В этом разделе описываются основные понятия и термины, которые необходимо знать для начала работы с моделью множественной аренды.
Термины, используемые при управлении арендаторами
- Арендатор. Верхний уровень в организационной структуре VMware Identity Manager. Управление всеми объектами, такими как каталоги, пользователи, группы и сторонние поставщики удостоверений, осуществляется отдельно для каждого арендатора. Каждый арендатор изолирован от остальных арендаторов, и они не обмениваются ресурсами.
- Основной арендатор. В VMware Identity Manager по умолчанию всегда присутствует как минимум один базовый арендатор, который называется «основным арендатором».
Для пользователей vRealize Automation 7.x — это vsphere.local, присутствовавший в готовых к использованию развертываниях vRealize Automation 7.x. Основной арендатор в vRealize Automation 7.x при начальной загрузке по умолчанию имел имя «vsphere.local». Однако это не относится к автономным развертываниям VMware Identity Manager. Имя основного арендатора формируется на основе первого узла VMware Identity Manager, который развертывается и участвует в начальной загрузке. Например, если первый развертываемый узел VMware Identity Manager называется «idm1.vmwlab.local», то при начальной загрузке VMware Identity Manager основной арендатор создается с именем «idm1». Появление дополнительных имен узлов, таких как «idm2.vmwlab.local» и «idm3.vmwlab.local», не влияет на имя основного арендатора. Имя основного арендатора формируется только один раз и остается неизменным в экземпляре с одним узлом или кластером.
- Псевдоним основного арендатора. В VMware Identity Manager создание субарендаторов на уровнях ниже основного арендатора возможно только после того, как был задан и включен ряд настроек. Одним из наиболее важных этапов настройки является создание псевдонима основного арендатора. Для основного арендатора необходимо создать псевдоним, и доступ к этому основному арендатору должен осуществляться только по полному доменному имени (FQDN) его псевдонима в экземпляре с одним узлом или кластером.
- Администратор поставщика. Данный администратор является владельцем инфраструктуры управления, которая включает в себя VMware Identity Manager, vRealize Automation и другие продукты. Администратор отвечает за создание всех арендаторов и управление ими, а также за связывание продуктов с арендаторами. Администратор vRealize Suite Lifecycle Manager (admin@local) — единственный администратор поставщика, имеющий право выполнять функции управления арендаторами.
- Администратор арендатора. Администратор с наивысшим уровнем разрешения на администрирование каждого арендатора VMware Identity Manager. Это разрешение может быть назначено как локальным пользователям VMware Identity Manager, так и пользователям Active Directory, которые присутствуют в арендаторе VMware Identity Manager.
- Продукты с поддержкой арендаторов. Продукты, которые поддерживают функцию множественной аренды и обеспечивают надлежащую изоляцию для каждого логического экземпляра арендатора. Они сопоставляются с арендаторами VMware Identity Manager по принципу «один к одному». Начиная с версии vRealize Suite Lifecycle Manager 8.1 арендаторы поддерживаются только в vRealize Automation 8.1.
- Организация vRealize Automation и владелец организации. В vRealize Automation 8.x организация является структурой верхнего уровня, сопоставляемой с арендатором VMware Identity Manager по принципу 1 : 1. У владельца организации имеется разрешение на администрирование организации или арендатора vRealize Automation. При добавлении арендаторов и связывании vRealize Automation с новым арендатором администратор арендатора VMware Identity Manager становится владельцем организации для нового арендатора. Дополнительные сведения о добавлении арендаторов см. в разделе Добавление арендаторов.
- Каталог. Объект второго уровня в VMware Identity Manager. Каталог представляет собой внешнее хранилище удостоверений или поставщика, например Active Directory (AD) или сервер OpenLDAP. В VMware Identity Manager поддерживаются несколько вариантов каталогов. В разделе «Управление каталогами» можно добавить Active Directory по LDAP и Active Directory со встроенной проверкой подлинности Windows (IWA).
- Синхронизация каталогов. При добавлении каталогов доступны параметры конфигурации, позволяющие фильтровать требуемых пользователей и группы, которые предоставляются хранилищем удостоверений или поставщиком, и синхронизировать их с базой данных VMware Identity Manager. Интеграция пользователей и групп с VMware Identity Manager возможна только после успешной синхронизации.
- Каталоги в арендаторе. У каждого арендатора может быть несколько каталогов. Даже если одна и та же конфигурация каталога присутствует в нескольких арендаторах, каталог считается независимым объектом. Предположим, каталог A добавлен к основному арендатору с определенными настройками (различающимися именами пользователей и групп, настройками синхронизации). Имеется два субарендатора с именами Tenant-1 и Tenant-2. Те же самые настройки каталога A можно использовать для добавления каталогов A1 и A2 в каждый из субарендаторов соответственно, синхронизируя один и тот же набор пользователей и групп в этих субарендаторах (Tenant-1 и Tenant-2). После добавления любые изменения в настройках синхронизации каталога A в основном арендаторе не повлияют на каталоги A1 и A2, а также на синхронизированных пользователей и группы в Tenant-1 и Tenant-2. Данные три каталога, как и их настройки, не зависят друг от друга. Все три каталога будут затронуты только в случае, если изменится внешнее хранилище удостоверений или поставщик. Например, если пользователи или группы удаляются непосредственно из поставщика удостоверений, это повлияет на все три каталога во всех трех арендаторах.