SPF でテナントとユーザー ロールを管理する
重要
このバージョンの Service Provider Foundation (SPF) はサポート終了に達しました。 SPF 2022 にアップグレードすることをお勧めします。
System Center - Service Provider Foundation (SPF) では、ユーザー ロールの作成やスコープの定義は行われません。 テナントを設定するには、テナントに代わって行われた要求を検証するために使用される証明書公開キーが必要です。
証明書を作成する
使用する既存の CA 証明書がない場合は、自己署名証明書を生成できます。 証明書から公開キーと秘密キーをエクスポートし、公開キーをテナントに関連付けることができます。
自己署名証明書の取得
(証明書作成ツール) を使用して証明書を makecert.exe
作成します。
管理者としてコマンド プロンプトを開きます。
次のコマンドを実行して、証明書を生成します。
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
このコマンドは、証明書を現在のユーザー証明書ストアに作成します。 アクセスするには、[ スタート ] 画面で「 certmgr.msc 」と入力し、[ アプリ の結果] で [certmgr.msc] を選択します。 [certmgr] ウィンドウで、[証明書 - 現在のユーザー>個人>証明書] フォルダーを選択します。
公開キーをエクスポートする
- 証明書 > [すべてのタスク>のエクスポート] を右クリックします。
- [秘密キーのエクスポート] で、[いいえ、秘密キー>をエクスポートしない] [次へ] を選択します。
- [ ファイル形式のエクスポート] で、 Base-64 でエンコードされた X.509 () を選択します。CER)>次へ。
- [ エクスポートするファイル] で、証明書 >Next のパスとファイル名を指定します。
- [証明書のエクスポート ウィザードの完了] で、[完了] を選択します。
PowerShell を使用してエクスポートするには、次を実行します。
``S C:\> $path = "C:\Temp\tenant4D.cer"
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``
秘密キーをエクスポートします
- 証明書 > [すべてのタスク>のエクスポート] を右クリックします。
- [秘密キーのエクスポート] で、[はい、秘密キー>をエクスポートする] [次へ] を選択します。 このオプションを使用できない場合に自己署名証明書を生成した場合は、-pe オプションが含まれていることを確認してください。
- [ ファイル形式のエクスポート] で、[ 個人情報の交換 ] - [PKCS] #12 () を選択します。PFX)。 [可能な場合は証明書パスにすべての証明書を含める] が選択されていることを確認し、[次へ] を選択します。
- [ エクスポートするファイル] で、証明書 >Next のパスとファイル名を指定します。
- [証明書のエクスポート ウィザードの完了] で、[完了] を選択します。
テナントを作成する
Service Provider Foundation では、ユーザー ロールを作成したり、スコープ (クラウドなど)、リソース、アクションを定義したりすることはありません。 代わりに、 コマンドレットは New-SCSPFTenantUserRole
、ユーザー ロール名を持つテナントの関連付けを作成します。 その関連付けが作成されると、System Center 2016 - Virtual Machine Manager でロールを作成するために対応する ID に使用できる ID も生成されます。
開発者ガイドを使用して、管理 OData プロトコル サービスを使用してユーザー ロールを作成することもできます。
SPF コマンド シェルを管理者として実行します。
次のコマンドを入力して、テナントを作成します。 このコマンドは、変数に
$key
公開キーが含まれていることを前提としています。PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key
次のコマンドを実行して、テナントの公開キーが正常にインポートされたことを確認します。
PS C:\> Get-SCSPFTrustedIssuer
次のプロシージャでは、作成した
$tenant
変数を使用します。
VMM でテナント管理者ロールを作成する
次のコマンドを入力して、Windows PowerShell コマンド シェルの昇格に同意します。
PS C:\> Set-Executionpolicy remotesigned
次のコマンドを入力して VMM モジュールをインポートします。
PS C:\> Import-Module virtualmachinemanager
Windows PowerShell
T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole
コマンドレットを使用して、ユーザー ロールを作成します。 このコマンドは、上記の$tenant
手順で説明したように作成された変数を前提としています。PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
注意事項
ユーザー ロールが VMM 管理コンソールを使用して以前に作成された場合、そのアクセス許可は コマンドレットで指定されたものによって
New\-SCSUserRole
上書きされることに注意してください。VMM 管理コンソールの [設定] ワークスペースの [ユーザー ロール] に表示されていることを確認して、ユーザー ロールが作成されたことを確認します。
ロールを選択し、ツール バーの [プロパティ ] を選択して、ロールに対して以下を定義します。
[ スコープ] で、1 つ以上のクラウドを選択します。
[ リソース] で、テンプレートなどのリソースを追加します。
[ アクション] で、1 つ以上のアクションを選択します。
この手順を、テナントに割り当てられているすべてのサーバーに対して繰り返します。
次のプロシージャでは、作成した
$TARole
変数を使用します。
VMM でテナントのセルフサービス ユーザー ロールを作成する
次のコマンドを入力して、作成したテナントのセルフサービス ユーザーを SPF に作成します。
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
次のコマンドを入力して、VMM で対応するテナント ユーザー ロールを作成します。
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
VMM 管理コンソールの [設定] ワークスペースの [ユーザー ロール] に表示されていることを確認して、ユーザー ロールが作成されたことを確認します。 ロールの親はテナント管理者であることに注意してください。
必要に応じて、テナントごとにこの手順を繰り返します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示