U kunt vRealize Suite Lifecycle Manager gebruiken om multitenancy op locatie in te schakelen in VMware Identity Manager 3.3.5 met vReallize Automation 8.4.

Voor vReallize Automation 8.4 is multitenancy standaard ingeschakeld met de modus Tenant in hostnaam, en niet met de modus Tenant in pad. .

Met de modus Tenant in hostnaam moet u een URL van de volledig gekwalificeerde domeinnaam (FQDN) van de tenant gebruiken om toegang te krijgen tot tenants. De URL van de load balancer of VMware Identity Manager werkt niet. Bijvoorbeeld:

  • URL voordat multitenancy is ingeschakeld: https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
  • URL nadat multitenancy is ingeschakeld: https://tenant1.vmwareidentity.com

Bereid u erop voor dat u bestaande vRealize-producten opnieuw moet registreren nadat u multitenancy heeft ingeschakeld in de implementatie van VMware Identity Manager met load balancer.

Op de volgende afbeelding ziet u geldige URL's en ongeldige URL's. De afbeelding bevat ook voorbeelden van configuraties met load balancer en DNS.

Figuur 1. Voorbeeldimplementatie van multitenancy met tenant in hostnaam
VMware Identity Manager met VMware vRealize Automation met behulp van multitenancy met tenant in hostnaam

Voorwaarden

Maak de juiste DNS-vermeldingen:

Eén knooppunt of geclusterd Actie
Voor een VMware Identity Manager-implementatie met één knooppunt Maak DNS-vermeldingen om de volledig gekwalificeerde domeinnaam voor elke tenant om te zetten in het IP-adres van VMware Identity Manager.
Voor een geclusterde VMware Identity Manager-implementatie Maak DNS-vermeldingen om de volledig gekwalificeerde domeinnaam voor elke tenant om te zetten in het IP-adres van de load balancer.

Procedure

  • Gebruik vRealize Suite Lifecycle Manager om multitenancy in te schakelen.
    Zie informatie over het maken van tenants in de handleiding vRealize Suite Lifecycle Manager 8.4 installeren, upgraden en beheren.
    Belangrijk: Houd u aan de volgende richtlijnen wanneer u multitenancy inschakelt.
    • Wanneer u SSL-certificaten configureert, is het raadzaam om een wildcard-SAN-certificaat (Subject Alternative Name) te gebruiken, bij voorkeur ondertekend door een openbare certificaatautoriteit (CA). U kunt echter ook een zelfondertekend certificaat gebruiken met een wildcard-SAN.

      Zorg ervoor dat het certificaat volledig gekwalificeerde domeinnamen bevat als SAN's voor de load balancer, knooppunten en standaardtenantalias.

      Opmerking: Als u een certificaat zonder wildcard-SAN gebruikt, voert u de volgende stappen uit, indien van toepassing.
      • Voeg alle volledig gekwalificeerde domeinnamen als SAN's toe aan het certificaat.
      • Wanneer u een tenant maakt, moet u ervoor zorgen dat de nieuwe tenant-FQDN als SAN wordt toegevoegd aan het VMware Identity Manager-certificaat. Voor een certificaatupdate moet de Horizon-service opnieuw worden gestart.
    • De volgende informatie over VMware Identity Manager Connector is van toepassing.
      • Voor een onderliggende tenant wordt de connector niet standaard weergegeven op de pagina Connectoren. De pagina Connectoren in de VMware Identity Manager-console geeft een connectorinstantie weer nadat de bedrijfsdirectory is gemaakt met die connectorinstantie.
      • Voer bewerkingen voor het samenvoegen van domeinen altijd uit vanaf de hoofdtenant.
      • Als u ervoor kiest om een IWA-directory te maken voor een ander domein op de onderliggende tenant, gebruikt u verschillende externe Windows-connectorinstanties.
        • De externe connectorinstantie die is geactiveerd voor een onderliggende tenant, wordt alleen gebruikt voor die tenant.
        • De externe connectorinstantie die is geactiveerd voor een hoofdtenant, kan worden gebruikt op alle onderliggende tenants.
      • Tijdens de upgrade genereert de VMware Identity Manager-service het bestand cluster-hostname-conn-timestamp.enc voor alle connectorinstanties. Het bestand cluster-hostname-conn-timestamp.enc bevat configuratiegegevens van de ingesloten connector.

Volgende stappen

U moet de bestaande vRealize-producten, zoals VMware vRealize Operations, VMware vRealize Automation en VMware vRealize Log Insight, opnieuw registreren met de volledig gekwalificeerde domeinnaam van de alias van de hoofdtenant. Zie de documentatie voor vRealize Suite Lifecycle Manager 8.4.