vRealize Automation により、IT プロバイダは、各展開内で複数のテナントまたは組織を設定できます。プロバイダは、複数のテナント組織を設定し、各展開の中でインフラストラクチャを割り当てることができるほか、テナントのユーザーも管理できます。

vRealize Automation マルチ組織構成では、プロバイダは複数の組織の作成が可能で、各テナント組織はそれぞれのプロジェクト、リソース、および展開を管理します。プロバイダはテナント インフラストラクチャをリモートで管理することはできませんが、テナントにログインして、テナント内のインフラストラクチャを管理できます。

マルチテナントは、次に示すように、3 つの異なる VMware 製品の調整と構成に依存します。
  • Workspace ONE Access- この製品では、テナント組織内のユーザーおよびグループの管理を提供するマルチテナントおよび Active Directory ドメイン接続のインフラストラクチャ サポートを提供しています。
  • vRealize Suite Lifecycle Manager- この製品では、vRealize Automation などのサポート対象製品のテナントの作成と構成がサポートされています。さらに、一部の証明書管理機能を提供します。
  • vRealize Automation- プロバイダおよびユーザーは、vRealize Automation にログインして、展開を作成および管理するテナントにアクセスします。

マルチテナントを構成する場合、ユーザーはこれらの 3 つの製品のすべてと、関連するドキュメントに精通している必要があります。

vRealize Suite Lifecycle Manager および Workspace ONE Access の操作の詳細については、以下を参照してください。

vRealize Suite Lifecycle Manager 権限を持つ管理者は、[ID およびテナント管理サービス] の下にある [Lifecycle Manager テナント] 画面を使用して、テナントを作成および管理します。テナントは、Active Directory IWA または LDAP 接続を使用して構築され、vRealize Automation の展開に必要な関連付けられた VMware Workspace ONE Access インスタンスによってサポートされます。Lifecycle Manager の使用方法の詳細については、関連するドキュメントを参照してください。

マルチテナントを構成するときは、基本のテナントまたはマスター テナントから開始します。このテナントは、基盤となる Workspace ONE Access アプリケーションの展開時に作成されるデフォルトのテナントです。サブテナントと呼ばれるその他のテナントは、マスター テナントに基づくことができます。vRealize Automation は現在、標準の 3 ノード展開で最大 20 のテナント組織をサポートしています。

vRealize Automation をマルチテナント用に有効にする場合は、最初にアプリケーションを単一の組織構成にインストールしてから、Lifecycle Manager を使用してマルチ組織構成を設定する必要があります。Workspace ONE Access の展開では、テナントおよび関連付けられた Actice Directory ドメイン接続の管理がサポートされています。

マルチテナントを最初に設定する際には、プロバイダ管理者が Lifecycle Manager で指定されます。必要に応じて、後からこの指定を変更することも管理者を追加することもできます。マルチ組織構成では、vRealize Automation ユーザーとグループは主に Workspace ONE Access を使用して管理されます。

組織が作成されると、承認されたユーザーはアプリケーションにログインして、プロジェクトおよびリソースを作成または操作したり、展開を作成したりすることができます。管理者は、vRealize Automation でユーザー ロールを管理できます。

マルチ組織構成用の設定

vRealize Automation のインストールを完了すると、マルチ組織展開を有効にできます。マルチ組織構成を実行する場合は、マルチテナントで使用するように外部の Workspace ONE Access を構成してから、Lifecycle Manager を使用してテナントを作成および構成する必要があります。これは、新規および既存の展開の両方に適用されます。テナントを設定する最初の手順として、Lifecycle Manager を使用して、Workspace ONE Access でデフォルトで作成されたマスター テナントのエイリアスを設定する必要があります。このマスター テナントに基づいて作成するサブテナントは、このマスター テナントから Active Directory ドメイン構成を継承します。

Lifecycle Manager では、vRealize Automation などの製品や特定の環境にテナントを割り当てることができます。テナントを設定するときは、テナント管理者も指定する必要があります。マルチテナントは、テナントのホスト名に基づいてデフォルトで有効です。ユーザーは、DNS 名を使用してテナント名を手動で構成することを選択できます。この手順では、マルチテナントをサポートするためにいくつかのフラグを設定する必要があり、ロード バランサも構成する必要があります。

クラスタ化されたインスタンスを使用する場合は、Workspace ONE AccessvRealize Automation の両方のテナント ベースのホスト名がロード バランサを参照します。

クラスタ化された vRealize Automation および Workspace ONE Access のロード バランサでワイルドカード証明書を使用しない場合、ユーザーは、作成される新しいテナントごとに、証明書の SAN エントリとしてテナント ホスト名を追加する必要があります。

vRealize Automation または Lifecycle Manager でテナントを削除することはできません。テナントを既存のマルチテナント展開に追加する必要がある場合は、Lifecycle Manager を使用して実行できますが、3 ~ 4 時間のダウンタイムが必要になります。

vRealize Suite Lifecycle Manager Workspace ONE Access の使用方法の詳細については、このトピックの先頭にあるドキュメント リンクを参照してください。

ホスト名とマルチテナント

以前のバージョンの vRealize Automation では、ユーザーはディレクトリ パスに基づいて URL を使用してテナントにアクセスしました。現在のマルチテナントの実装では、ユーザーはホスト名に基づいてテナントにアクセスします。

また、vRealize Automation ユーザーがテナントへのアクセスに使用するホスト名の形式は、Workspace ONE Access 内のテナントへのアクセスに使用される形式とは異なります。たとえば、有効なホスト名は、vidm-node1.eng.vmware.com ではなく、 tenant1.example.eng.vmware.com のようになります。

マルチテナントと証明書

マルチ組織構成に関連するすべてのコンポーネントについて、証明書を作成する必要があります。使用しているのが 1 つのノード構成かクラスタ化された構成かに応じて、Workspace ONE Access、Lifecycle Manager、vRealize Automation 用に 1 つまたは複数の証明書が必要になります。

証明書を構成するとき、SAN 名または特定の名前を示すワイルドカードを使用できます。証明書は、新しいテナントを追加するたびに更新する必要があるため、ワイルドカードを使用するとその管理をある程度簡素化できます。vRealize Automation および Workspace ONE Access のロード バランサでワイルドカード証明書を使用しない場合、ユーザーは、作成される新しいテナントごとに、証明書の SAN エントリとしてテナント ホスト名を追加する必要があります。また、SAN を使用している場合は、ホストを追加または削除したときや、ホスト名を変更したときに証明書を手動で更新する必要があります。また、テナントの DNS エントリも更新する必要があります。

Lifecyle Manager は、テナントごとに個別の証明書を作成しないことに注意してください。代わりに、各テナントのホスト名がリストされた単一の証明書を作成します。基本構成の場合、テナントの CNAME では次の形式が使用されます:tenantnamevrahostname.domain。高可用性構成の場合、名前では次の形式が使用されます:tenantname.vraLBhostname.domain

クラスタ化された Workspace ONE Access 構成を使用している場合は、Lifecycle Manager がロード バランサ証明書を更新できないため、手動で更新する必要があることに注意してください。また、Lifecycle Manager の外部にある製品またはサービスを再登録する必要がある場合、これは手動のプロセスです。