本節說明在開始使用多租戶之前,需要瞭解的重要概念和術語。
熟悉承租人管理術語
備註: 主承租人 (master tenant) 現在稱為主要承租人 (primary tenant)。
- 承租人 - 這是 VMware Identity Manager 組織結構中的最高層級。目錄、使用者、群組、第三方 IDP 等所有物件會針對每個承租人個別維護。每個承租人會與其餘承租人隔離,彼此不會共用任何資源。
- 主要承租人 - VMware Identity Manager 中始終存在至少一個承租人 (主要、預設或基礎),其稱為主要承租人。
對於 vRealize Automation 7.x 使用者,這是 vRealize Automation 7.x 部署中可立即使用的「vsphere.local」。vRealize Automation 7.x 中的主要承租人預設會啟動載入,並以「vsphere.local」為名稱。但是這不會發生在 VMware Identity Manager 的獨立部署中。主要承租人名稱是根據部署和啟動載入的第一個 VMware Identity Manager 節點而形成的。例如,如果「idm1.vmwlab.local」是部署的第一個 VMware Identity Manager 節點,則當您啟動載入 VMware Identity Manager 時,會建立名稱為「idm1」的主要承租人。進一步擴充的節點 (例如「idm2.vmwlab.local」和「idm3.vmwlab.local」) 則不會產生作用。主要承租人名稱僅會形成一次,並在單一或叢集化執行個體中將保持不變。
- 主要承租人別名 - 在設定並啟用幾個組態之前,您無法在 VMware Identity Manager 中的主要承租人下建立子承租人。為主要承租人設定別名名稱即此類重要的一個組態。必須在主要承租人上建立別名,且主要承租人應始終在單一節點或叢集化執行個體上透過主要承租人別名 FQDN 來存取。
- 提供者管理員 - 擁有管理基礎架構的管理員,其中包括 VMware Identity Manager、vRealize Automation 及其他產品。此管理員會建立和管理所有承租人,並且將產品與承租人建立關聯。vRealize Suite Lifecycle Manager 管理員使用者「admin@local」是唯一的提供者管理員,並且有權執行承租人管理功能。
- 承租人管理員 - 在每個 VMware Identity Manager 承租人中擁有最高管理權限層級的管理員。此權限可同時指派給本機 VMware Identity Manager 使用者和存在於 VMware Identity Manager 承租人的 Active Directory 使用者。
- 承租人感知產品 - 支援多租戶並維持與每個邏輯承租人執行個體適當隔離的產品,就是承租人感知產品。這些產品擁有與 VMware Identity Manager 承租人的一對一對應。截至 vRealize Suite Lifecycle Manager 8.1 版,僅 vRealize Automation 8.1 為承租人感知產品。
- vRealize Automation 組織與組織擁有者 - 在 vRealize Automation 8.x 中,組織是頂層建構,它會以 1:1 方式與 VMware Identity Manager 承租人對應。組織擁有者擁有在 vRealize Automation 組織或承租人中的管理權限。新增承租人並將其 vRealize Automation 與新增的承租人相關聯時,VMware Identity Manager 承租人管理員將成為新承租人的組織擁有者。如需有關新增承租人的詳細資訊,請參閱新增承租人。
- 目錄 - 目錄是 VMware Identity Manager 中的第二層物件。它代表外部身分識別存放區或提供者,例如 Active Directory (AD) 或 OpenLDAP 伺服器。VMware Identity Manager 中支援多種變體的目錄。您可以在 [目錄管理] 區段中新增 Active Directory Over LDAP 和具有 IWA 的 Active Directory。
- 目錄同步 - 新增目錄時,會提供組態選項以篩選從身分識別存放區或提供者中所需的使用者和群組並同步至 VMware Identity Manager 資料庫。只有在成功同步後,您才能將使用者和群組與 VMware Identity Manager 整合。
- 承租人中的目錄 - 每個承租人可包含多個目錄。同一個目錄組態可存在於多個承租人中,但會被視為獨立目錄。例如:您在主要承租人中新增了目錄 A,這個目錄具有一些目錄組態 (使用者 DN、群組 DN、同步組態)。而您擁有兩個子承租人,名稱分別為 Tenant-1 和 Tenant-2。目錄 A 的相同目錄組態可分別在每個子承租人上用於新增目錄 A1 和 A2,如此一來,同一組使用者和群組就會在子承租人 (Tenant-1 和 Tenant-2) 中同步。新增後,對主要承租人中目錄 A 的同步組態所做的任何變更,都不會影響 Tenant-1 和 Tenant-2 中目錄 A1 和 A2 及其同步的使用者和群組。這三個目錄及其組態都是彼此獨立的。只有在外部身分識別存放區或提供者變更時,這三個目錄才會受到影響。例如,如果將使用者或群組直接從身分識別提供者中移除,則會影響所有三個承租人中的三個目錄。