在SPF中管理租用戶和使用者角色
重要
此版本的 Service Provider Foundation (SPF) 已終止支援;我們建議您 升級至SPF 2022。
System Center - Service Provider Foundation (SPF) 不會建立使用者角色或定義其範圍。 若要設定租使用者,您需要用來驗證代表租用戶進行的宣告的憑證公鑰。
建立憑證
如果您沒有要使用的現有 CA 憑證,您可以產生自我簽署憑證。 您可以從憑證匯出公開和私鑰,並將公鑰與租用戶產生關聯。
取得自我簽署憑證
使用 makecert.exe
(憑證建立工具) 建立憑證。
以系統管理員身分開啟命令提示字元。
執行下列命令以產生憑證:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
這個命令會將憑證放在目前使用者憑證存放區中。 若要存取它,請在 [ 開始 ] 畫面上輸入 certmgr.msc ,然後在 [應用程式 ] 結果中選取 certmgr.msc。 在 certmgr 視窗中,選取 [ 憑證 - 目前使用者>個人>憑證 ] 資料夾。
匯出公鑰
- 以滑鼠右鍵按兩下憑證 > [所有工作>導出]。
- 在 [匯出私鑰] 中,選擇 [ 否],不要匯出私鑰>[下一步]。
- 在 [導出檔格式] 中,選取 [Base-64 編碼的 X.509 (]。CER) >Next。
- 在 [要導出的檔案] 中,指定憑證 > [下一步] 的路徑和檔名。
- 在 [完成憑證導出精靈] 中,選取 [ 完成]。
若要使用PowerShell匯出,請執行:
``S C:\> $path = "C:\Temp\tenant4D.cer"
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``
匯出私密金鑰
- 以滑鼠右鍵按兩下憑證 > [所有工作>導出]。
- 在 [匯出私鑰] 中,選擇 [是],接著匯出私鑰>。 如果此選項無法使用,而且您產生自我簽署憑證,請確定它包含 -pe 選項。
- 在 [匯出檔格式] 中,選取 [個人信息交換 - PKCS #12 (]。PFX) 。 如果可能,請確定已選取 [ 在認證路徑中包含所有憑證 ],然後選取 [ 下一步]。
- 在 [要導出的檔案] 中,指定憑證 > [下一步] 的路徑和檔名。
- 在 [完成憑證導出精靈] 中,選取 [ 完成]。
建立租使用者
Service Provider Foundation 不會建立使用者角色或定義其範圍 (,例如雲端) 、資源或動作。 相反地, New-SCSPFTenantUserRole
Cmdlet 會為具有使用者角色名稱的租使用者建立關聯。 建立該關聯時,它也會產生標識符,以用於在 System Center 2016 - Virtual Machine Manager 中建立角色的對應標識符。
您也可以使用開發人員指南,使用 管理員 OData 通訊協定服務來建立使用者角色。
以系統管理員身分執行 SPF 命令殼層。
輸入下列命令以建立租用戶。 此命令假設
$key
變數包含公鑰。PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key
執行此命令,以確認已成功匯入租用戶的公鑰:
PS C:\> Get-SCSPFTrustedIssuer
下一個程式會使用您建立的
$tenant
變數。
在 VMM 中建立租用戶系統管理員角色
輸入下列命令,並同意此項 Windows PowerShell 命令殼層提高權限:
PS C:\> Set-Executionpolicy remotesigned
輸入下列命令以匯入 VMM 模組:
PS C:\> Import-Module virtualmachinemanager
使用 Windows PowerShell
T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole
Cmdlet 來建立使用者角色。 此命令假設已$tenant
如上述程式所述所建立的變數。PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
警告
請注意,如果先前使用 VMM 管理控制台建立使用者角色,Cmdlet 所
New\-SCSUserRole
指定的角色將會覆寫其許可權。確認使用者角色已建立,方法是確認該角色列在 VMM 管理控制台的 [設定] 工作區的 [使用者角色] 中。
選取角色並選取工具列上的 [屬性 ],以定義角色的下列專案:
在 [ 範圍] 上,選取一或多個雲端。
在 [資源] 上,新增任何資源,例如範本。
在 [ 動作] 上,選取一或多個動作。
針對指派給租用戶的每一部伺服器重複執行此程序。
下一個程式會使用您建立的
$TARole
變數。
在 VMM 中建立租使用者自助使用者角色
輸入下列命令,以針對您所建立的租使用者,在SPF中建立自助使用者:
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
輸入下列命令,在 VMM 中建立對應的租用戶使用者角色:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
確認使用者角色已建立,方法是確認該角色列在 VMM 管理控制台的 [設定] 工作區的 [使用者角色] 中。 請注意,該角色的上層是租用戶系統管理員。
視需要為每個租用戶重複此程式。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應