Partager via


Gérer les locataires et les rôles d’utilisateur dans SPF

System Center - Service Provider Foundation (SPF) ne crée pas de rôles d’utilisateur ni ne définit son étendue. Pour configurer des locataires, vous avez besoin d’une clé publique de certificat utilisée pour valider les revendications effectuées au nom d’un locataire.

Créer un certificat

Si vous n’avez pas de certificat d’autorité de certification existant à utiliser, vous pouvez générer un certificat auto-signé. Vous pouvez exporter des clés publiques et privées à partir du certificat et associer la clé publique à un locataire.

Obtenir un certificat auto-signé

Créez un certificat à l’aide makecert.exe de l’outil de création de certificat.

  1. Ouvrez une invite de commandes comme administrateur.

  2. Générez le certificat en exécutant la commande suivante :

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
    
  3. Cette commande place le certificat dans le magasin de certificats de l'utilisateur en cours. Pour y accéder, dans l’écran d’accueil , entrez certmgr.msc , puis dans les résultats des applications , sélectionnez certmgr.msc. Dans la fenêtre certmgr, sélectionnez Certificats - Dossier Certificats personnels>utilisateur>actuels.

Exporter la clé publique

  1. Cliquez avec le bouton droit sur le certificat >Exporter toutes les tâches>.
  2. Dans Exporter une clé privée, choisissez Non, n’exportez pas la clé>privée Suivant.
  3. Dans Le format exporter un fichier, sélectionnez X.509 encodé en base 64 (. CER)>Suivant.
  4. Dans Fichier à exporter, spécifiez un chemin d’accès et un nom de fichier pour le certificat >Suivant.
  5. Dans l’Assistant Fin de l’exportation de certificat, sélectionnez Terminer.

Pour exporter à l’aide de PowerShell, exécutez :

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Exporter la clé privée

  1. Cliquez avec le bouton droit sur le certificat >Exporter toutes les tâches>.
  2. Dans Exporter une clé privée, choisissez Oui, exportez la clé>privée Suivant. Si cette option n’est pas disponible et que vous avez généré un certificat auto-signé, vérifiez qu’il inclut l’option -pe.
  3. Dans le format Exporter un fichier, sélectionnez Échange d’informations personnelles - PKCS #12 (. PFX). Vérifiez que incluez tous les certificats dans le chemin de certification si possible est sélectionné et sélectionnez Suivant.
  4. Dans Fichier à exporter, spécifiez un chemin d’accès et un nom de fichier pour le certificat >Suivant.
  5. Dans l’Assistant Fin de l’exportation de certificat, sélectionnez Terminer.

Créer le locataire

Service Provider Foundation ne crée pas de rôles d’utilisateur ni ne définit son étendue (par exemple, les clouds), les ressources ou les actions. Au lieu de cela, l’applet New-SCSPFTenantUserRole de commande crée une association pour un locataire avec un nom de rôle d’utilisateur. Lorsque cette association est créée, elle génère également un ID qui peut être utilisé pour l’ID correspondant pour la création du rôle dans System Center 2016 - Virtual Machine Manager.

Vous pouvez également créer des rôles d’utilisateur à l’aide du service de protocole OData d’administration à l’aide du guide du développeur.

  1. Exécutez l’interpréteur de commandes SPF en tant qu’administrateur.

  2. Entrez la commande suivante pour créer le client. Cette commande suppose que la $key variable contient la clé publique.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
    
  3. Exécutez cette commande pour vérifier que la clé publique du locataire a été importée correctement :

    PS C:\> Get-SCSPFTrustedIssuer  
    

    La procédure suivante utilise la $tenant variable que vous avez créée.

Créer un rôle d’administrateur de locataire dans VMM

  1. Entrez la commande suivante et acceptez cette élévation pour le shell de commande Windows PowerShell :

    PS C:\> Set-Executionpolicy remotesigned  
    
  2. Entrez la commande suivante pour importer le module VMM :

    PS C:\> Import-Module virtualmachinemanager  
    
  3. Utilisez l’applet de commande Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole pour créer le rôle d’utilisateur. Cette commande suppose que la $tenant variable qui a été créée comme décrit dans la procédure ci-dessus.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
    
    

    Attention

    Notez que si le rôle d’utilisateur a été créé précédemment à l’aide de la console d’administration VMM, ses autorisations sont remplacées par celles spécifiées par l’applet New\-SCSUserRole de commande.

  4. Vérifiez que le rôle d’utilisateur a été créé en vérifiant qu’il est répertorié dans l’espace de travail Rôles d’utilisateur dans l’espace de travail Paramètres dans la console d’administration VMM.

  5. Définissez les éléments suivants pour le rôle en sélectionnant le rôle et en sélectionnant Propriétés dans la barre d’outils :

    • Dans l’étendue, sélectionnez un ou plusieurs clouds.

    • Sur les ressources, ajoutez des ressources telles que des modèles.

    • Dans les actions, sélectionnez une ou plusieurs actions.

    Répétez cette procédure pour chaque serveur affecté au client.

    La procédure suivante utilise la $TARole variable que vous avez créée.

Créer un rôle d’utilisateur libre-service client dans VMM

  1. Entrez la commande suivante pour créer un utilisateur libre-service dans SPF pour le locataire que vous avez créé :

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
    
  2. Créez le rôle d’utilisateur de locataire correspondant dans VMM en entrant la commande suivante :

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
    
    
  3. Vérifiez que le rôle d’utilisateur a été créé en vérifiant qu’il est répertorié dans l’espace de travail Rôles d’utilisateur dans l’espace de travail Paramètres dans la console d’administration VMM. Remarquez que le parent du rôle est l'administrateur du client.

Répétez cette procédure si nécessaire pour chaque locataire.