Gérer les locataires et les rôles d’utilisateur dans SPF
System Center - Service Provider Foundation (SPF) ne crée pas de rôles d’utilisateur ni ne définit son étendue. Pour configurer des locataires, vous avez besoin d’une clé publique de certificat utilisée pour valider les revendications effectuées au nom d’un locataire.
Créer un certificat
Si vous n’avez pas de certificat d’autorité de certification existant à utiliser, vous pouvez générer un certificat auto-signé. Vous pouvez exporter des clés publiques et privées à partir du certificat et associer la clé publique à un locataire.
Obtenir un certificat auto-signé
Créez un certificat à l’aide makecert.exe
de l’outil de création de certificat.
Ouvrez une invite de commandes comme administrateur.
Générez le certificat en exécutant la commande suivante :
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
Cette commande place le certificat dans le magasin de certificats de l'utilisateur en cours. Pour y accéder, dans l’écran d’accueil , entrez certmgr.msc , puis dans les résultats des applications , sélectionnez certmgr.msc. Dans la fenêtre certmgr, sélectionnez Certificats - Dossier Certificats personnels>utilisateur>actuels.
Exporter la clé publique
- Cliquez avec le bouton droit sur le certificat >Exporter toutes les tâches>.
- Dans Exporter une clé privée, choisissez Non, n’exportez pas la clé>privée Suivant.
- Dans Le format exporter un fichier, sélectionnez X.509 encodé en base 64 (. CER)>Suivant.
- Dans Fichier à exporter, spécifiez un chemin d’accès et un nom de fichier pour le certificat >Suivant.
- Dans l’Assistant Fin de l’exportation de certificat, sélectionnez Terminer.
Pour exporter à l’aide de PowerShell, exécutez :
``S C:\> $path = "C:\Temp\tenant4D.cer"
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``
Exporter la clé privée
- Cliquez avec le bouton droit sur le certificat >Exporter toutes les tâches>.
- Dans Exporter une clé privée, choisissez Oui, exportez la clé>privée Suivant. Si cette option n’est pas disponible et que vous avez généré un certificat auto-signé, vérifiez qu’il inclut l’option -pe.
- Dans le format Exporter un fichier, sélectionnez Échange d’informations personnelles - PKCS #12 (. PFX). Vérifiez que incluez tous les certificats dans le chemin de certification si possible est sélectionné et sélectionnez Suivant.
- Dans Fichier à exporter, spécifiez un chemin d’accès et un nom de fichier pour le certificat >Suivant.
- Dans l’Assistant Fin de l’exportation de certificat, sélectionnez Terminer.
Créer le locataire
Service Provider Foundation ne crée pas de rôles d’utilisateur ni ne définit son étendue (par exemple, les clouds), les ressources ou les actions. Au lieu de cela, l’applet New-SCSPFTenantUserRole
de commande crée une association pour un locataire avec un nom de rôle d’utilisateur. Lorsque cette association est créée, elle génère également un ID qui peut être utilisé pour l’ID correspondant pour la création du rôle dans System Center 2016 - Virtual Machine Manager.
Vous pouvez également créer des rôles d’utilisateur à l’aide du service de protocole OData d’administration à l’aide du guide du développeur.
Exécutez l’interpréteur de commandes SPF en tant qu’administrateur.
Entrez la commande suivante pour créer le client. Cette commande suppose que la
$key
variable contient la clé publique.PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key
Exécutez cette commande pour vérifier que la clé publique du locataire a été importée correctement :
PS C:\> Get-SCSPFTrustedIssuer
La procédure suivante utilise la
$tenant
variable que vous avez créée.
Créer un rôle d’administrateur de locataire dans VMM
Entrez la commande suivante et acceptez cette élévation pour le shell de commande Windows PowerShell :
PS C:\> Set-Executionpolicy remotesigned
Entrez la commande suivante pour importer le module VMM :
PS C:\> Import-Module virtualmachinemanager
Utilisez l’applet de commande Windows PowerShell
T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole
pour créer le rôle d’utilisateur. Cette commande suppose que la$tenant
variable qui a été créée comme décrit dans la procédure ci-dessus.PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
Attention
Notez que si le rôle d’utilisateur a été créé précédemment à l’aide de la console d’administration VMM, ses autorisations sont remplacées par celles spécifiées par l’applet
New\-SCSUserRole
de commande.Vérifiez que le rôle d’utilisateur a été créé en vérifiant qu’il est répertorié dans l’espace de travail Rôles d’utilisateur dans l’espace de travail Paramètres dans la console d’administration VMM.
Définissez les éléments suivants pour le rôle en sélectionnant le rôle et en sélectionnant Propriétés dans la barre d’outils :
Dans l’étendue, sélectionnez un ou plusieurs clouds.
Sur les ressources, ajoutez des ressources telles que des modèles.
Dans les actions, sélectionnez une ou plusieurs actions.
Répétez cette procédure pour chaque serveur affecté au client.
La procédure suivante utilise la
$TARole
variable que vous avez créée.
Créer un rôle d’utilisateur libre-service client dans VMM
Entrez la commande suivante pour créer un utilisateur libre-service dans SPF pour le locataire que vous avez créé :
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
Créez le rôle d’utilisateur de locataire correspondant dans VMM en entrant la commande suivante :
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
Vérifiez que le rôle d’utilisateur a été créé en vérifiant qu’il est répertorié dans l’espace de travail Rôles d’utilisateur dans l’espace de travail Paramètres dans la console d’administration VMM. Remarquez que le parent du rôle est l'administrateur du client.
Répétez cette procédure si nécessaire pour chaque locataire.