Verwalten von Mandanten und Benutzerrollen in SPF

Wichtig

Diese Version von Service Provider Foundation (SPF) hat das Ende des Support erreicht. Es wird empfohlen, ein Upgrade auf SPF 2019 zu durchführen.

System Center: Service Provider Foundation (SPF) erstellt keine Benutzerrollen oder definiert deren Bereich. Zum Einrichten von Mandanten benötigen Sie einen öffentlichen Zertifikatschlüssel, der zum Überprüfen von Ansprüchen verwendet wird, die für einen Mandanten (oder im Auftrag von) gestellt wurden.

Erstellen eines Zertifikats

Wenn Sie über kein vorhandenes Zertifizierungsstellenzertifikat verfügen, können Sie ein selbstsigniertes Zertifikat generieren. Sie können öffentliche und private Schlüssel aus dem Zertifikat exportieren und den öffentlichen Schlüssel einem Mandanten zuordnen.

Abrufen eines selbstsignierten Zertifikats

Erstellen Sie ein Zertifikat mit makecert.exe (Zertifikaterstellungstool).

  1. Öffnen Sie eine Eingabeaufforderung als Administrator.

  2. Generieren Sie das Zertifikat, indem Sie den folgenden Befehl ausführen:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
    
  3. Mit diesem Befehl wird das Zertifikat im Zertifikatspeicher des aktuellen Benutzers abgelegt. Um darauf zu zugreifen, geben Sie auf dem Startbildschirmcertmgr.msc ein, und klicken Sie dann in den Apps-Ergebnissenauf certmgr.msc. Klicken Sie im Certmgr-Fenster auf den Ordner Zertifikate – AktuellepersönlicheBenutzerzertifikate.

Exportieren des öffentlichen Schlüssels

  1. Klicken Sie mit der rechten Maustaste auf das >>>>.
  2. Wählen Sie unter Privaten Schlüssel exportierendie Option Nein, privatenSchlüssel nicht exportieren Weiter aus.
  3. Wählen Sie unter Dateiformat exportierendie Option Base64-codiert X.509 (. CER)Weiter.
  4. Geben Sie unter Zu exportierendeDatei einen Pfad und Dateinamen für das Zertifikat Next an.
  5. Klicken Sie im Assistenten zum Abschließen des Zertifikatexportsauf Fertig stellen.

Führen Sie zum Exportieren mithilfe von Power Shell: ''S C: > $path = "C:\Temp\tenant4D.cer" aus.

PS C: > $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)

PS C: > $key = [Convert]::ToBase64String($cert. RawData)''

Privaten Schlüssel exportieren

  1. Klicken Sie mit der rechten Maustaste auf das >>>>.
  2. Wählen Sie unter Privaten Schlüssel exportierendie Option Ja, privaten Schlüssel exportierenWeiter aus. Wenn diese Option nicht verfügbar ist und Sie ein selbstsigniertes Zertifikat generiert haben, stellen Sie sicher, dass die Option -pe enthalten ist.
  3. Wählen Sie unter Dateiformat exportierendie Option Persönliche Informationen Exchange – PKCS #12 (. PFX). Stellen Sie sicher, dass Nach Möglichkeit alle Zertifikate im Zertifizierungspfad enthalten ausgewählt ist, und klicken Sie auf Weiter.
  4. Geben Sie unter Zu exportierendeDatei einen Pfad und Dateinamen für das Zertifikat Next an.
  5. Klicken Sie im Assistenten zum Abschließen des Zertifikatexportsauf Fertig stellen.

Erstellen des Mandanten

Service Provider Foundation erstellt keine Benutzerrollen oder definiert deren Bereich (z. B. Clouds), Ressourcen oder Aktionen. Stattdessen wird vom Cmdlet New-SCSPFTenantUserRole eine Zuordnung von einem Mandanten mit dem Namen einer Benutzerrolle vorgenommen. Wenn diese Zuordnung erstellt wird, wird auch eine ID generiert, die für die entsprechende ID zum Erstellen der Rolle in System Center 2016 - Virtual Machine Manager.

Sie können Benutzerrollen auch mithilfe des Admin OData-Protokolldiensts erstellen, indem Sie das Entwicklerhandbuch verwenden.

  1. Führen Sie die SPF-Befehlsshell als Administrator aus.

  2. Geben Sie den folgenden Befehl ein, um den Mandanten zu erstellen. Bei diesem Befehl wird davon ausgegangen, $key dass die Variable den öffentlichen Schlüssel enthält.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
    
  3. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der öffentliche Schlüssel für den Mandanten erfolgreich importiert wurde:

    PS C:\> Get-SCSPFTrustedIssuer  
    

    Bei der nächsten Vorgehensweise wird die von Ihnen gerade erstellte Variable $tenant verwendet.

Erstellen einer Mandantenadministratorrolle in VMM

  1. Geben Sie den folgenden Befehl ein, und stimmen Sie der Erhöhung der Rechte für die Windows PowerShell-Befehlsshell zu:

    PS C:\> Set-Executionpolicy remotesigned  
    
  2. Geben Sie den folgenden Befehl ein, um das VMM-Modul zu importieren:

    PS C:\> Import-Module virtualmachinemanager  
    
  3. Erstellen Sie die Benutzerrolle mit dem Windows PowerShell-Cmdlet T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole . Dieser Befehl geht von der $tenant Variablen aus, die wie im obigen Verfahren beschrieben erstellt wurde.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
    
    

    Achtung

    Beachten Sie: Wenn die Benutzerrolle zuvor mithilfe der VMM-Verwaltungskonsole erstellt wurde, werden ihre Berechtigungen durch die berechtigungen überschrieben, die vom New-SCSUserRole-Cmdlet angegeben werden.

  4. Überprüfen Sie, ob die Benutzerrolle erstellt wurde, indem Sie überprüfen, ob sie in der VMM-Verwaltungskonsole unter Einstellungen-Arbeitsbereich aufgeführt ist.

  5. Legen Sie für die Rolle Folgendes fest, in dem Sie die Rolle auswählen und auf der Symbolleiste auf Eigenschaften klicken:

    • Wählen Sie auf der Registerkarte Bereich eine oder mehrere Clouds aus.

    • Fügen Sie auf der Registerkarte Ressourcen beliebige Ressourcen hinzu, z. B. Vorlagen.

    • Wählen Sie auf der Registerkarte Aktionen eine oder mehrere Aktionen aus.

    Wiederholen Sie diesen Vorgang für jeden dem Mandanten zugeordneten Server.

    Bei der nächsten Vorgehensweise wird die von Ihnen gerade erstellte Variable $TARole verwendet.

Erstellen einer Self-Service-Benutzerrolle für Mandanten in VMM

  1. Geben Sie den folgenden Befehl ein, um einen Self-Service-Benutzer in SPF für den von Ihnen erstellten Mandanten zu erstellen.

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
    
  2. Erstellen Sie die entsprechende Mandantenbenutzerrolle in VMM, indem Sie den folgenden Befehl eingeben:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
    
    
  3. Überprüfen Sie, ob die Benutzerrolle erstellt wurde, indem Sie überprüfen, ob sie in der VMM-Verwaltungskonsole unter Einstellungen-Arbeitsbereich aufgeführt ist. Beachten Sie, dass die übergeordnete Rolle dieser Rolle der Mandantenadministrator ist.

Wiederholen Sie dieses Verfahren bei Bedarf für jeden Mandanten.