在SPF中管理租用戶和使用者角色

重要

此版本的 Service Provider Foundation (SPF) 已終止支援;我們建議您 升級至SPF 2022。

System Center - Service Provider Foundation (SPF) 不會建立使用者角色或定義其範圍。 若要設定租使用者，您需要用來驗證代表租用戶進行的宣告的憑證公鑰。

建立憑證

如果您沒有要使用的現有 CA 憑證，您可以產生自我簽署憑證。 您可以從憑證匯出公開和私鑰，並將公鑰與租用戶產生關聯。

取得自我簽署憑證

使用 makecert.exe (憑證建立工具) 建立憑證。

1. 以系統管理員身分開啟命令提示字元。

2. 執行下列命令以產生憑證：

   makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
   

3. 這個命令會將憑證放在目前使用者憑證存放區中。 若要存取它，請在 [ 開始 ] 畫面上輸入 certmgr.msc ，然後在 [應用程式 ] 結果中選取 certmgr.msc。 在 certmgr 視窗中，選取 [ 憑證 - 目前使用者>個人>憑證 ] 資料夾。

匯出公鑰

1. 以滑鼠右鍵按兩下憑證 > [所有工作>導出]。
2. 在 [匯出私鑰] 中，選擇 [ 否]，不要匯出私鑰>[下一步]。
3. 在 [導出檔格式] 中，選取 [Base-64 編碼的 X.509 (]。CER) >Next。
4. 在 [要導出的檔案] 中，指定憑證 > [下一步] 的路徑和檔名。
5. 在 [完成憑證導出精靈] 中，選取 [ 完成]。

若要使用PowerShell匯出，請執行：

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

匯出私密金鑰

1. 以滑鼠右鍵按兩下憑證 > [所有工作>導出]。
2. 在 [匯出私鑰] 中，選擇 [是]，接著匯出私鑰>。 如果此選項無法使用，而且您產生自我簽署憑證，請確定它包含 -pe 選項。
3. 在 [匯出檔格式] 中，選取 [個人信息交換 - PKCS #12 (]。PFX) 。 如果可能，請確定已選取 [ 在認證路徑中包含所有憑證 ]，然後選取 [ 下一步]。
4. 在 [要導出的檔案] 中，指定憑證 > [下一步] 的路徑和檔名。
5. 在 [完成憑證導出精靈] 中，選取 [ 完成]。

建立租使用者

Service Provider Foundation 不會建立使用者角色或定義其範圍 (，例如雲端) 、資源或動作。 相反地， New-SCSPFTenantUserRole Cmdlet 會為具有使用者角色名稱的租使用者建立關聯。 建立該關聯時，它也會產生標識符，以用於在 System Center 2016 - Virtual Machine Manager 中建立角色的對應標識符。

您也可以使用開發人員指南，使用 管理員 OData 通訊協定服務來建立使用者角色。

1. 以系統管理員身分執行 SPF 命令殼層。

2. 輸入下列命令以建立租用戶。 此命令假設 $key 變數包含公鑰。

   PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
   

3. 執行此命令，以確認已成功匯入租用戶的公鑰：

   PS C:\> Get-SCSPFTrustedIssuer  
   

   下一個程式會使用您建立的 $tenant 變數。

在 VMM 中建立租用戶系統管理員角色

1. 輸入下列命令，並同意此項 Windows PowerShell 命令殼層提高權限：

   PS C:\> Set-Executionpolicy remotesigned  
   

2. 輸入下列命令以匯入 VMM 模組：

   PS C:\> Import-Module virtualmachinemanager  
   

3. 使用 Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole Cmdlet 來建立使用者角色。 此命令假設已 $tenant 如上述程式所述所建立的變數。

   PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
   
   

   警告

   請注意，如果先前使用 VMM 管理控制台建立使用者角色，Cmdlet 所 New\-SCSUserRole 指定的角色將會覆寫其許可權。

4. 確認使用者角色已建立，方法是確認該角色列在 VMM 管理控制台的 [設定] 工作區的 [使用者角色] 中。

5. 選取角色並選取工具列上的 [屬性 ]，以定義角色的下列專案：

   • 在 [ 範圍] 上，選取一或多個雲端。

   • 在 [資源] 上，新增任何資源，例如範本。

   • 在 [ 動作] 上，選取一或多個動作。

   針對指派給租用戶的每一部伺服器重複執行此程序。

   下一個程式會使用您建立的 $TARole 變數。

在 VMM 中建立租使用者自助使用者角色

1. 輸入下列命令，以針對您所建立的租使用者，在SPF中建立自助使用者：

   PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
   

2. 輸入下列命令，在 VMM 中建立對應的租用戶使用者角色：

   PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
   
   

3. 確認使用者角色已建立，方法是確認該角色列在 VMM 管理控制台的 [設定] 工作區的 [使用者角色] 中。 請注意，該角色的上層是租用戶系統管理員。

視需要為每個租用戶重複此程式。