È possibile configurare la tenancy multi-organizzazione per VMware Aria Automation utilizzando VMware Aria Suite Lifecycle.
Di seguito è riportata una descrizione di alto livello della procedura per configurare la multi-tenancy per VMware Aria Automation, inclusa la configurazione di DNS e certificati. Si concentra su una distribuzione di un singolo nodo, ma include note per una configurazione in cluster.
Per informazioni correlate e una dimostrazione video su come configurare la VMware Aria Automation multi-tenancy multi-organizzazione, vedere questo blog di VMware.
Prerequisiti
- Installare e configurare Workspace ONE Access.
- Installare e configurare VMware Aria Suite Lifecycle.
Procedura
- Creare i record DNS di tipo A e CNAME richiesti.
- Per il tenant primario e ciascun tenant secondario, è necessario creare e applicare un certificato SAN.
- Per le distribuzioni con un singolo nodo, il nome di dominio completo di VMware Aria Automation fa riferimento all'appliance VMware Aria Automation e il nome di dominio completo di Workspace ONE Access fa riferimento all'appliance Workspace ONE Access.
- Per le distribuzioni in cluster, i nomi di dominio completi basati su tenant di Workspace ONE Access e VMware Aria Automation devono puntare ai rispettivi bilanciamenti del carico. Workspace ONE Access è configurato con la terminazione SSL, quindi il certificato viene applicato sia nel cluster che nel bilanciamento del carico di Workspace ONE Access. Il bilanciamento del carico di VMware Aria Automation utilizza il passthrough SSL, quindi il certificato viene applicato solo nel cluster di VMware Aria Automation.
Per ulteriori dettagli, vedere Gestione della configurazione dei certificati e di DNS in distribuzioni di più organizzazioni con un solo nodo e Gestione della configurazione del certificato e di DNS nelle distribuzioni di VMware Aria Automation in cluster.
- Creare o importare i certificati SAN multi-dominio richiesti sia per Workspace ONE Access che per VMware Aria Automation.
È possibile creare certificati in
VMware Aria Suite Lifecycle utilizzando il servizio Locker. Il servizio Locker consente di creare licenze di certificati e password. In alternativa, è possibile utilizzare un server CA o un altro meccanismo per generare certificati.
Se è necessario aggiungere o creare tenant aggiuntivi, è necessario ricreare e applicare i tenant di VMware Aria Automation e Workspace ONE Access.
Dopo aver creato i certificati, è possibile applicarli in VMware Aria Suite Lifecycle utilizzando la funzionalità Lifecycle Operations. È necessario selezionare l'ambiente e il prodotto e quindi l'opzione Sostituisci certificato. È quindi possibile selezionare il prodotto. Quando si sostituisce un certificato, è necessario considerare di nuovo attendibili tutti i prodotti associati nell'ambiente in uso.
Attendere l'applicazione del certificato e riavviare tutti i servizi prima di procedere con il passaggio successivo.
Per ulteriori dettagli, vedere Gestione della configurazione dei certificati e di DNS in distribuzioni di più organizzazioni con un solo nodo e Gestione della configurazione del certificato e di DNS nelle distribuzioni di VMware Aria Automation in cluster.
- Applicare il certificato SAN di Workspace ONE Access nell'istanza o nel cluster di Workspace ONE Access.
- In VMware Aria Suite Lifecycle, eseguire la procedura guidata Abilita tenancy per abilitare la multi-tenancy e creare un alias per il tenant principale predefinito.
L'abilitazione della tenancy richiede la creazione di un alias per il tenant principale dell'organizzazione del provider o tenant predefinito. Dopo aver abilitato la tenancy, è possibile accedere a
Workspace ONE Access tramite il nome di dominio completo del tenant principale.
Ad esempio, se il nome di dominio completo di Workspace ONE Access esistente è idm.example.local
e si crea un alias di tenant predefinito, dopo avere abilitato la tenancy, il nome di dominio completo di Workspace ONE Access viene modificato in default-tenant.example.local
e tutti i client che comunicano con Workspace ONE Access ora comunicano con default-tenant.example.local
.
- Applicare i certificati SAN di VMware Aria Automation nell'istanza o nel cluster di VMware Aria Automation.
È possibile applicare certificati SAN tramite il servizio Lifecycle Operations di
VMware Aria Suite Lifecycle. Visualizzare i dettagli dell'ambiente e selezionare
Sostituisci certificati. Prima di aggiungere i tenant, è necessario attendere il completamento dell'attività di sostituzione del certificato. Come parte della sostituzione del certificato, i servizi di
VMware Aria Automation verranno riavviati.
- In VMware Aria Suite Lifecycle, eseguire la procedura guidata Aggiungi tenant per configurare i tenant desiderati.
È possibile aggiungere tenant utilizzando la pagina
Gestione tenant di
VMware Aria Suite Lifecycle che si trova in
Gestione identità e tenant. È possibile aggiungere solo i tenant per cui sono già stati configurati certificati e impostazioni DNS.
Quando si crea un tenant, è necessario designare un amministratore tenant ed è possibile selezionare le connessioni di Active Directory per questo tenant. Le connessioni disponibili sono basate su quelle configurate nel tenant predefinito o principale. È inoltre necessario selezionare il prodotto o l'istanza del prodotto a cui verrà associato il tenant.
Operazioni successive
Dopo aver creato i tenant, è possibile utilizzare la pagina Gestione tenant di VMware Aria Suite Lifecycle ubicata in Gestione identità e tenant per modificare o aggiungere amministratori tenant, aggiungere directory di Active Directory al tenant e modificare le associazioni di prodotti per il tenant.
È inoltre possibile accedere all'istanza di Workspace ONE Access per visualizzare e convalidare la configurazione del tenant.