identity Manager
  • VMware Aria Automation

En outre, elle suppose de démarrer avec un locataire par défaut, qui est l'organisation de votre fournisseur, et de créer deux sous-locataires, appelés tenant-1 et tenant-2.

Vous pouvez créer et appliquer des certificats à l'aide du service Locker dans VMware Aria Suite Lifecycle ou vous pouvez utiliser un autre mécanisme. VMware Aria Suite Lifecycle vous permet également de remplacer ou de réapprouver des certificats sur VMware Aria Automation ou Workspace ONE Access.

Conditions requises de DNS

Vous devez créer des enregistrements de type A principaux et des enregistrements de type CNAME pour les composants système, comme décrit ci-dessous.
  • Créez des enregistrements de type A principaux pour chaque composant système et pour chacun des locataires que vous créez lorsque vous activez l'architecture mutualisée.
  • Créez des enregistrements de type A à locataires multiples pour chacun des locataires que vous allez créer, ainsi que pour le locataire principal.
  • Créez des enregistrements de type CNAME à locataires multiples pour chacun des locataires que vous allez créer, sans inclure le locataire principal.

Conditions requises des certificats pour un déploiement à locataires multiples à nœud unique

Vous devez créer deux certificats SAN (Subject Alternative Name), un premier pour Workspace ONE Access et un autre pour VMware Aria Automation.

  • Le certificat VMware Aria Automation répertorie le nom d'hôte du serveur VMware Aria Automation et les noms des locataires que vous allez créer.
  • Le certificat Workspace ONE Access répertorie le nom d'hôte du serveur Workspace ONE Access et les noms des locataires que vous créez.
  • Si vous utilisez des noms SAN dédiés, les certificats doivent être mis à jour manuellement lorsque vous ajoutez ou supprimez des hôtes, ou lorsque vous modifiez un nom d'hôte. Vous devez également mettre à jour des entrées DNS pour les locataires. Pour simplifier la configuration, vous pouvez utiliser des caractères génériques pour les certificats Workspace ONE Access et VMware Aria Automation. Par exemple, *.example.com et *.vra.example.com.
    Note : VMware Aria Automation prend en charge les certificats génériques uniquement pour les noms DNS qui correspondent aux spécifications de la liste de suffixes publics sur https://publicsuffix.org. Par exemple, *.myorg.com est un nom valide alors que *.myorg.local ne l'est pas.

Notez que VMware Aria Suite Lifecycle ne crée pas de certificats distincts pour chaque locataire. Il crée plutôt un certificat unique avec chaque nom d'hôte de locataire répertorié. Pour les configurations de base, le CNAME du locataire utilise le format suivant : tenantname.vrahostname.domain. Pour les configurations à haute disponibilité, le nom utilise le format suivant : tenantname.vraLBhostname.domain.

Résumé

Le tableau suivant récapitule les conditions requises de DNS et de certificat pour un déploiement Workspace ONE Access et VMware Aria Automation à nœud unique.

Conditions requises de DNS Conditions requises des certificats SAN
Main A Type Records

lcm.example.com

WorkspaceOne.example.com

vra.example.com

Workspace ONE AccessCertificate

Nom de l'hôte :

WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com

Multi-tenancy A Type Records

default-tenant.example.com

tenant-1.example.com

tenant-2.example.com

Multi-Tenancy CNAME Type Records

tenant-1.vra.example.com

tenant-2.vra.example.com

VMware Aria Automation Certificate

Nom de l'hôte :

vra.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com