È possibile configurare la tenancy multi-organizzazione per vRealize Automation utilizzando vRealize Suite Lifecycle Manager.
Di seguito è riportata una descrizione di alto livello della procedura per configurare la multi-tenancy per vRealize Automation, inclusa la configurazione di DNS e certificati. Si concentra su una distribuzione di un singolo nodo, ma include note per una configurazione in cluster.
Vedere https://vmwarelab.org/2020/04/14/vrealize-automation-8-1-multi-tenancy-setup-with-vrealize-suite-lifecycle-manager-8-1/ per ulteriori informazioni e una dimostrazione video sulla configurazione di una configurazione multi-organizzazione di vRealize Automation.
Prerequisiti
- Installare e configurare Workspace ONE Access versione 3.3.4 o successiva.
- Installare e configurare vRealize Suite Lifecycle Manager versione 8.5.
Procedura
- Creare i record DNS di tipo A e CNAME richiesti.
- Per il tenant master e ciascun sub-tenant, è necessario creare e applicare un certificato SAN.
- Per le distribuzioni con un singolo nodo, il nome di dominio completo di vRealize Automation fa riferimento all'appliance vRealize Automation e il nome di dominio completo di Workspace ONE Access fa riferimento all'appliance Workspace ONE Access.
- Per le distribuzioni in cluster, i nomi di dominio completi basati su tenant di Workspace ONE Access e vRealize Automation devono puntare ai rispettivi bilanciamenti del carico. Workspace ONE Access è configurato con la terminazione SSL, quindi il certificato viene applicato sia nel cluster che nel bilanciamento del carico di Workspace ONE Access. Il bilanciamento del carico di vRealize Automation utilizza il passthrough SSL, quindi il certificato viene applicato solo nel cluster di vRealize Automation.
Per ulteriori dettagli, vedere Gestione della configurazione dei certificati e di DNS in distribuzioni di più organizzazioni con un solo nodo e Gestione della configurazione del certificato e di DNS nelle distribuzioni di vRealize Automation in cluster.
- Creare o importare i certificati SAN multi-dominio richiesti sia per Workspace ONE Access che per vRealize Automation.
È possibile creare certificati in Lifecycle Manager utilizzando il servizio Locker che consente di creare licenze di certificati e password. In alternativa, è possibile utilizzare un server CA o un altro meccanismo per generare certificati.
Se è necessario aggiungere o creare tenant aggiuntivi, è necessario ricreare e applicare i tenant di vRealize Automation e Workspace ONE Access.
Dopo aver creato i certificati, è possibile applicarli in Lifecycle Manager utilizzando la funzionalità Lifecycle Operations. È necessario selezionare l'ambiente e il prodotto e quindi l'opzione Sostituisci certificato nel menu a destra. È quindi possibile selezionare il prodotto. Quando si sostituisce un certificato, è necessario considerare di nuovo attendibili tutti i prodotti associati nell'ambiente in uso.
È necessario attendere l'applicazione del certificato e riavviare tutti i servizi prima di procedere con il passaggio successivo.
Per ulteriori dettagli, vedere Gestione della configurazione dei certificati e di DNS in distribuzioni di più organizzazioni con un solo nodo e Gestione della configurazione del certificato e di DNS nelle distribuzioni di vRealize Automation in cluster.
- Applicare il certificato SAN di Workspace ONE Access nell'istanza o nel cluster di Workspace ONE Access.
- In vRealize Suite Lifecycle Manager, eseguire la procedura guidata Abilita tenancy per abilitare la multi-tenancy e creare un alias per il tenant master predefinito.
L'abilitazione della tenancy richiede la creazione di un alias per il tenant master dell'organizzazione del provider o il tenant predefinito. Dopo aver abilitato la tenancy, è possibile accedere a
Workspace ONE Access tramite il nome di dominio completo del tenant master.
Ad esempio, se il nome di dominio completo di Workspace ONE Access esistente è idm.example.local
e si crea un alias di tenant predefinito, dopo avere abilitato la tenancy, il nome di dominio completo di Workspace ONE Access viene modificato in default-tenant.example.local
e tutti i client che comunicano con Workspace ONE Access ora comunicano con default-tenant.example.local
.
- Applicare i certificati SAN di vRealize Automation nell'istanza o nel cluster di vRealize Automation.
È possibile applicare certificati SAN tramite il servizio Lifecycle Manager Lifecycle Operations. È necessario visualizzare i dettagli dell'ambiente, quindi selezionare Sostituisci certificati nel menu a destra. Prima di aggiungere i tenant, è necessario attendere il completamento dell'attività di sostituzione del certificato. Come parte della sostituzione del certificato, i servizi di
vRealize Automation verranno riavviati.
- In Lifecycle Manager, eseguire la procedura guidata Aggiungi tenant per configurare i tenant desiderati.
È possibile aggiungere tenant utilizzando la pagina Gestione tenant di Lifecycle Manager, ubicata in Gestione identità e tenant. È possibile aggiungere solo i tenant per cui sono già stati configurati certificati e impostazioni DNS.
Quando si crea un tenant, è necessario designare un amministratore tenant ed è possibile selezionare le connessioni di Active Directory per questo tenant. Le connessioni disponibili sono basate su quelle configurate nel tenant predefinito o master. È inoltre necessario selezionare il prodotto o l'istanza del prodotto a cui verrà associato il tenant.
Operazioni successive
Dopo aver creato i tenant, è possibile utilizzare la pagina Gestione tenant di Lifecycle Manager ubicata in Gestione identità e tenant per modificare o aggiungere amministratori tenant, aggiungere directory di Active Directory al tenant e modificare le associazioni di prodotti per il tenant.
È inoltre possibile accedere all'istanza di Workspace ONE Access per visualizzare e convalidare la configurazione del tenant.