vRealize Suite Lifecycle Manager を使用して、vReallize Automation 8.4 を備えた VMware Identity Manager 3.3.6 のオンプレミスでマルチテナントを有効にすることができます。

vReallize Automation 8.4 の場合、テナントインパス モードとは異なり、マルチテナントはデフォルトでテナントインホスト名モードで有効になっています。

テナントインホスト名モードの場合、テナントにアクセスするには、テナントの完全修飾ドメイン名 (FQDN) の URL を使用する必要があります。ロード バランサの URL または VMware Identity Manager URL が機能しません。例:

  • マルチテナントが有効になる前の URL: https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
  • マルチテナントが有効になった後の URL:https://tenant1.vmwareidentity.com

ロード バランシングされた VMware Identity Manager デプロイでマルチテナントを有効にした後に、既存の vRealize 製品を再登録できるようにしておきます。

次の図は、有効な URL と無効な URL を示しています。この図では、ロード バランサと DNS 構成の例についても説明しています。

図 1. テナントインホスト名マルチテナント デプロイの例
テナントインホスト名マルチテナントを使用した VMware vRealize Automation を備えた VMware Identity Manager

前提条件

適切な DNS エントリを作成します。

単一ノードまたはクラスタ化 操作
単一ノード VMware Identity Manager デプロイの場合 各テナントの完全修飾ドメイン名を VMware Identity Manager IP アドレスに解決するための DNS エントリを作成します。
クラスタ化された VMware Identity Manager のデプロイの場合 各テナントの完全修飾ドメイン名をロード バランサの IP アドレスに解決するための DNS エントリを作成します。

手順

  • マルチテナントを有効にするには、vRealize Suite Lifecycle Manager を使用します。
    vRealize Suite Lifecycle Manager 8.4 のインストール、アップグレード、および管理』ガイドのテナントの作成についての情報を参照してください。
    重要: マルチテナントを有効にする場合は、次のガイドラインに従ってください。
    • SSL 証明書を構成する場合、ベスト プラクティスとして、パブリック認証局 (CA) によって署名されたワイルドカードの Subject Alternative Names (SAN) 証明書を使用することをお勧めします。ただし、ワイルドカード SAN を使用して自己署名証明書を使用することもできます。

      証明書に、ロード バランサ、ノード、および default-tennat エイリアスの SAN として完全修飾ドメイン名が含まれていることを確認します。

      注: ワイルドカード SAN を使用しない証明書を使用する場合は、次の手順を実行します。
      • すべてのテナントの完全修飾ドメイン名を SAN として証明書に追加します。
      • テナントを作成する場合は常に、新しいテナントの FQDN が SAN として VMware Identity Manager 証明書に追加されていることを確認します。証明書を更新するには、Horizon サービスを再起動する必要があります。
    • 次の VMware Identity Manager Connector 情報が適用されます。
      • 子テナントの場合、コネクタはデフォルトで [コネクタ] ページに表示されません。VMware Identity Manager コンソールの [コネクタ] ページには、コネクタ インスタンスを使用してエンタープライズ ディレクトリが作成された後にのみコネクタ インスタンスが一覧表示されます。
      • マスター テナントから常にドメイン参加操作を実行します。
      • 子テナントの別のドメインの IWA ディレクトリの作成を選択した場合は、別の外部 Windows コネクタ インスタンスを使用します。
        • 任意の子テナントに対してアクティベーションされた外部コネクタ インスタンスは、そのテナントに対してのみ使用されます。
        • マスター テナントに対してアクティブ化された外部コネクタ インスタンスは、すべての子テナントで使用できます。
      • アップグレード中に、VMware Identity Manager サービスは、すべてのコネクタ インスタンスの cluster-hostname-conn-timestamp.enc ファイルを生成します。cluster-hostname-conn-timestamp.enc ファイルには、組み込みコネクタの構成情報が含まれています。

次のタスク

マスター テナント エイリアスの完全修飾ドメイン名を使用して、VMware vRealize OperationsVMware vRealize AutomationVMware vRealize Log Insight などの既存の vRealize 製品を再登録する必要があります。vRealize Suite Lifecycle Manager 8.4 のドキュメントを参照してください。