Gestire tenant e ruoli utente in SPF

Articolo
03/07/2024

Importante

Questa versione di Service Provider Foundation (SPF) ha raggiunto la fine del supporto; è consigliabile eseguire l'aggiornamento a SPF 2022.

System Center - Service Provider Foundation (SPF) non crea ruoli utente o ne definisce l'ambito. Per configurare i tenant, è necessaria una chiave pubblica del certificato usata per convalidare le attestazioni effettuate per conto di un tenant.

Creare un certificato

Se non si dispone di un certificato CA esistente da usare, è possibile generare un certificato autofirmato. È possibile esportare chiavi pubbliche e private dal certificato e associare la chiave pubblica a un tenant.

Ottenere un certificato autofirmato.

Creare un certificato usando makecert.exe (Strumento di creazione certificati).

Aprire un prompt dei comandi come amministratore.

Generare il certificato eseguendo il comando riportato di seguito:

makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

Questo comando consente di inserire il certificato nell'archivio certificati dell'utente corrente. Per accedervi, nella schermata Start immettere certmgr.msc e quindi nei risultati delle app selezionare certmgr.msc. Nella finestra certmgr selezionare Certificati - CartellaCertificatipersonali>utente> corrente.

Esportare la chiave pubblica

Fare clic con il pulsante destro del mouse sul certificato >Tutte le attività>Esporta.
In Esporta chiave privata scegliere No, non esportare la chiave> privataAvanti.
In Formato file di esportazione selezionare X.509 con codifica Base 64 (. CER)>Avanti.
In File da esportare specificare un percorso e un nome file per il certificato >Avanti.
In Completamento dell'Esportazione guidata certificati selezionare Fine.

Per esportare con PowerShell, eseguire:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Esportazione della chiave privata

Fare clic con il pulsante destro del mouse sul certificato >Tutte le attività>Esporta.
In Esporta chiave privata scegliere Sì, esportare la chiave> privataAvanti. Se questa opzione non è disponibile e è stato generato un certificato autofirmato, assicurarsi che includa l'opzione -pe.
In Formato file di esportazione selezionare Scambio di informazioni personali - PKCS #12 (. PFX). Assicurarsi di selezionare Includi tutti i certificati nel percorso di certificazione, se possibile , e selezionare Avanti.
In File da esportare specificare un percorso e un nome file per il certificato >Avanti.
In Completamento dell'Esportazione guidata certificati selezionare Fine.

Creare il tenant

Service Provider Foundation non crea ruoli utente o ne definisce l'ambito ,ad esempio cloud, risorse o azioni. Il cmdlet crea invece New-SCSPFTenantUserRole un'associazione per un tenant con un nome di ruolo utente. Quando questa associazione viene creata, genera anche un ID che può essere usato per l'ID corrispondente per la creazione del ruolo in System Center 2016 - Virtual Machine Manager.

È anche possibile creare ruoli utente usando il servizio protocollo OData Amministrazione usando la guida per gli sviluppatori.

Eseguire la shell dei comandi SPF come amministratore.
Immettere il seguente comando per la creazione del tenant. Questo comando presuppone che la $key variabile contenga la chiave pubblica.
```
PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
```
Eseguire questo comando per verificare che la chiave pubblica per il tenant sia stata importata correttamente:
```
PS C:\> Get-SCSPFTrustedIssuer  
```
La procedura successiva usa la $tenant variabile creata.

Creare un ruolo di amministratore tenant in VMM

Immettere il seguente comando e accettare l'elevazione dei privilegi per la shell dei comandi di Windows PowerShell:
```
PS C:\> Set-Executionpolicy remotesigned  
```
Immettere il comando seguente per importare il modulo VMM:
```
PS C:\> Import-Module virtualmachinemanager  
```
Usare il cmdlet Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole per creare il ruolo utente. Questo comando presuppone la $tenant variabile creata come descritto nella procedura precedente.
```
PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
```
Attenzione

Si noti che se il ruolo utente è stato creato in precedenza tramite la console di amministrazione di VMM, le relative autorizzazioni verrebbero sovrascritte da quelle specificate dal New\-SCSUserRole cmdlet .
Verificare che il ruolo utente sia stato creato verificando che sia elencato nell'area di lavoro Ruoli utente nell'area di lavoro Impostazioni della console di amministrazione di VMM.
Definire quanto segue per il ruolo selezionando il ruolo e selezionando Proprietà sulla barra degli strumenti:
- In Ambito selezionare uno o più cloud.
- In Risorse aggiungere tutte le risorse, ad esempio i modelli.
- In Azioni selezionare una o più azioni.
Ripetere questa procedura per ogni server assegnato al tenant.

La procedura successiva usa la $TARole variabile creata.

Creare un ruolo utente self-service tenant in VMM

Immettere il comando seguente per creare un utente self-service in SPF per il tenant creato:

PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

Creare il ruolo utente tenant corrispondente in VMM immettendo il comando seguente:

PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

Verificare che il ruolo utente sia stato creato verificando che sia elencato nell'area di lavoro Ruoli utente nell'area di lavoro Impostazioni della console di amministrazione di VMM. Si noti che l'elemento padre del ruolo è l'amministratore del tenant.

Ripetere questa procedura in base alle esigenze per ogni tenant.