このセクションでは、マルチテナントを開始する前に理解しておく必要がある主な概念と用語について説明します。

テナント管理の用語について

注: 現在、マスター テナントはプライマリ テナントと呼ばれています。
  • テナント - VMware Identity Manager の組織構造内の最上位の要素。ディレクトリ、ユーザー、グループ、サードパーティ IDP などのすべてのオブジェクトが、テナントごとに個別に維持されます。各テナントは残りのテナントから隔離され、リソースは互いに共有されません。
  • プライマリ テナント - VMware Identity Manager には、プライマリ テナントと呼ばれるテナント(プライマリ、デフォルト、またはベース)が常に 1 つ以上あります。

    vRealize Automation 7.x ユーザーの場合は、vRealize Automation 7.x 展開で特別な設定を行わなくても存在していた「vsphere.local」が該当します。vRealize Automation 7.x のプライマリ テナントは、デフォルトで「vsphere.local」という名前でブートストラップされていました。ただし、この問題は、VMware Identity Manager のスタンドアローン展開では発生しません。プライマリ テナントの名前は、展開およびブートストラップされた最初の VMware Identity Manager に基づいて形成されます。たとえば、展開された最初の VMware Identity Manager ノードが「idm1.vmwlab.local」である場合に VMware Identity Manager をブートストラップすると、「idm1」という名前のプライマリ テナントが作成されます。「idm2.vmwlab.local」や「idm3.vmwlab.local」のようにノードをさらにスケールアウトしても、無効です。プライマリ テナント名は単一インスタンスまたはクラスタ化インスタンス内で 1 回だけ形成され、同じまま維持されます。

  • プライマリ テナントのエイリアス - VMware Identity Manager では、いくつかの構成を設定して有効にしない限り、プライマリ テナントの下にサブ テナントを作成することはできません。プライマリ テナントのエイリアス名の設定は、このような重要な構成の 1 つです。エイリアスはプライマリ テナントに作成する必要があります。プライマリ テナントには常に、単一ノードまたはクラスタ化インスタンスのプライマリ テナント エイリアスの FQDN を使用してアクセスする必要があります。
  • プロバイダ管理者 - VMware Identity ManagervRealize Automation などの製品を含む管理インフラストラクチャを所有する管理者。管理者は、すべてのテナントを作成および管理し、テナントに製品を関連付けます。vRealize Suite Lifecycle Manager 管理者ユーザーの「admin@local」は唯一のプロバイダ管理者であり、テナント管理機能を実行する権限を持っています。
  • テナント管理者 - 各 VMware Identity Manager テナントで最上位の管理権限を持つ管理者。この権限は、ローカルな VMware Identity Manager ユーザーと VMware Identity Manager テナント内に存在する Active Directory ユーザーの両方に割り当てることができます。
  • テナント対応製品 - マルチテナントをサポートし、各論理テナント インスタンスによって適切な隔離を維持する製品のことを、テナント対応製品といいます。これらの製品は VMware Identity Manager テナントに 1 対 1 で対応しています。vRealize Suite Lifecycle Manager 8.1 リリースでは、vRealize Automation 8.1 のみがテナントに対応しています。
  • vRealize Automation 組織と組織の所有者 - vRealize Automation 8.x では、組織が最上位の構成要素であり、VMware Identity Manager テナントと 1 対 1 で対応しています。組織の所有者には、vRealize Automation 組織またはテナント内の管理権限があります。テナントを追加し、新しく追加されたテナントに vRealize Automation を関連付けている間は、VMware Identity Manager テナントの管理者が新しいテナントの組織の所有者になります。テナントの追加の詳細については、テナントの追加を参照してください。
  • ディレクトリ - ディレクトリは、VMware Identity Manager 内の 2 番目のオブジェクト レベルです。ディレクトリは、Active Directory (AD) や OpenLDAP サーバなどの外部 ID ストアまたは ID プロバイダを表します。VMware Identity Manager でサポートされているディレクトリには、複数のバリエーションがあります。[ディレクトリ管理] セクションで、LDAP 経由の Active Directory と IWA を使用する Active Directory を追加できます。
  • ディレクトリ同期 - ディレクトリを追加する際に、ID ストアまたは ID プロバイダ内の必要なユーザーとグループをフィルタリングして、VMware Identity Manager データベースと同期する構成オプションが用意されています。同期が正常に完了した後にのみ、ユーザーとグループを VMware Identity Manager と統合できます。
  • テナントのディレクトリ - 各テナントには複数のディレクトリを含めできます。同じディレクトリ構成を複数のテナントに配置することはできますが、この構成は個別のディレクトリと見なされます。たとえば、プライマリ テナント内に、同じディレクトリ構成(ユーザー DN、グループ DN、同期構成)を持つディレクトリ A を追加したとします。また、Tenant-1 と Tenant-2 という名前の 2 つのサブテナントがあります。さらに、ディレクトリ A の同じディレクトリ構成を使用して、それぞれの各サブテナントにディレクトリ A1 と A2 を追加し、サブテナント(Tenant-1 と Tenant-2)で同じユーザーおよびグループのセットが同期されるようにします。この場合、追加後にプライマリ テナントのディレクトリ A の同期構成を変更しても、ディレクトリ A1 と A2、およびテナント 1 と Tenant-2 内の同期しているユーザーおよびグループには影響がありません。3 つのディレクトリとその構成はすべて、互いに独立しています。3 つのディレクトリはすべて、外部の ID ストアまたは ID プロバイダが変更された場合にのみ変更されます。たとえば、ユーザーまたはグループが ID プロバイダから直接削除された場合は、3 つのすべてのテナント内の 3 つのすべてのディレクトリが影響を受けます。
図 1. マルチテナント モデル