Mengelola penyewa dan peran pengguna di SPF

Penting

Versi Service Provider Foundation (SPF) ini telah mencapai akhir dukungan; kami sarankan Anda untuk meningkatkan ke SPF 2022.

Pusat Sistem - Service Provider Foundation (SPF) tidak membuat peran pengguna atau menentukan cakupannya. Untuk menyiapkan penyewa, Anda memerlukan kunci umum sertifikat yang digunakan untuk memvalidasi klaim yang dibuat atas nama penyewa.

Membuat sertifikat

Jika Anda tidak memiliki sertifikat CA yang sudah ada untuk digunakan, Anda dapat membuat sertifikat yang ditandatangani sendiri. Anda dapat mengekspor kunci publik dan privat dari sertifikat dan mengaitkan kunci umum dengan penyewa.

Mendapatkan sertifikat yang ditandatangani sendiri

Buat sertifikat menggunakan makecert.exe (Alat Pembuatan Sertifikat).

1. Buka prompt perintah sebagai administrator.

2. Buat sertifikat dengan menjalankan perintah berikut:

   makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
   

3. Perintah ini menempatkan sertifikat di Penyimpanan Sertifikat Pengguna Saat Ini. Untuk mengaksesnya, pada layar Mulai , masukkan certmgr.msc lalu di hasil Aplikasi , pilih certmgr.msc. Di jendela certmgr, pilih Sertifikat - FolderSertifikatPribadi> Pengguna >Saat Ini.

Mengekspor kunci publik

1. Klik kanan sertifikat >EksporSemua Tugas>.
2. Di Ekspor Kunci Privat, pilih Tidak, jangan ekspor kunci> privatBerikutnya.
3. Dalam Format File Ekspor, pilih Base-64 encoded X.509 (. CER)>Selanjutnya.
4. Di File untuk Diekspor, tentukan jalur dan nama file untuk sertifikat >Berikutnya.
5. Dalam Menyelesaikan Wizard Ekspor Sertifikat, pilih Selesai.

Untuk mengekspor menggunakan PowerShell, jalankan:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Mengekspor kunci privat

1. Klik kanan sertifikat >EksporSemua Tugas>.
2. Di Ekspor Kunci Privat, pilih Ya, ekspor kunci> privatBerikutnya. Jika opsi ini tidak tersedia dan Anda membuat sertifikat yang ditandatangani sendiri, pastikan opsi tersebut menyertakan opsi -pe.
3. Dalam Format File Ekspor, pilih Pertukaran Informasi Pribadi - PKCS #12 (. PFX). Pastikan Sertakan semua sertifikat dalam jalur sertifikasi jika memungkinkan dipilih dan pilih Berikutnya.
4. Di File untuk Diekspor, tentukan jalur dan nama file untuk sertifikat >Berikutnya.
5. Dalam Menyelesaikan Wizard Ekspor Sertifikat, pilih Selesai.

Membuat penyewa

Service Provider Foundation tidak membuat peran pengguna atau menentukan cakupan mereka (seperti cloud), sumber daya, atau tindakan. Sebagai gantinya New-SCSPFTenantUserRole , cmdlet membuat asosiasi untuk penyewa dengan nama peran pengguna. Ketika asosiasi dibuat, itu juga menghasilkan ID yang dapat digunakan untuk ID yang sesuai untuk membuat peran di System Center 2016 - Virtual Machine Manager.

Anda juga dapat membuat peran pengguna dengan menggunakan layanan protokol Admin OData menggunakan panduan Pengembang.

1. Jalankan shell perintah SPF sebagai Administrator.

2. Masukkan perintah berikut untuk membuat penyewa. Perintah ini mengasumsikan bahwa $key variabel berisi kunci publik.

   PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
   

3. Jalankan perintah ini untuk memverifikasi bahwa kunci publik untuk penyewa berhasil diimpor:

   PS C:\> Get-SCSPFTrustedIssuer  
   

   Prosedur berikutnya menggunakan $tenant variabel yang Anda buat.

Membuat peran administrator penyewa di VMM

1. Masukkan perintah berikut dan setujui elevasi ini untuk shell perintah Windows PowerShell:

   PS C:\> Set-Executionpolicy remotesigned  
   

2. Masukkan perintah berikut untuk mengimpor modul VMM:

   PS C:\> Import-Module virtualmachinemanager  
   

3. Gunakan cmdlet Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole untuk membuat peran pengguna. Perintah ini mengasumsikan $tenant variabel yang dibuat seperti yang dijelaskan dalam prosedur di atas.

   PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
   
   

   Perhatian

   Perhatikan bahwa jika peran pengguna sebelumnya dibuat dengan menggunakan Konsol Administrasi VMM, izinnya akan ditimpa oleh yang ditentukan oleh New\-SCSUserRole cmdlet.

4. Verifikasi bahwa peran pengguna dibuat dengan memverifikasi bahwa peran tersebut tercantum di ruang kerja Peran Pengguna di Pengaturan di Konsol Administrasi VMM.

5. Tentukan yang berikut ini untuk peran dengan memilih peran dan memilih Properti pada toolbar:

   • Pada Cakupan, pilih satu atau beberapa cloud.

   • Pada Sumber Daya, tambahkan sumber daya apa pun seperti templat.

   • Pada Tindakan, pilih satu atau beberapa tindakan.

   Ulangi prosedur ini untuk setiap server yang ditetapkan ke penyewa.

   Prosedur berikutnya menggunakan $TARole variabel yang Anda buat.

Membuat peran pengguna layanan mandiri penyewa di VMM

1. Masukkan perintah berikut untuk membuat pengguna layanan mandiri di SPF untuk penyewa yang Anda buat:

   PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
   

2. Buat peran pengguna penyewa yang sesuai di VMM dengan memasukkan perintah berikut:

   PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
   
   

3. Verifikasi bahwa peran pengguna dibuat dengan memverifikasi bahwa peran tersebut tercantum di ruang kerja Peran Pengguna di Pengaturan di Konsol Administrasi VMM. Perhatikan bahwa induk peran adalah administrator penyewa.

Ulangi prosedur ini sesuai kebutuhan untuk setiap penyewa.