이 섹션에서는 다중 테넌시를 시작하기 전에 이해하는 데 필요한 핵심 개념 및 용어에 대해 설명합니다.
테넌트 관리 용어 익히기
참고: 마스터 테넌트는 이제 기본 테넌트라고 합니다.
- 테넌트 - VMware Identity Manager의 조직 구조에서 가장 높은 수준입니다. 디렉토리, 사용자, 그룹, 타사 IDP와 같은 모든 개체가 각 테넌트에 대해 개별적으로 유지됩니다. 각 테넌트는 나머지 테넌트와 분리되고 서로 리소스를 공유하지 않습니다.
- 기본 테넌트 - VMware Identity Manager에는 항상 최소한 하나의 테넌트(기본)가 있으며 이를 기본 테넌트라고 합니다.
vRealize Automation 7.x 사용자의 경우 이는 vRealize Automation 7.x 배포에서 즉시 사용 가능했던 'vsphere.local'입니다. vRealize Automation 7.x의 기본 테넌트는 기본적으로 'vsphere.local' 이름으로 부트스트래핑되었습니다. 하지만 이는 VMware Identity Manager의 독립형 배포에서는 발생하지 않습니다. 기본 테넌트 이름은 배포되고 부트스트래핑되는 첫 번째 VMware Identity Manager 노드를 기반으로 형성됩니다. 예를 들어 'idm1.vmwlab.local'이 배포되는 첫 번째 VMware Identity Manager 노드인 경우 VMware Identity Manager를 부트스트래핑할 때 기본 테넌트가 'idm1' 이름으로 생성됩니다. 'idm2.vmwlab.local' 및 'idm3.vmwlab.local'과 같이 추가로 확장되는 노드는 적용되지 않습니다. 기본 테넌트 이름은 한 번만 형성되고 단일 또는 클러스터링된 인스턴스에서 동일하게 유지됩니다.
- 기본 테넌트 별칭 - 일부 구성이 설정 및 사용되도록 설정될 때까지 기본 테넌트에서 VMware Identity Manager의 하위 테넌트를 생성할 수 없습니다. 기본 테넌트에 대한 별칭 이름 설정은 이처럼 중요한 구성입니다. 기본 테넌트에서 별칭을 생성해야 하며 단일 노드 또는 클러스터링된 인스턴스에서 항상 기본 테넌트 별칭 FQDN을 통해 기본 테넌트에 액세스해야 합니다.
- 제공자 관리자 - VMware Identity Manager, vRealize Automation 및 기타 제품을 포함하는 관리 인프라를 소유하는 관리자입니다. 관리자는 모든 테넌트를 생성 및 관리하고 제품을 테넌트와 연결합니다. vRealize Suite Lifecycle Manager 관리자 'admin@local'은 유일한 제공자 관리자이며 테넌트 관리 기능을 수행할 수 있는 권한이 있습니다.
- 테넌트 관리자 - 각 VMware Identity Manager 테넌트에서 가장 높은 수준의 관리 권한을 가진 관리자입니다. 이 사용 권한은 VMware Identity Manager 테넌트 내에 있는 로컬 VMware Identity Manager 사용자와 Active Directory 사용자 모두에게 할당할 수 있습니다.
- 테넌트 인식 제품 - 다중 테넌시를 지원하고 각 논리 테넌트 인스턴스와 적절한 분리를 유지하는 제품을 테넌트 인식 제품이라고 합니다. 이는 VMware Identity Manager 테넌트와 일대일 매핑을 가집니다. vRealize Suite Lifecycle Manager 8.1 릴리스부터 vRealize Automation 8.1만 테넌트 인식입니다.
- vRealize Automation 조직 및 조직 소유자 - vRealize Automation 8.x에서 조직은 최상위 수준 구성이며 VMware Identity Manager 테넌트와 1:1 매핑합니다. 조직 소유자는 vRealize Automation 조직 또는 테넌트에서 관리 권한이 있습니다. 테넌트를 추가하고 새로 추가된 테넌트와 vRealize Automation을 연결하는 동안 VMware Identity Manager 테넌트 관리자가 새 테넌트에 대한 조직 소유자가 됩니다. 테넌트 추가에 대한 자세한 내용은 테넌트 추가를 참조하십시오.
- 디렉토리 - 디렉토리는 VMware Identity Manager에서 두 번째 수준의 개체입니다. 디렉토리는 AD(Active Directory) 또는 OpenLDAP 서버와 같은 외부 ID 저장소 또는 제공자를 나타냅니다. VMware Identity Manager에서 지원되는 여러 변형의 디렉토리가 있습니다. [디렉토리 관리] 섹션에서 LDAP를 통한 Active Directory 및 IWA가 포함된 Active Directory를 추가할 수 있습니다.
- 디렉토리 동기화 - 디렉토리를 추가하는 동안 ID 저장소 또는 제공자에서 VMware Identity Manager 데이터베이스로 필수 사용자 및 그룹을 필터링 및 동기화하기 위한 구성 옵션이 제공됩니다. 성공적으로 동기화한 후에만 사용자 및 그룹을 VMware Identity Manager와 통합할 수 있습니다.
- 테넌트의 디렉토리 - 각 테넌트에는 여러 디렉토리를 포함할 수 있습니다. 동일한 디렉토리 구성이 여러 테넌트에 있을 수 있지만 별도의 디렉토리로 간주됩니다. 예: 기본 테넌트에서 일부 디렉토리 구성(사용자 DN, 그룹 DN, 동기화 구성)을 사용하는 디렉토리 A를 추가했습니다. 그리고 이름이 Tenant-1과 Tenant-2인 2개의 하위 테넌트가 있습니다. 각가의 하위 테넌트에서 디렉토리 A의 동일한 디렉토리 구성을 사용하여 디렉토리 A1 및 A2를 추가할 수 있습니다. 그러면 하위 테넌트 - Tenant-1과 Tenant-2에서 동일한 사용자 및 그룹 집합이 동기화됩니다. 추가한 후 기본 테넌트에서 디렉토리 A의 동기화 구성에 대한 변경 내용은 디렉토리 A1 및 A2와 Tenant-1과 Tenant-2의 동기화된 사용자 및 그룹에 영향을 미치지 않습니다. 3개의 모든 디렉토리 및 해당 구성은 서로 독립적입니다. 3개의 모든 디렉토리는 외부 ID 저장소 또는 제공자가 변경되는 경우에만 영향을 받습니다. 예를 들어 사용자 또는 그룹이 ID 제공자에서 직접 제거되는 경우 3개의 모든 테넌트의 3개의 모든 디렉토리에 영향을 미칩니다.