Sdílet prostřednictvím

Správa tenantů a uživatelských rolí v SPF

  • Článek

Důležité

Tato verze Service Provider Foundation (SPF) dosáhla konce podpory. doporučujeme upgradovat na SPF 2022.

System Center – Service Provider Foundation (SPF) nevytovávají role uživatelů ani nedefinují jejich rozsah. K nastavení tenantů potřebujete veřejný klíč certifikátu, který se používá k ověřování deklarací vytvořených jménem tenanta.

Vytvoření certifikátu

Pokud nemáte existující certifikát certifikační autority, který byste mohli použít, můžete vygenerovat certifikát podepsaný svým držitelem. Z certifikátu můžete exportovat veřejné a privátní klíče a přidružit veřejný klíč k tenantovi.

Získání certifikátu podepsaného svým držitelem

Vytvořte certifikát pomocí makecert.exe nástroje pro vytvoření certifikátu.

  1. Jako správce otevřete příkazový řádek.

  2. Vygenerujte certifikát spuštěním následujícího příkazu:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

  3. Tento příkaz vloží certifikát do úložiště certifikátů aktuálního uživatele. Přístup k němu získáte tak, že na obrazovce Start zadáte certmgr.msc a pak ve výsledcích aplikace vyberete certmgr.msc. V okně nástroje certmgr vyberte Certifikáty – složkuOsobní>certifikáty aktuálního uživatele>.

Export veřejného klíče

  1. Klikněte pravým tlačítkem na certifikát >Všechny úkoly>Exportovat.
  2. V části Exportovat privátní klíč zvolte Ne, neexportovat privátní klíč>Další.
  3. V části Formát souboru exportu vyberte X.509 s kódováním Base-64 (. CER)>Další.
  4. V části Soubor k exportu zadejte cestu a název souboru certifikátu >Next.
  5. V části Dokončení Průvodce exportem certifikátu vyberte Dokončit.

Pokud chcete exportovat pomocí PowerShellu, spusťte:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Export privátního klíče

  1. Klikněte pravým tlačítkem na certifikát >Všechny úkoly>Exportovat.
  2. V části Exportovat privátní klíč zvolte Ano, exportovat privátní klíč>Další. Pokud tato možnost není dostupná a vygenerovali jste certifikát podepsaný svým držitelem, ujistěte se, že obsahuje možnost -pe.
  3. V části Exportovat formát souboru vyberte Personal Information Exchange – PKCS #12 (. PFX) Ujistěte se, že je v cestě k certifikátu vybraná možnost Zahrnout všechny certifikáty, pokud je to možné , a vyberte Další.
  4. V části Soubor k exportu zadejte cestu a název souboru certifikátu >Next.
  5. V části Dokončení Průvodce exportem certifikátu vyberte Dokončit.

Vytvoření tenanta

Service Provider Foundation nevytovávají role uživatelů ani nedefinují jejich rozsah (například cloudy), prostředky ani akce. Místo toho rutina New-SCSPFTenantUserRole vytvoří přidružení pro tenanta s názvem role uživatele. Při vytvoření přidružení se také vygeneruje ID, které se dá použít pro odpovídající ID pro vytvoření role v nástroji System Center 2016 – Virtual Machine Manager.

Role uživatelů můžete vytvořit také pomocí služby protokolu Správa OData podle příručky pro vývojáře.

  1. Spusťte příkazové prostředí SPF jako správce.

  2. Zadáním následujícího příkazu vytvořte tenanta. Tento příkaz předpokládá, že $key proměnná obsahuje veřejný klíč.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key

  3. Spuštěním tohoto příkazu ověřte, že se veřejný klíč pro tenanta úspěšně naimportoval:

    PS C:\> Get-SCSPFTrustedIssuer

    Další postup používá proměnnou $tenant , kterou jste vytvořili.

Vytvoření role správce tenanta v nástroji VMM

  1. Zadejte následující příkaz a povolte toto zvýšení úrovně oprávnění pro příkazové okno PowerShell systému Windows:

    PS C:\> Set-Executionpolicy remotesigned

  2. Zadejte následující příkaz pro import modulu VMM:

    PS C:\> Import-Module virtualmachinemanager

  3. K vytvoření role uživatele použijte rutinu Windows PowerShellT:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole. Tento příkaz předpokládá proměnnou $tenant , která byla vytvořena, jak je popsáno v předchozím postupu.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin

    Upozornění

    Všimněte si, že pokud byla role uživatele dříve vytvořená pomocí konzoly pro správu VMM, její oprávnění by se přepsala oprávnění určená pomocí rutiny New\-SCSUserRole .

  4. Ověřte, že byla vytvořena role uživatele, a to tak, že ověříte, že je uvedená v pracovním prostoru Role uživatele v nastavení v konzole pro správu VMM.

  5. Výběrem role a výběrem možnosti Vlastnosti na panelu nástrojů definujte pro roli následující:

    • V části Obor vyberte jeden nebo více cloudů.

    • V části Prostředky přidejte všechny prostředky, jako jsou šablony.

    • V části Akce vyberte jednu nebo více akcí.

    Tento postup zopakujte pro každý server přiřazený klientovi.

    Další postup používá proměnnou $TARole , kterou jste vytvořili.

Vytvoření role samoobslužného uživatele tenanta v nástroji VMM

  1. Zadáním následujícího příkazu vytvořte uživatele samoobslužné služby v SPF pro tenanta, který jste vytvořili:

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. Zadáním následujícího příkazu vytvořte v nástroji VMM odpovídající roli uživatele tenanta:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. Ověřte, že byla vytvořena role uživatele, a to tak, že ověříte, že je uvedená v pracovním prostoru Role uživatele v nastavení v konzole pro správu VMM. Všimněte si, že nadřazený objekt role je správce klienta.

Tento postup opakujte podle potřeby pro každého tenanta.