vRealize Suite Lifecycle Manager можно использовать для включения локальной мультитенантности в VMware Identity Manager 3.3.4 с помощью vReallize Automation 8.3.

В отличие от режима с указанием арендатора в пути, в режиме с указанием арендатора в имени узла для vReallize Automation 8.3 мультитенантность включена по умолчанию. .

При использовании режима с указанием арендатора в имени узла для доступа к арендаторам необходимо использовать URL-адрес их полного доменного имени (FQDN). URL-адрес подсистемы балансировки нагрузки или VMware Identity Manager не будет работать. Пример:

  • URL-адрес до включения мультитенантности: https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
  • URL-адрес после включения мультитенантности: https://tenant1.vmwareidentity.com

Будьте готовы к повторной регистрации существующих продуктов vRealize после включения мультитенантности в развертывании VMware Identity Manager со сбалансированной нагрузкой.

На следующем рисунке показаны допустимые и недопустимые URL-адреса. На рисунке также представлены примеры конфигураций DNS и подсистемы балансировки нагрузки.

Рис. 1. Пример развертывания с мультитенантностью с указанием арендатора в имени узла
VMware Identity Manager с VMware vRealize Automation с использованием мультитенантности с указанием арендатора в имени узла

Необходимые условия

Создайте соответствующие DNS-записи.

Один узел или кластер Действие
Для развертывания VMware Identity Manager с одним узлом Создайте DNS-записи, чтобы разрешить использование полного доменного имени для каждого арендатора в IP-адресе VMware Identity Manager.
Для кластерного развертывания VMware Identity Manager Создайте DNS-записи, чтобы разрешить использование полного доменного имени для каждого арендатора в IP-адресе подсистемы балансировки нагрузки.

Процедура

  • Используйте vRealize Suite Lifecycle Manager, чтобы включить мультитенантность.
    Дополнительные сведения по созданию арендаторов см. в руководстве Установка, обновление и управление vRealize Suite Lifecycle Manager 8.3.
    Важно!: При включении мультитенантности следуйте приведенным ниже рекомендациям.
    • При настройке сертификатов SSL рекомендуется использовать сертификат с групповым альтернативным именем субъекта. Желательно, чтобы он был подписан общедоступным центром сертификации. Однако можно также использовать самозаверяющий сертификат с групповым альтернативным именем субъекта.

      Убедитесь, что сертификат включает полные доменные имена, например альтернативные имена субъектов для подсистемы балансировки нагрузки, узлов и псевдонимов арендаторов по умолчанию.

      Примечание: Если используется сертификат без группового альтернативного имени субъекта, выполните следующие применимые действия.
      • Добавьте все полные доменные имена арендаторов в сертификат в качестве альтернативных имен субъектов.
      • При создании нового арендатора убедитесь, что его полное доменное имя добавлено в сертификат VMware Identity Manager в качестве альтернативного имени субъекта. Для обновления сертификата необходимо перезапустить службу Horizon.
    • Применяются следующие сведения VMware Identity Manager Connector.
      • Для дочернего арендатора соединитель не отображается по умолчанию на странице «Соединители». На странице «Соединители» в консоли VMware Identity Manager экземпляр соединителя отображается только после создания корпоративного каталога с помощью этого экземпляра соединителя.
      • Всегда выполняйте операции присоединения к домену из главного арендатора.
      • При создании каталога IWA для другого домена в дочернем арендаторе, используйте другие экземпляры внешнего соединителя Windows.
        • Экземпляр внешнего соединителя, активированный для любого дочернего арендатора, используется только для этого арендатора.
        • Экземпляр внешнего соединителя, активированный для главного арендатора, можно использовать во всех дочерних арендаторах.
      • Во время обновления служба VMware Identity Manager создает файл cluster-hostname-conn-timestamp.enc для всех экземпляров соединителя. Файл cluster-hostname-conn-timestamp.enc содержит сведения о конфигурации встроенного соединителя.

Дальнейшие действия

Необходимо повторно зарегистрировать существующие продукты vRealize, такие как VMware vRealize Operations, VMware vRealize Automation и VMware vRealize Log Insight, с полным доменным именем псевдонима главного арендатора. См. документацию по vRealize Suite Lifecycle Manager 8.3.