多租户

目的和要求

通过多租户可使用单个趋势科技服务器深度安全防护系统管理中心和数据库服务器安装创建多个不同的管理环境。它将每个租户的设置、策略和事件完全隔离，并使用多个其他基础架构缩放选项。

多租户旨在对组织内的业务部门进行分割，并在完整的生产部署之前加速分段环境中的测试。还允许为某个服务模式中的客户配置趋势科技服务器深度安全防护系统。

趋势科技服务器深度安全防护系统多租户的要求如下：

• 趋势科技服务器深度安全防护系统管理中心 9.0 或更高版本
• Oracle Database 或 Microsoft SQL Server
• 数据库创建/删除操作需要的数据库帐户权限。（请参阅多租户（高级））
• 多租户激活码

可选但建议：

• 多节点管理中心（多个趋势科技服务器深度安全防护系统管理中心节点指向相同的数据库以获取可扩展性）
• SMTP 服务器

体系结构

趋势科技服务器深度安全防护系统管理中心中的多租户的运行方式与虚拟机监控程序类似。同一个趋势科技服务器深度安全防护系统管理中心安装中存在多个租户，但是其数据是高度隔离的。所有管理中心节点均可处理任意租户的 GUI、波动信号或作业请求。为了进行后台处理，每个租户均分配一个管理中心节点，负责处理作业排队、维护和其他后台任务。添加管理中心节点或者管理中心节点脱机时，分配的管理中心节点会自动进行重新平衡。每个租户的大部分数据都存储在单独的数据库中。此数据库可能与其他租户共存于同一个数据库服务器上，或隔离在自己的数据库服务器上。在所有情况下，某些数据均仅存在于主数据库（与趋势科技服务器深度安全防护系统管理中心一同安装的数据库）中。当多个数据库服务器可用时，仅用最少量的负载在数据库上创建租户。

	单个租户	多租户
受管计算机	100,000	1,000,000 或以上
趋势科技服务器深度安全防护系统管理中心节点	1-5	1-50
数据库	1	1-10,000
数据库服务器	1（包含或不含复制）	1-100

启用多租户后，您（作为"主租户"）将保留趋势科技服务器深度安全防护系统管理中心常规安装的所有功能。但是，随后创建的租户对趋势科技服务器深度安全防护系统功能的访问权限因系统配置而异。

将每个租户的数据分割到数据库中带来了其他好处：

• 数据销毁：删除租户将移除对租户数据的所有跟踪（在产品中受支持）
• 备份：每个租户的数据可能遵循不同的备份策略。这可能对用于分段和生产的租户十分有用，其中分段环境对备份的要求不太严格。（设置趋势科技服务器深度安全防护系统管理中心的管理员负责备份。）
• 平衡：有助于日后重新平衡，以在所有数据库服务器上保持负载均衡

启用多租户

启用多租户：

1. 在趋势科技服务器深度安全防护系统管理中心中，转至管理 > 系统设置 > 高级并单击多租户选项区域中的启用多租户，以显示多租户配置向导。
2. 输入销售代表提供的激活码，然后单击下一步。
3. 选择要实施的使用授权模式：
   • 从主租户继承使用授权：为所有租户授予您（主租户）具有的相同使用授权。如果您在分段环境中使用多租户测试，或您打算为同一企业的不同部门设置租户，则建议使用此选项。
   • 每租户使用授权：提供趋势科技服务器深度安全防护系统作为服务时，建议使用此模式。如果使用此方式配置，需要在创建租户帐户（使用 API）时提供使用授权，或租户自己在首次登录时输入使用授权。
4. 单击下一步完成在趋势科技服务器深度安全防护系统管理中心中启用多租户。
5. 将显示管理 > 系统设置 > 租户页面。配置多租户的选项设置。有关设置的详细信息，请转至管理 > 系统设置 > 租户页面，并参考该页面的联机帮助。

管理租户

启用多租户模式后，可在管理部分出现的租户页面对租户进行管理。

创建租户

创建新租户：

1. 转至管理 > 租户页面，然后单击新建以显示新建租户向导。
2. 输入租户帐户名称。帐户名称可以是“Primary”之外的任意名称，“Primary”用于主租户。
3. 输入电子邮件地址。需要电子邮件地址，以便每个租户具有一个联系点。还用于下一步中三个不同的用户帐户生成方法中的两种。
4. 选择语言环境。语言环境确定适用于该租户的趋势科技服务器深度安全防护系统管理中心用户界面语言。
5. 选择“时区”。将向租户帐户时区中的租户用户显示所有与租户相关的事件。
6. 如果趋势科技服务器深度安全防护系统安装使用多个数据库，您可以选择让趋势科技服务器深度安全防护系统自动选择存储新租户帐户（“自动 -- 无首选项”）的数据库服务器，您也可以指定特定服务器。
   不再接受新租户的数据库服务器将不会包括在下拉列表中。如果只有一个数据库，将不显示这些选项。
   完成选择后，单击下一步继续。
7. 输入新租户帐户首个用户的用户名。
8. 选择以下三个密码选项之一：
   • 无电子邮件：在此处定义租户首个用户的用户名和密码，不发送电子邮件。
   • 电子邮件确认链接：您设置租户首个用户的密码。但是，直到用户单击将通过电子邮件收到的确认链接后，帐户才会被激活。
   • 电子邮件生成的密码：这允许您在未指定密码的情况下生成租户。手动创建您不需要访问权限的用户帐户时，此选项最适用。
   所有这三个选项均可通过 REST API 获得。确认选项为开放公共注册提供了一个合适的方法。建议使用 CAPTCHA，以确保租户创建者是人，而非自动化的“机器人”。电子邮件确认可确保提供的电子邮件属于此用户，然后才能访问帐户。
9. 单击下一步完成向导并创建租户。创建新租户数据库并填充数据和示例策略可能需要 30 秒到 4 分钟。

发送给租户的邮件示例

电子邮件确认链接：帐户确认请求

欢迎使用趋势科技服务器深度安全防护系统！要开始使用您的帐户，请单击以下确认 URL。然后，您可以使用所选的密码访问控制台。
帐户名称：AnyCo
用户名：admin
单击以下 URL 激活您的帐户：
https://managername:4119/SignIn.screen?confirmation=1A16EC7A-D84F-D451-05F6-706095B6F646&tenantAccount=AnyCo&username=admin

电子邮件生成的密码

第一封电子邮件：帐户和用户名通知

欢迎使用趋势科技服务器深度安全防护系统！已为您创建一个新帐户。您的密码将生成，并在一封单独的电子邮件中提供。

帐户名称：AnyCo
用户名：admin
可以使用以下 URL 访问趋势科技服务器深度安全防护系统管理控制台：
https://managername:4119/SignIn.screen?tenantAccount=AnyCo&username=admin

第二封电子邮件：密码通知

这是为您的趋势科技服务器深度安全防护系统帐户自动生成的密码。您的帐户名、用户名和用于访问趋势科技服务器深度安全防护系统管理控制台的链接将在一封单独的电子邮件中提供。

密码：z3IgRUQ0jaFi

管理租户

租户页面（管理 > 租户）显示所有租户的列表。租户可处于以下任一状态：

• 已创建：正在创建，但尚未激活
• 需要确认：已创建，但尚未单击发送给租户用户的确认电子邮件中的激活链接。（您可以手动覆盖此状态。）
• 活动：完全在线且受管
• 已挂起：不再接受登录。
• 待删除：可将租户删除，但未立即执行。移除数据库之前，租户将处于待删除状态约 7 天。
• 数据库升级失败：用于路径升级失败的租户。“数据库升级”按钮可用于解决此问题

租户属性

双击租户可以查看租户的属性窗口。

常规

可更改租户的语言环境、时区和状态。请注意，更改时区和语言环境不影响现有的租户用户。它将仅影响此租户中的新用户以及非用户特定的 UI 中的事件和其他部分。

数据库名称表示该租户所用的数据库的名称。可通过超链接访问数据库运行的服务器。

模块

模块选项卡提供了用于保护模块可见性的选项。缺省情况下，将隐藏所有未经授权的模块。可通过取消选中始终隐藏未经授权的模块来更改此设置。此外，可以每个租户为基础显示所选模块。

如果选中从主租户继承使用授权，则授权给您（主租户）的所有功能将对所有租户可见。所选的可见性可用于调整哪些模块对于哪些租户可见。

如果使用的是“每租户”使用授权，则在缺省情况下将仅显示对每个租户授权的模块。

如果您在测试环境中评估趋势科技服务器深度安全防护系统，并希望查看完整的多租户安装，您可以启用多租户演示模式。处于演示模式时，管理中心使用模拟租户、计算机、事件、警报和其他数据填充其数据库。最初生成七天的数据，但会不断生成新数据以使用这些数据填充管理中心的“控制台”、“报告”和“事件”页面。

统计

“统计信息”选项卡显示当前租户的信息，包括数据库大小、处理的作业、登录、安全事件和系统事件。火花谱线可快速显示过去 24 小时的信息。

客户端激活

“客户端激活”选项卡显示了一个可从此租户计算机的客户端安装目录运行的命令，此命令将在计算机上激活客户端以便租户可以分配策略并从趋势科技服务器深度安全防护系统管理中心执行其他配置过程。

主要联系人

租户帐户用户的趋势科技服务器深度安全防护系统看法

租户“用户体验”

启用多租户后，登录页面将显示另一个帐户名称文本框：

需要租户输入其帐户名称以及用户名和密码。帐户名称允许租户使用重叠的用户名。（例如，如果多个租户与同一台 Active Directory 服务器同步）。

当租户登录时，安装环境与首次安装趋势科技服务器深度安全防护系统管理中心时非常相似。UI 中的某些功能对租户用户不可用。已对租户隐藏以下区域：

• 管理中心节点 widget
• 多租户 widget
• 管理 > 系统信息
• 管理 > 使用授权（如果选中“继承”选项）
• 管理 > 管理中心节点
• 管理 > 租户
• 管理 > 系统设置：
  • 租户选项卡
  • 安全选项卡 > 登录消息
  • 更新选项卡 > 允许租户使用主租户中继的设置
  • 高级选项卡 > 负载平衡器
  • 高级选项卡 > 插件部分
• 帮助中的一些内容不适用于租户
• 一些报告不适用于租户
• 基于多租户选项的其他功能（稍后讨论）
• 还将对租户隐藏某些警报类型：
  • 波动信号服务器不成功
  • 磁盘空间不足
  • 管理中心脱机
  • 管理中心时间不同步
  • 现已推出较新版本的趋势科技服务器深度安全防护系统管理中心
  • 计算机数量超过数据库限制
  • 当在所有使用授权相关警报中启用继承的使用授权时

还要注意的重要一点是：租户无法查看主租户的任何多租户功能或任何其他租户的任何数据。此外，某些 API 受到限制，因为他们只能用于主租户权限（如创建其他租户）。

有关租户用户可用与不可用的功能的更多信息，请参阅管理 > 系统设置 > 租户。

所有租户均可在多个用户帐户中使用基于角色的访问控制，以进一步细分访问权限。此外，他们可以将 Active Directory 集成用于用户，以将认证委派到域。每次进行租户认证时仍需要输入租户帐户名称。

客户端启动的激活

缺省情况下，为所有租户启用客户端启动的激活。

租户可以查看客户端启动的激活需要的参数，方法是单击管理 > 更新 > 软件 > 本地，选择客户端软件，然后单击生成部署脚本按钮。例如，Windows 计算机上客户端启动的激活的脚本示例如下所示：

dsa_control -a dsm://manageraddress:4120/ "tenantID:7156CF5A-D130-29F4-5FE1-8AFD12E0EC02" "tenantPassword:98785384-3966-B729-1418-3E2A7197D0D5"

租户诊断

由于软件包中包含敏感数据，租户无法访问管理中心诊断包。租户仍然可以通过打开计算机编辑器，然后选择概述页处理措施选项卡上的客户端诊断来生成客户端诊断。

使用情况监控

趋势科技服务器深度安全防护系统管理中心记录关于租户使用情况的数据。将在控制台的租户防护活动 widget、租户属性窗口的统计信息选项卡和退款报告中显示此信息。另外，也可通过状态监控 REST API 访问此信息。转至管理 > 系统设置 > 高级 > 状态监控 API 可启用或禁用此 API。

可定制此退款（或审查）信息，以确定记录中包含哪些属性。此配置旨在调整服务提供程序环境中可能需要的各种收费模式。这在企业确定每个业务部门的使用情况方面十分有用。

多租户控制台/报告

启用多租户后，主租户用户可访问其他控制台 widget 以监控租户活动：

与租户相关的 widget 的一些示例：

在管理 > 租户页面（有些在可选列中）以及租户属性窗口的统计信息选项卡上会提供相同的信息。

此信息提供监控整个系统使用情况和查找异常活动指示的功能。例如，如果租户遇到安全事件活动急剧增多的情况，则可能受到攻击。

退款报告（位于事件 & 报告部分）提供了更多信息。此报告详细介绍了每个租户的防护时长、当前数据库大小和计算机数量（激活的和未激活的）。