SPF에서 테넌트 및 사용자 역할 관리

System Center - SPF(서비스 공급자 파운데이션)는 사용자 역할을 만들거나 해당 범위를 정의하지 않습니다. 테넌트를 설정하려면 테넌트를 대신하여 클레임의 유효성을 검사하는 데 사용되는 인증서 공개 키가 필요합니다.

인증서 만들기

사용할 기존 CA 인증서가 없는 경우 자체 서명된 인증서를 생성할 수 있습니다. 인증서에서 퍼블릭 및 프라이빗 키를 내보내고 공개 키를 테넌트와 연결할 수 있습니다.

자체 서명된 인증서 가져오기

(인증서 만들기 도구)를 사용하여 makecert.exe 인증서를 만듭니다.

1. 관리자 권한으로 명령 프롬프트를 엽니다.

2. 다음 명령을 실행하여 인증서를 생성합니다.

   makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
   

3. 이 명령은 현재 사용자 인증서 저장소에 인증서를 넣습니다. 액세스하려면 시작 화면에서 certmgr.msc를 입력한 다음 앱 결과에서 certmgr.msc를 선택합니다. certmgr 창에서 인증서 - 현재 사용자>개인>인증서 폴더를 선택합니다.

공개 키 내보내기

1. 인증서 >모든 작업>내보내기를 마우스 오른쪽 단추로 클릭합니다.
2. 프라이빗 키 내보내기에서 [아니요]를 선택하고 프라이빗 키를>다음으로 내보내지 마세요.
3. 내보내기 파일 형식에서 Base-64로 인코딩된 X.509(를 선택합니다. CER)>다음을 참조하세요.
4. 내보낼 파일에서 다음 인증서>의 경로와 파일 이름을 지정합니다.
5. 인증서 내보내기 마법사를 완료할 때 마침을 선택합니다.

PowerShell을 사용하여 내보내려면 다음을 실행합니다.

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

프라이빗 키 내보내기

1. 인증서 >모든 작업>내보내기를 마우스 오른쪽 단추로 클릭합니다.
2. 프라이빗 키 내보내기에서 예를 선택하고 프라이빗 키를>다음으로 내보냅니다. 이 옵션을 사용할 수 없고 자체 서명된 인증서를 생성한 경우 -pe 옵션이 포함되어 있는지 확인합니다.
3. 파일 내보내기 형식에서 개인 정보 교환 - PKCS #12(.)를 선택합니다. PFX). 가능한 경우 인증 경로에 모든 인증서를 포함해야 하며 다음을 선택합니다.
4. 내보낼 파일에서 다음 인증서>의 경로와 파일 이름을 지정합니다.
5. 인증서 내보내기 마법사를 완료할 때 마침을 선택합니다.

테넌트 만들기

Service Provider Foundation은 사용자 역할을 만들거나 해당 범위(예: 클라우드), 리소스 또는 작업을 정의하지 않습니다. 대신 cmdlet은 New-SCSPFTenantUserRole 사용자 역할 이름을 사용하여 테넌트에 대한 연결을 만듭니다. 연결이 만들어지면 System Center 2016 - Virtual Machine Manager에서 역할을 만들기 위해 해당 ID에 사용할 수 있는 ID도 생성됩니다.

개발자 가이드를 사용하여 관리자 OData 프로토콜 서비스를 사용하여 사용자 역할을 만들 수도 있습니다.

1. 관리자 권한으로 SPF 명령 셸을 실행합니다.

2. 다음 명령을 입력하여 테넌트를 만듭니다. 이 명령은 변수에 $key 공개 키가 포함되어 있다고 가정합니다.

   PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
   

3. 이 명령을 실행하여 테넌트에 대한 공개 키를 성공적으로 가져왔 있는지 확인합니다.

   PS C:\> Get-SCSPFTrustedIssuer  
   

   다음 절차에서는 사용자가 만든 변수를 $tenant 사용합니다.

VMM에서 테넌트 관리자 역할 만들기

1. 다음 명령을 입력하여 Windows PowerShell 명령 셸에 대한 권한 상승에 동의합니다.

   PS C:\> Set-Executionpolicy remotesigned  
   

2. 다음 명령을 입력하여 VMM 모듈을 가져옵니다.

   PS C:\> Import-Module virtualmachinemanager  
   

3. Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole cmdlet을 사용하여 사용자 역할을 만듭니다. 이 명령은 위의 프로시저에 $tenant 설명된 대로 생성된 변수를 가정합니다.

   PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
   
   

   주의

   이전에 VMM 관리 콘솔을 사용하여 사용자 역할을 만든 경우 cmdlet에서 지정한 New\-SCSUserRole 권한으로 해당 권한을 덮어씁니다.

4. 사용자 역할이 VMM 관리 콘솔의 설정 작업 영역의 사용자 역할에 나열되어 있는지 확인하여 사용자 역할이 생성되었는지 확인합니다.

5. 역할을 선택하고 도구 모음에서 속성을 선택하여 역할에 대해 다음을 정의합니다.

   • 범위에서 하나 이상의 클라우드를 선택합니다.

   • 리소스에서 템플릿과 같은 모든 리소스를 추가합니다.

   • 작업에서 하나 이상의 작업을 선택합니다.

   테넌트에 할당된 모든 서버에 대해 이 절차를 반복합니다.

   다음 절차에서는 사용자가 만든 변수를 $TARole 사용합니다.

VMM에서 테넌트 셀프 서비스 사용자 역할 만들기

1. 다음 명령을 입력하여 만든 테넌트에 대한 SPF에서 셀프 서비스 사용자를 만듭니다.

   PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
   

2. 다음 명령을 입력하여 VMM에서 해당 테넌트 사용자 역할을 만듭니다.

   PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
   
   

3. 사용자 역할이 VMM 관리 콘솔의 설정 작업 영역의 사용자 역할에 나열되어 있는지 확인하여 사용자 역할이 생성되었는지 확인합니다. 역할의 부모는 테넌트 관리자라는 점에 유의하십시오.

각 테넌트에 대해 필요에 따라 이 절차를 반복합니다.