Teilen über

Verwalten von Mandanten und Benutzerrollen in SPF

  • Artikel

In System Center - Service Provider Foundation (SPF) werden keine Benutzerrollen erstellt oder deren Umfang definiert. Um Mandantschaft einzurichten, benötigen Sie einen öffentlichen Schlüssel für ein Zertifikat, das zur Validierung von Forderungen im Namen eines Mandanten verwendet wird.

Erstellen eines Zertifikats

Wenn Sie kein vorhandenes CA-Zertifikat verwenden können, können Sie ein selbstsigniertes Zertifikat erstellen. Sie können öffentliche und private Schlüssel aus dem Zertifikat exportieren und den öffentlichen Schlüssel einem Mandanten zuordnen.

Ein selbstsigniertes Zertifikat abrufen

Erstellen Sie ein Zertifikat mit makecert.exe (Certificate Creation Tool).

  1. Öffnen Sie eine Eingabeaufforderung als Administrator.

  2. Erzeugen Sie das Zertifikat, indem Sie den folgenden Befehl ausführen:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

  3. Mit diesem Befehl wird das Zertifikat im aktuellen Benutzer-Zertifikatspeicher platziert. Um darauf zuzugreifen, geben Sie auf dem Bildschirm Start certmgr.msc ein und wählen dann in den Ergebnissen Apps certmgr.msc. Wählen Sie im Fenster certmgr den Ordner Zertifikate - Aktueller Benutzender>Persönlich>Zertifikate.

Exportieren des öffentlichen Schlüssels

  1. Klicken Sie mit der rechten Maustaste auf das Zertifikat >Alle Aufgaben>Exportieren.
  2. Wählen Sie unter Privaten Schlüssel exportieren Nein, den privaten Schlüssel nicht exportieren>Weiter.
  3. Wählen Sie unter Exportdateiformat die Option Base-64 kodiertes X.509 (.CER)>Weiter.
  4. Geben Sie unter Zu exportierende Datei einen Pfad und einen Dateinamen für das Zertifikat an >Weiter.
  5. Wählen Sie unter Abschluss des Zertifikats-Export-Assistenten die Option Fertigstellen.

Führen Sie Zum Exportieren mithilfe von PowerShell Folgendes aus:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Privaten Schlüssel exportieren

  1. Klicken Sie mit der rechten Maustaste auf das Zertifikat >Alle Aufgaben>Exportieren.
  2. Wählen Sie unter Privaten Schlüssel exportieren Ja, den privaten Schlüssel exportieren>Weiter. Wenn diese Option nicht verfügbar ist und Sie ein selbstsigniertes Zertifikat erstellt haben, stellen Sie sicher, dass es die Option -pe enthält.
  3. Wählen Sie unter Exportdateiformat die Option Austausch personenbezogener Informationen – PKCS #12 (.PFX). Stellen Sie sicher, dass Alle Zertifikate in den Zertifizierungspfad aufnehmen, wenn möglich ausgewählt ist und wählen Sie Weiter.
  4. Geben Sie unter Zu exportierende Datei einen Pfad und einen Dateinamen für das Zertifikat an >Weiter.
  5. Wählen Sie unter Abschluss des Zertifikats-Export-Assistenten die Option Fertigstellen.

Erstellen des Mandanten

Service Provider Foundation erstellt keine Benutzerrollen und definiert nicht deren Umfang (z. B. Clouds), Ressourcen oder Aktionen. Stattdessen erstellt das Cmdlet New-SCSPFTenantUserRole eine Zuordnung für einen Mandanten mit einem Benutzerrollennamen. Wenn diese Zuordnung erstellt wird, wird auch eine ID generiert, die als entsprechende ID für die Erstellung der Rolle in System Center 2016 - Virtual Machine Manager verwendet werden kann.

Sie können auch Benutzerrollen erstellen, indem Sie den Admin OData-Protokolldienst mit dem Entwicklerhandbuch verwenden.

  1. Führen Sie die SPF-Befehlsshell als Administrierende aus.

  2. Geben Sie den folgenden Befehl ein, um die Mandantschaft anzulegen. Bei diesem Befehl wird davon ausgegangen, dass die $key-Variable den öffentlichen Schlüssel enthält.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key

  3. Führen Sie diesen Befehl aus, um zu überprüfen, ob der öffentliche Schlüssel für den Mandanten erfolgreich importiert wurde:

    PS C:\> Get-SCSPFTrustedIssuer

    Das nächste Verfahren verwendet die Variable $tenant, die Sie erstellt haben.

Erstellen einer Mandanten-Administratorrolle in VMM

  1. Geben Sie den folgenden Befehl ein und stimmen Sie dieser Erhöhung für die Windows PowerShell-Befehlsshell zu:

    PS C:\> Set-Executionpolicy remotesigned

  2. Geben Sie den folgenden Befehl ein, um das VMM-Modul zu importieren:

    PS C:\> Import-Module virtualmachinemanager

  3. Verwenden Sie das Windows PowerShell-Cmdlet T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole , um die Benutzerrolle zu erstellen. Dieser Befehl setzt die Variable $tenant voraus, die wie oben beschrieben erstellt wurde.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin

    Achtung

    Wenn die Benutzerrolle zuvor mit der VMM-Verwaltungskonsole erstellt wurde, werden ihre Berechtigungen durch die mit dem Cmdlet New\-SCSUserRole angegebenen überschrieben.

  4. Überprüfen Sie, ob die Benutzerrolle erstellt wurde, indem Sie überprüfen, ob sie im Arbeitsbereich Einstellungen in der VMM-Verwaltungskonsole unter Benutzerrollen aufgeführt ist.

  5. Definieren Sie Folgendes für die Rolle, indem Sie die Rolle auswählen und Eigenschaften in der Symbolleiste wählen:

    • Wählen Sie im Umfang eine oder mehrere Clouds aus.

    • Fügen Sie in den Ressourcen alle Ressourcen wie etwa Vorlagen hinzu.

    • Wählen Sie in den Aktionen eine oder mehrere Aktionen aus.

    Wiederholen Sie diese Prozedur für jeden Server, der dem Mandanten zugewiesen ist.

    Die nächste Prozedur verwendet die Variable $TARole, die Sie erstellt haben.

Erstellen einer Mandanten-Self-Service-Benutzerrolle in VMM

  1. Geben Sie den folgenden Befehl ein, um einen Self-Service-Benutzenden in SPF für den von Ihnen erstellten Mandanten zu erstellen:

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. Erstellen Sie die entsprechende Mandantenbenutzerrolle in VMM, indem Sie den folgenden Befehl eingeben:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. Überprüfen Sie, ob die Benutzerrolle erstellt wurde, indem Sie überprüfen, ob sie im Arbeitsbereich Einstellungen in der VMM-Verwaltungskonsole unter Benutzerrollen aufgeführt ist. Beachten Sie, dass der übergeordnete Benutzende der Mandanten-Administrierende ist.

Wiederholen Sie diese Prozedur nach Bedarf für jeden Mandanten.