VMware Aria Automation により、IT プロバイダは、各展開内で複数のテナントまたは組織を設定できます。プロバイダは、複数のテナント組織を設定し、各展開の中でインフラストラクチャを割り当てることができるほか、テナントのユーザーも管理できます。
VMware Aria Automation マルチ組織構成では、プロバイダは複数の組織の作成が可能で、各テナント組織はそれぞれのプロジェクト、リソース、および展開を管理します。プロバイダはテナント インフラストラクチャをリモートで管理することはできませんが、テナントにログインして、テナント内のインフラストラクチャを管理できます。
- Workspace ONE Access- この製品では、テナント組織内のユーザーおよびグループの管理を提供するマルチテナントおよび Active Directory ドメイン接続のインフラストラクチャ サポートを提供しています。
- VMware Aria Suite Lifecycle- この製品では、VMware Aria Automation などのサポート対象製品のテナントの作成と構成がサポートされています。さらに、一部の証明書管理機能を提供します。
- VMware Aria Automation- プロバイダおよびユーザーは、VMware Aria Automation にログインして、展開を作成および管理するテナントにアクセスします。
マルチテナントを構成する場合、ユーザーはこれらの 3 つの製品のすべてと、関連するドキュメントに精通している必要があります。
VMware Aria Suite Lifecycle 権限を持つ管理者は、[ID およびテナントの管理] サービスの下にある [VMware Aria Suite Lifecycle テナント] 画面を使用して、テナントを作成および管理します。テナントは、Active Directory IWA または LDAP 接続を使用して構築されます。テナントは、VMware Aria Automation の展開に必要な、関連付けられた Workspace ONE Access インスタンスによってサポートされます。
マルチテナントを構成するときは、基本のテナントまたはマスター テナントから開始します。このテナントは、基盤となる Workspace ONE Access アプリケーションの展開時に作成されるデフォルトのテナントです。サブテナントと呼ばれるその他のテナントは、マスター テナントに基づくことができます。VMware Aria Automation は現在、標準の 3 ノード展開で最大 20 のテナント組織をサポートしています。
VMware Aria Automation をマルチテナント用に有効にする場合は、最初にアプリケーションを単一の組織構成にインストールしてから、VMware Aria Suite Lifecycle を使用してマルチ組織構成を設定する必要があります。Workspace ONE Access の展開では、テナントおよび関連付けられた Active Directory ドメイン接続の管理がサポートされています。
マルチテナントを最初に設定する際には、プロバイダ管理者が VMware Aria Suite Lifecycle で指定されます。必要に応じて、後からこの指定を変更することも管理者を追加することもできます。マルチ組織構成では、VMware Aria Automation ユーザーとグループは主に Workspace ONE Access を使用して管理されます。
組織が作成されると、承認されたユーザーはアプリケーションにログインして、プロジェクトおよびリソースを作成または操作したり、展開を作成したりすることができます。管理者は、VMware Aria Automation でユーザー ロールを管理できます。
マルチ組織構成用の設定
VMware Aria Automation のインストールを完了すると、マルチ組織展開を有効にできます。マルチ組織構成を実行する場合は、マルチテナントで使用するように外部の Workspace ONE Access を構成してから、Lifecycle Manager を使用してテナントを作成および構成する必要があります。これは、新規および既存の展開の両方に適用されます。テナントを設定する最初の手順として、VMware Aria Suite Lifecycle を使用して、Workspace ONE Access でデフォルトで作成されたマスター テナントのエイリアスを設定する必要があります。このマスター テナントに基づいて作成するサブテナントは、このマスター テナントから Active Directory ドメイン構成を継承します。
Lifecycle Manager では、VMware Aria Automation などの製品や特定の環境にテナントを割り当てることができます。テナントを設定するときは、テナント管理者も指定する必要があります。マルチテナントは、テナントのホスト名に基づいてデフォルトで有効です。ユーザーは、DNS 名を使用してテナント名を手動で構成することを選択できます。この手順では、マルチテナントをサポートするためにいくつかのフラグを設定する必要があり、ロード バランサも構成する必要があります。
クラスタ化されたインスタンスを使用する場合は、Workspace ONE Access と VMware Aria Automation の両方のテナント ベースのホスト名がロード バランサを参照します。
クラスタ化された VMware Aria Automation および Workspace ONE Access のロード バランサでワイルドカード証明書を使用しない場合、ユーザーは、作成される新しいテナントごとに、証明書の SAN エントリとしてテナント ホスト名を追加する必要があります。
VMware Aria Automation または VMware Aria Suite Lifecycle でテナントを削除することはできません。テナントを既存のマルチテナント展開に追加する必要がある場合は、VMware Aria Suite Lifecycle を使用して実行できますが、3 ~ 4 時間のダウンタイムが必要になります。
VMware Aria Suite Lifecycle Workspace ONE Access の使用方法の詳細については、このトピックの先頭にあるドキュメント リンクを参照してください。
ホスト名とマルチテナント
以前のバージョンの VMware Aria Automation では、ユーザーはディレクトリ パスに基づいて URL を使用してテナントにアクセスしました。現在のマルチテナントの実装では、ユーザーはホスト名に基づいてテナントにアクセスします。
また、VMware Aria Automation ユーザーがテナントへのアクセスに使用するホスト名の形式は、Workspace ONE Access 内のテナントへのアクセスに使用される形式とは異なります。たとえば、有効なホスト名は、vidm-node1.eng.vmware.com ではなく、 tenant1.example.eng.vmware.com のようになります。
マルチテナントと証明書
マルチ組織構成に関連するすべてのコンポーネントについて、証明書を作成する必要があります。使用しているのが 1 つのノード構成かクラスタ化された構成かに応じて、Workspace ONE Access、VMware Aria Suite Lifecycle、VMware Aria Automation 用に 1 つまたは複数の証明書が必要になります。
証明書を構成するとき、SAN 名または特定の名前を示すワイルドカードを使用できます。証明書は、新しいテナントを追加するたびに更新する必要があるため、ワイルドカードを使用するとその管理をある程度簡素化できます。VMware Aria Automation および Workspace ONE Access のロード バランサでワイルドカード証明書を使用しない場合、ユーザーは、作成される新しいテナントごとに、証明書の SAN エントリとしてテナント ホスト名を追加する必要があります。また、SAN を使用している場合は、ホストを追加または削除したときや、ホスト名を変更したときに証明書を手動で更新する必要があります。また、テナントの DNS エントリも更新する必要があります。
VMware Aria Suite Lifecycle は、テナントごとに個別の証明書を作成しないことに注意してください。代わりに、各テナントのホスト名がリストされた単一の証明書を作成します。基本構成の場合、テナントの CNAME では次の形式が使用されます:tenantname。vrahostname.domain。高可用性構成の場合、名前では次の形式が使用されます:tenantname。vraLBhostname.domain
クラスタ化された Workspace ONE Access 構成を使用している場合は、Lifecycle Manager がロード バランサ証明書を更新できないため、手動で更新する必要があることに注意してください。また、VMware Aria Suite Lifecycle の外部にある製品またはサービスを再登録する必要がある場合、これは手動のプロセスです。
