Sdílet prostřednictvím

Správa tenantů a uživatelských rolí v SPF

  • Článek

System Center – Service Provider Foundation (SPF) nevytvoří role uživatelů ani nedefinuje jejich obor. K nastavení tenantů potřebujete veřejný klíč certifikátu, který se používá k ověření deklarací identity provedené jménem tenanta.

Vytvoření certifikátu

Pokud nemáte existující certifikát certifikační autority k použití, můžete vygenerovat certifikát podepsaný svým držitelem. Z certifikátu můžete exportovat veřejné a privátní klíče a přidružit veřejný klíč k tenantovi.

Získání certifikátu podepsaného svým držitelem

Vytvoření certifikátu pomocí makecert.exe (nástroj pro vytvoření certifikátu)

  1. Otevřete příkazový řádek jako správce.

  2. Vygenerujte certifikát spuštěním následujícího příkazu:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

  3. Tento příkaz umístí certifikát do úložiště certifikátů aktuálního uživatele. Pokud k němu chcete získat přístup, na úvodní obrazovce zadejte certmgr.msc a pak ve výsledcích aplikace vyberte certmgr.msc. V okně certmgr vyberte složku Certifikáty – Aktuální osobní>certifikáty uživatele.>

Export veřejného klíče

  1. Klikněte pravým tlačítkem myši na certifikát >Všechny úlohy>exportu.
  2. V exportu privátního klíče zvolte Ne, neexportujte privátní klíč>Další.
  3. V exportu formátu souboru vyberte X.509 s kódováním Base-64 (. CER)>Další.
  4. V souboru k exportu zadejte cestu a název souboru certifikátu >Další.
  5. V průvodci dokončením exportu certifikátu vyberte Dokončit.

Pokud chcete exportovat pomocí PowerShellu, spusťte:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Export privátního klíče

  1. Klikněte pravým tlačítkem myši na certifikát >Všechny úlohy>exportu.
  2. V exportu privátního klíče zvolte Ano, vyexportujte privátní klíč>Další. Pokud tato možnost není dostupná a vygenerovali jste certifikát podepsaný svým držitelem, ujistěte se, že obsahuje možnost -pe.
  3. V exportu formátu souboru vyberte Exchange osobních informací – PKCS #12 (. PFX). Pokud je to možné, nezapomeňte do cesty certifikace zahrnout všechny certifikáty a vyberte Další.
  4. V souboru k exportu zadejte cestu a název souboru certifikátu >Další.
  5. V průvodci dokončením exportu certifikátu vyberte Dokončit.

Vytvoření tenanta

Service Provider Foundation nevytvoří role uživatelů ani nedefinuje jejich rozsah (například cloudy), prostředky nebo akce. Místo toho rutina New-SCSPFTenantUserRole vytvoří přidružení tenanta s názvem role uživatele. Po vytvoření přidružení také vygeneruje ID, které lze použít pro odpovídající ID pro vytvoření role v nástroji System Center 2016 – Virtual Machine Manager.

Role uživatelů můžete vytvořit také pomocí služby protokolu OData pro správu pomocí příručky pro vývojáře.

  1. Spusťte příkazové prostředí SPF jako správce.

  2. Zadáním následujícího příkazu vytvořte tenanta. Tento příkaz předpokládá, že $key proměnná obsahuje veřejný klíč.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key

  3. Spuštěním tohoto příkazu ověřte, že se veřejný klíč tenanta úspěšně naimportoval:

    PS C:\> Get-SCSPFTrustedIssuer

    Další postup používá proměnnou $tenant , kterou jste vytvořili.

Vytvoření role správce tenanta v nástroji VMM

  1. Zadejte následující příkaz a přijměte tento souhlas s tímto zvýšením oprávnění pro příkazové prostředí Windows PowerShell:

    PS C:\> Set-Executionpolicy remotesigned

  2. Zadáním následujícího příkazu naimportujte modul VMM:

    PS C:\> Import-Module virtualmachinemanager

  3. K vytvoření role uživatele použijte rutinu Windows PowerShellu T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole . Tento příkaz předpokládá proměnnou $tenant , která byla vytvořena, jak je popsáno v postupu výše.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin

    Upozornění

    Všimněte si, že pokud byla role uživatele vytvořena dříve pomocí konzoly pro správu VMM, jeho oprávnění by byla přepsána těmi, které určila rutina New\-SCSUserRole .

  4. Ověřte, že byla role uživatele vytvořená, a ověřte, že je uvedená v pracovním prostoru Role uživatele v pracovním prostoru Nastavení v konzole pro správu VMM.

  5. Definujte pro tuto roli následující: Vyberte roli a na panelu nástrojů vyberte Vlastnosti :

    • V oboru vyberte jeden nebo více cloudů.

    • Na kartě Prostředky přidejte všechny prostředky, jako jsou šablony.

    • Na kartě Akce vyberte jednu nebo více akcí.

    Tento postup opakujte pro každý server přiřazený k tenantovi.

    Další postup používá proměnnou $TARole , kterou jste vytvořili.

Vytvoření role uživatele samoobslužné služby tenanta v nástroji VMM

  1. Zadáním následujícího příkazu vytvořte samoobslužného uživatele v SPF pro tenanta, který jste vytvořili:

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. Zadáním následujícího příkazu vytvořte odpovídající roli uživatele tenanta v nástroji VMM:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. Ověřte, že byla role uživatele vytvořená, a ověřte, že je uvedená v pracovním prostoru Role uživatele v pracovním prostoru Nastavení v konzole pro správu VMM. Všimněte si, že nadřazenou rolí je správce tenanta.

Tento postup opakujte podle potřeby pro každého tenanta.