Administración de inquilinos y roles de usuario en SPF

Artículo
10/15/2024

System Center- Service Provider Foundation (SPF) no crea roles de usuario ni define su ámbito. Para configurar inquilinos, necesitas una clave pública del certificado que se use para validar las notificaciones realizadas en nombre de un inquilino.

Crear un certificado

Si no dispones de ningún certificado CA que puedas usar, puedes generar un certificado autofirmado. Puedes exportar claves públicas y privadas desde el certificado y asociar la clave pública a un inquilino.

Obtención de un certificado autofirmado

Crea un certificado mediante makecert.exe (Herramienta de creación de certificados).

Abra un símbolo del sistema como administrador.

Ejecuta el comando siguiente para generar el certificado:

makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

Este comando coloca el certificado en el almacén de certificados del usuario actual. Para acceder al almacén, en la pantalla Inicio, escribe certmgr.msc y luego, en los resultados de Aplicaciones, selecciona certmgr.msc. En la ventana certmgr, selecciona la carpeta Certificates - Current User>Personal>Certificates.

Exportación de la clave pública

Haz clic con el botón derecho en el certificado >Todas las tareas>Exportar.
En Exportar clave privada, elige No exportar la clave privada>Siguiente.
En Exportar formato de archivo, selecciona codificación Base 64 X.509>Siguiente.
En Archivo para la exportación, especifica una ruta de acceso y un nombre de archivo para el certificado >Siguiente.
En Finalización del Asistente para exportar certificados, selecciona Finalizar.

Para exportar mediante PowerShell, ejecuta lo siguiente:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Exportar la clave privada

Haz clic con el botón derecho en el certificado >Todas las tareas>Exportar.
En Exportar clave privada, selecciona Exportar la clave privada>Siguiente. Si esta opción no está disponible y generaste un certificado autofirmado, asegúrate de incluir la opción -pe.
En Exportar formato de archivo, selecciona Intercambio de información personal: PKCS #12 (.PFX). Asegúrate de que la opción Incluir todos los certificados en la ruta de certificación (si es posible) esté activada y selecciona Siguiente.
En Archivo para la exportación, especifica una ruta de acceso y un nombre de archivo para el certificado >Siguiente.
En Finalización del Asistente para exportar certificados, selecciona Finalizar.

Creación de un inquilino

Service Provider Foundation no crea roles de usuario ni define su ámbito (como las nubes), sus recursos o sus acciones. En su lugar, el cmdlet New-SCSPFTenantUserRole crea una asociación para un inquilino con un nombre de rol de usuario. Cuando se crea esa asociación, también genera un identificador que se puede usar para el identificador correspondiente para crear el rol en System Center 2016 Virtual Machine Manager.

También puedes crear roles de usuario mediante el servicio de protocolo OData de administración mediante la Guía del desarrollador.

Ejecuta el shell de comandos de SPF como administrador.
Escribe el comando siguiente para crear el inquilino. Este comando supone que la variable $key contiene la clave pública.
```
PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
```
Ejecuta este comando para comprobar que la clave pública del inquilino se importó correctamente:
```
PS C:\> Get-SCSPFTrustedIssuer  
```
El siguiente procedimiento usa la variable $tenant que creaste.

Creación de un rol de administrador de inquilinos en VMM

Escribe el siguiente comando y acepta esta elevación para el shell de comandos de Windows PowerShell:
```
PS C:\> Set-Executionpolicy remotesigned  
```
Escribe el siguiente comando para importar el módulo VMM:
```
PS C:\> Import-Module virtualmachinemanager  
```
Usa el cmdlet de Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole para crear el rol de usuario. Este comando supone que la variable $tenant se creó como se describe en el procedimiento anterior.
```
PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
```
Precaución

Ten en cuenta que si el rol de usuario se creó anteriormente mediante la Consola de administración de VMM, los permisos se sobrescribirían con los especificados por el cmdlet New\-SCSUserRole.
Comprueba que el rol de usuario se creó comprobando que aparece en el área de trabajo Roles de usuario en Configuración en la Consola de administración de VMM.
Para definir lo siguiente para el rol, selecciona el rol y selecciona Propiedades en la barra de herramientas:
- En Ámbito, selecciona una o varias nubes.
- En Recursos, agrega cualquier recurso como plantillas.
- En Acciones, selecciona una o varias acciones.
Repite este procedimiento para cada servidor asignado al inquilino.

El siguiente procedimiento usa la variable $TARole que creaste.

Crear un rol de usuario de autoservicio de inquilino en VMM

Escribe el siguiente comando para crear un usuario de autoservicio en SPF para el inquilino que creaste:
```
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
```

Para crear el rol de usuario de inquilino correspondiente en VMM, escribe el siguiente comando:

PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

Comprueba que el rol de usuario se creó comprobando que aparece en el área de trabajo Roles de usuario en Configuración en la Consola de administración de VMM. Observa que el elemento primario del rol es el administrador de inquilinos.

Repite este procedimiento según sea necesario para cada inquilino.

Compartir a través de