vRealize Suite Lifecycle Manager を使用して、vRealize Automation のマルチ組織テナントを設定できます。
DNS や証明書の構成など、vRealize Automation のマルチテナントを設定する手順の概要は次のとおりです。単一ノードの展開に重点を置いていますが、クラスタ化された構成に関する注意事項が含まれています。
https://vmwarelab.org/2020/04/14/vrealize-automation-8-1-multi-tenancy-setup-with-vrealize-suite-lifecycle-manager-8-1/ で、詳細および vRealize Automation のマルチ組織構成を実行するデモのビデオを参照してください。
前提条件
- Workspace ONE Access バージョン 3.3.4 以降をインストールして構成します。
- vRealize Suite Lifecycle Manager バージョン 8.5 をインストールして構成します。
手順
- 必要な A タイプおよび CNAME タイプの DNS レコードを作成します。
- マスター テナントと各サブテナントに対して、SAN 証明書を作成して適用する必要があります。
- 単一ノードの展開では、vRealize Automation の FQDN が vRealize Automation アプライアンスを参照し、Workspace ONE Access の FQDN が Workspace ONE Access アプライアンスを参照します。
- クラスタ化された展開では、Workspace ONE Access と vRealize Automation の両方のテナントベースの FQDN が各ロード バランサを参照している必要があります。Workspace ONE Access は SSL ターミネーションを使用して構成されているため、証明書は Workspace ONE Access クラスタとロード バランサの両方に適用されます。vRealize Automation ロード バランサは SSL パススルーを使用するため、証明書は vRealize Automation クラスタにのみ適用されます。
詳細については、単一ノードのマルチ組織環境での証明書および DNS 構成の管理およびクラスタ化された vRealize Automation 展開での証明書および DNS 構成の管理を参照してください。
- Workspace ONE Access と vRealize Automation の両方に対して必要なマルチドメイン (SAN) 証明書を作成またはインポートします。
証明書のライセンスとパスワードを作成できるようにする Locker サービスを使用して Lifecycle Manager で証明書を作成できます。または、CA サーバやその他のメカニズムを使用して証明書を生成することもできます。
追加のテナントを追加または作成する必要がある場合は、vRealize Automation および Workspace ONE Access テナントを再作成して適用する必要があります。
証明書を作成したら、[ライフサイクル操作] 機能を使用して、Lifecycle Manager に適用できます。環境と製品を選択し、右側のメニューの [証明書の置き換え] オプションを選択する必要があります。その後、製品を選択できます。証明書を置き換える場合は、環境内の関連付けられているすべての製品を再信頼する必要があります。
次の手順に進む前に、証明書が適用され、すべてのサービスが再起動するまで待機する必要があります。
詳細については、単一ノードのマルチ組織環境での証明書および DNS 構成の管理およびクラスタ化された vRealize Automation 展開での証明書および DNS 構成の管理を参照してください。
- Workspace ONE Access SAN 証明書を Workspace ONE Access インスタンスまたはクラスタに適用します。
- vRealize Suite Lifecycle Manager で、[テナントの有効化] ウィザードを実行してマルチテナントを有効にし、デフォルトのマスター テナントのエイリアスを作成します。
テナントを有効にするには、プロバイダ組織のマスター テナントまたはデフォルトのテナントのエイリアスを作成する必要があります。テナントを有効にすると、マスター テナントの FQDN を使用して
Workspace ONE Access にアクセスできます。
たとえば、既存の Workspace ONE Access の FQDN が idm.example.local
で、デフォルトのテナントのエイリアスを作成した場合、テナントを有効にすると、Workspace ONE Access の FQDN が default-tenant.example.local
に変更され、Workspace ONE Access と通信するすべてのクライアントは default-tenant.example.local
を介して通信するようになります。
- vRealize Automation SAN 証明書を vRealize Automation インスタンスまたはクラスタに適用します。
SAN 証明書は Lifecycle Manager の Lifecycle Operations サービスを使用して適用できます。環境の詳細を表示し、右側のメニューで [証明書の置き換え] を選択する必要があります。証明書の置き換えタスクが完了するまで待ってから、テナントを追加する必要があります。証明書の置き換えの一環として、
vRealize Automation サービスが再起動します。
- Lifecycle Manager で、テナントの追加ウィザードを実行して、目的のテナントを構成します。
テナントを追加するには、[ID およびテナントの管理] の下にある [Lifecycle Manager テナントの管理] ページを使用します。追加できるのは、事前構成済みの証明書および DNS 設定があるテナントだけです。
テナントを作成する際には、テナント管理者を指定し、このテナントの Active Directory 接続を選択する必要があります。使用可能な接続は、デフォルトまたはマスター テナントで構成された接続に基づきます。テナントが関連付けられる製品または製品インスタンスも選択する必要があります。
次のタスク
テナントを作成した後、[ID およびテナントの管理] の下にある [Lifecycle Manager テナントの管理] ページを使用して、テナント管理者の変更や追加、Active Directory ディレクトリのテナントへの追加、テナントへの製品関連付けの変更が可能です。
Workspace ONE Access インスタンスにログインして、テナントの構成を表示および検証することもできます。