È possibile utilizzare vRealize Suite Lifecycle Manager per abilitare la multi-tenancy in locale in VMware Identity Manager 3.3.5 con vReallize Automation 8.4.
Per vReallize Automation 8.4, la multi-tenancy è abilitata per impostazione predefinita con la modalità tenant nel nome host, in contrapposizione alla modalità tenant nel percorso. .
Con la modalità tenant nel nome host, è necessario utilizzare un URL del nome di dominio completo (FQDN) del tenant per accedere ai tenant. L'URL del bilanciamento del carico o l'URL di VMware Identity Manager non funzioneranno. Ad esempio:
- L'URL prima dell'abilitazione della multi-tenancy: https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
- URL dopo l'abilitazione della multi-tenancy: https://tenant1.vmwareidentity.com
Prepararsi a registrare nuovamente i prodotti vRealize esistenti dopo aver abilitato la multi-tenancy sulla distribuzione di VMware Identity Manager con bilanciamento del carico.
La figura seguente illustra gli URL validi e gli URL non validi. La figura fornisce inoltre esempi di bilanciamento del carico e di configurazioni DNS.
Prerequisiti
Creare le voci DNS appropriate:
Singolo nodo o cluster | Azione |
---|---|
Per una distribuzione di VMware Identity Manager a nodo singolo | Creare voci DNS per risolvere il nome di dominio completo per ciascun tenant nell'indirizzo IP di VMware Identity Manager. |
Per una distribuzione di VMware Identity Manager in cluster | Creare voci DNS per risolvere il nome di dominio completo per ciascun tenant nell'indirizzo IP del bilanciamento del carico. |
Procedura
- ♦ Utilizzare vRealize Suite Lifecycle Manager per abilitare la multi-tenancy.
Vedere le informazioni sulla creazione di tenant nella guida di installazione, aggiornamento e gestione di vRealize Suite Lifecycle Manager 8.4.Importante: Attenersi alle seguenti linee guida quando si abilita la multi-tenancy.
- Quando si configurano certificati SSL, la procedura consigliata consiste nell'utilizzare un certificato SAN (Subject Alternative Name) con caratteri jolly, preferibilmente firmato da un'autorità di certificazione (CA) pubblica. Tuttavia, è possibile utilizzare anche un certificato autofirmato con un SAN con caratteri jolly.
Assicurarsi che il certificato includa nomi di dominio completi come SAN per il bilanciamento del carico, i nodi e l'alias default-tenant.
Nota: Se si utilizza un certificato senza un SAN con caratteri jolly, eseguire i passaggi seguenti in base alle condizioni applicabili.- Aggiungere tutti i nomi di dominio completi dei tenant come SAN al certificato.
- Ogni volta che si crea un tenant, assicurarsi che il nome di dominio completo del nuovo tenant venga aggiunto come SAN al certificato di VMware Identity Manager. Un aggiornamento del certificato richiede il riavvio del servizio Horizon.
- Si applicano le seguenti informazioni su VMware Identity Manager Connector.
- Per un tenant secondario, il connettore non viene visualizzato per impostazione predefinita nella pagina Connettori. La pagina Connettori nella console di VMware Identity Manager elenca un'istanza del connettore solo dopo la creazione della directory aziendale utilizzando tale istanza del connettore.
- Eseguire sempre operazioni di unione al dominio dal tenant master.
- Se si sceglie di creare una directory IWA per un dominio diverso nel tenant secondario, utilizzare istanze del connettore Windows esterno diverse.
- L'istanza del connettore esterno attivata su qualsiasi tenant secondario viene utilizzata solo rispetto a quel tenant.
- L'istanza del connettore esterno attivata su un tenant master può essere utilizzata per tutti i tenant secondari.
- Durante l'aggiornamento, il servizio VMware Identity Manager genera il file cluster-hostname-conn-timestamp.enc per tutte le istanze del connettore. Il file cluster-hostname-conn-timestamp.enc contiene informazioni sulla configurazione del connettore incorporato.
- Quando si configurano certificati SSL, la procedura consigliata consiste nell'utilizzare un certificato SAN (Subject Alternative Name) con caratteri jolly, preferibilmente firmato da un'autorità di certificazione (CA) pubblica. Tuttavia, è possibile utilizzare anche un certificato autofirmato con un SAN con caratteri jolly.
Operazioni successive
È necessario registrare nuovamente i prodotti vRealize esistenti, ad esempio VMware vRealize Operations, VMware vRealize Automation e VMware vRealize Log Insight con il nome di dominio completo dell'alias del tenant master. Vedere la documentazione di vRealize Suite Lifecycle Manager 8.4.