Správa tenantů a uživatelských rolí v SPF
Důležité
Tato verze Service Provider Foundation (SPF) dosáhla konce podpory. doporučujeme upgradovat na SPF 2022.
System Center – Service Provider Foundation (SPF) nevytovávají role uživatelů ani nedefinují jejich rozsah. K nastavení tenantů potřebujete veřejný klíč certifikátu, který se používá k ověřování deklarací vytvořených jménem tenanta.
Vytvoření certifikátu
Pokud nemáte existující certifikát certifikační autority, který byste mohli použít, můžete vygenerovat certifikát podepsaný svým držitelem. Z certifikátu můžete exportovat veřejné a privátní klíče a přidružit veřejný klíč k tenantovi.
Získání certifikátu podepsaného svým držitelem
Vytvořte certifikát pomocí makecert.exe
nástroje pro vytvoření certifikátu.
Jako správce otevřete příkazový řádek.
Vygenerujte certifikát spuštěním následujícího příkazu:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
Tento příkaz vloží certifikát do úložiště certifikátů aktuálního uživatele. Přístup k němu získáte tak, že na obrazovce Start zadáte certmgr.msc a pak ve výsledcích aplikace vyberete certmgr.msc. V okně nástroje certmgr vyberte Certifikáty – složkuOsobní>certifikáty aktuálního uživatele>.
Export veřejného klíče
- Klikněte pravým tlačítkem na certifikát >Všechny úkoly>Exportovat.
- V části Exportovat privátní klíč zvolte Ne, neexportovat privátní klíč>Další.
- V části Formát souboru exportu vyberte X.509 s kódováním Base-64 (. CER)>Další.
- V části Soubor k exportu zadejte cestu a název souboru certifikátu >Next.
- V části Dokončení Průvodce exportem certifikátu vyberte Dokončit.
Pokud chcete exportovat pomocí PowerShellu, spusťte:
``S C:\> $path = "C:\Temp\tenant4D.cer"
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``
Export privátního klíče
- Klikněte pravým tlačítkem na certifikát >Všechny úkoly>Exportovat.
- V části Exportovat privátní klíč zvolte Ano, exportovat privátní klíč>Další. Pokud tato možnost není dostupná a vygenerovali jste certifikát podepsaný svým držitelem, ujistěte se, že obsahuje možnost -pe.
- V části Exportovat formát souboru vyberte Personal Information Exchange – PKCS #12 (. PFX) Ujistěte se, že je v cestě k certifikátu vybraná možnost Zahrnout všechny certifikáty, pokud je to možné , a vyberte Další.
- V části Soubor k exportu zadejte cestu a název souboru certifikátu >Next.
- V části Dokončení Průvodce exportem certifikátu vyberte Dokončit.
Vytvoření tenanta
Service Provider Foundation nevytovávají role uživatelů ani nedefinují jejich rozsah (například cloudy), prostředky ani akce. Místo toho rutina New-SCSPFTenantUserRole
vytvoří přidružení pro tenanta s názvem role uživatele. Při vytvoření přidružení se také vygeneruje ID, které se dá použít pro odpovídající ID pro vytvoření role v nástroji System Center 2016 – Virtual Machine Manager.
Role uživatelů můžete vytvořit také pomocí služby protokolu Správa OData podle příručky pro vývojáře.
Spusťte příkazové prostředí SPF jako správce.
Zadáním následujícího příkazu vytvořte tenanta. Tento příkaz předpokládá, že
$key
proměnná obsahuje veřejný klíč.PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key
Spuštěním tohoto příkazu ověřte, že se veřejný klíč pro tenanta úspěšně naimportoval:
PS C:\> Get-SCSPFTrustedIssuer
Další postup používá proměnnou
$tenant
, kterou jste vytvořili.
Vytvoření role správce tenanta v nástroji VMM
Zadejte následující příkaz a povolte toto zvýšení úrovně oprávnění pro příkazové okno PowerShell systému Windows:
PS C:\> Set-Executionpolicy remotesigned
Zadejte následující příkaz pro import modulu VMM:
PS C:\> Import-Module virtualmachinemanager
K vytvoření role uživatele použijte rutinu Windows PowerShell
T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole
. Tento příkaz předpokládá proměnnou$tenant
, která byla vytvořena, jak je popsáno v předchozím postupu.PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
Upozornění
Všimněte si, že pokud byla role uživatele dříve vytvořená pomocí konzoly pro správu VMM, její oprávnění by se přepsala oprávnění určená pomocí rutiny
New\-SCSUserRole
.Ověřte, že byla vytvořena role uživatele, a to tak, že ověříte, že je uvedená v pracovním prostoru Role uživatele v nastavení v konzole pro správu VMM.
Výběrem role a výběrem možnosti Vlastnosti na panelu nástrojů definujte pro roli následující:
V části Obor vyberte jeden nebo více cloudů.
V části Prostředky přidejte všechny prostředky, jako jsou šablony.
V části Akce vyberte jednu nebo více akcí.
Tento postup zopakujte pro každý server přiřazený klientovi.
Další postup používá proměnnou
$TARole
, kterou jste vytvořili.
Vytvoření role samoobslužného uživatele tenanta v nástroji VMM
Zadáním následujícího příkazu vytvořte uživatele samoobslužné služby v SPF pro tenanta, který jste vytvořili:
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
Zadáním následujícího příkazu vytvořte v nástroji VMM odpovídající roli uživatele tenanta:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
Ověřte, že byla vytvořena role uživatele, a to tak, že ověříte, že je uvedená v pracovním prostoru Role uživatele v nastavení v konzole pro správu VMM. Všimněte si, že nadřazený objekt role je správce klienta.
Tento postup opakujte podle potřeby pro každého tenanta.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro