Mengelola penyewa dan peran pengguna di SPF

Pusat Sistem - Service Provider Foundation (SPF) tidak membuat peran pengguna atau menentukan cakupannya. Untuk menyiapkan penyewa, Anda memerlukan kunci publik sertifikat yang digunakan untuk memvalidasi klaim yang dibuat atas nama penyewa.

Membuat sertifikat

Jika Anda tidak memiliki sertifikat CA yang sudah ada untuk digunakan, Anda dapat membuat sertifikat yang ditandatangani sendiri. Anda dapat mengekspor kunci publik dan privat dari sertifikat dan mengaitkan kunci publik dengan penyewa.

Mendapatkan sertifikat yang ditandatangani sendiri

Buat sertifikat menggunakan makecert.exe (Alat Pembuatan Sertifikat).

1. Buka Command Prompt sebagai administrator.

2. Buat sertifikat dengan menjalankan perintah berikut:

   makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
   

3. Perintah ini menempatkan sertifikat di Penyimpanan Sertifikat Pengguna Saat Ini. Untuk mengaksesnya, pada layar Mulai, masukkan certmgr.msc lalu di hasil Aplikasi, pilih certmgr.msc. Di jendela certmgr, pilih Sertifikat - Pengguna Saat Ini>>Pribadi folder Sertifikat.

Mengekspor kunci publik

1. Klik kanan sertifikat >Semua Tugas>Ekspor.
2. Di Ekspor Kunci Privat, pilih Tidak, jangan ekspor kunci privat>Berikutnya.
3. Dalam Format File Ekspor, pilih X.509 yang dikodekan Base-64 (. CER)>Next.
4. Dalam File yang Akan Diekspor, tentukan jalur dan nama file untuk sertifikat >Selanjutnya.
5. Dalam Menyelesaikan Wizard Ekspor Sertifikat, pilih Selesai.

Untuk mengekspor menggunakan PowerShell, jalankan:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Mengekspor kunci privat

1. Klik kanan sertifikat >Semua Tugas>Ekspor.
2. Di Ekspor Kunci Privat, pilih Ya, ekspor kunci privat>Berikutnya. Jika opsi ini tidak tersedia dan Anda membuat sertifikat yang ditandatangani sendiri, pastikan opsi tersebut menyertakan opsi -pe.
3. Dalam Format Berkas Ekspor, pilih Pertukaran Informasi Pribadi - PKCS #12 (.PFX). Pastikan Sertakan semua sertifikat di jalur sertifikasi jika memungkinkan sudah dipilih dan pilih Lanjut.
4. Dalam File yang Akan Diekspor, tentukan jalur dan nama file untuk sertifikat >Selanjutnya.
5. Dalam Menyelesaikan Wizard Ekspor Sertifikat, pilih Selesai.

Membuat akun penyewa

Service Provider Foundation tidak membuat peran pengguna atau menentukan cakupan mereka (seperti cloud), sumber daya, atau tindakan. Sebagai gantinya, cmdlet New-SCSPFTenantUserRole membuat asosiasi antara penyewa dan nama peran pengguna. Ketika asosiasi tersebut dibuat, sistem juga menghasilkan ID yang dapat digunakan sebagai ID yang sesuai untuk membuat peran di System Center 2016 - Virtual Machine Manager.

Anda juga dapat membuat peran pengguna dengan menggunakan layanan protokol Admin OData menggunakan panduan pengembang .

1. Jalankan shell perintah SPF dengan hak Administrator.

2. Masukkan perintah berikut untuk membuat penyewa. Perintah ini mengasumsikan bahwa variabel $key berisi kunci publik.

   PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
   

3. Jalankan perintah ini untuk memverifikasi bahwa kunci publik untuk penyewa berhasil diimpor:

   PS C:\> Get-SCSPFTrustedIssuer  
   

   Prosedur berikutnya menggunakan variabel $tenant yang Anda buat.

Membuat peran administrator penyewa di VMM

1. Masukkan perintah berikut dan menyetujui peningkatan ini untuk shell perintah Windows PowerShell:

   PS C:\> Set-Executionpolicy remotesigned  
   

2. Masukkan perintah berikut untuk mengimpor modul VMM:

   PS C:\> Import-Module virtualmachinemanager  
   

3. Gunakan cmdlet Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole untuk membuat peran pengguna. Perintah ini mengasumsikan variabel $tenant yang dibuat seperti yang dijelaskan dalam prosedur di atas.

   PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
   
   

   Perhatian

   Harap dicatat bahwa jika peran pengguna sebelumnya dibuat dengan menggunakan Konsol Administrasi VMM, hak aksesnya akan ditimpa oleh yang ditentukan oleh cmdlet New\-SCSUserRole.

4. Verifikasi bahwa peran pengguna telah dibuat dengan memastikan bahwa peran tersebut tercantum dalam Peran Pengguna di ruang kerja Pengaturan di Konsol Administrasi VMM.

5. Tentukan hal-hal berikut untuk peran dengan memilih peran dan memilih Properti pada toolbar:

   • Pada Cakupan, pilih satu atau beberapa awan.

   • Pada Sumber Daya, tambahkan sumber daya apa pun seperti templat.

   • Pada Tindakan, pilih satu atau beberapa tindakan.

   Ulangi prosedur ini untuk setiap server yang diberikan kepada penyewa.

   Prosedur berikutnya menggunakan variabel $TARole yang Anda buat.

Membuat peran pengguna layanan mandiri bagi penyewa di VMM

1. Masukkan perintah berikut untuk membuat pengguna layanan mandiri di SPF untuk penyewa yang Anda buat:

   PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
   

2. Buat peran pengguna penyewa yang sesuai di VMM dengan memasukkan perintah berikut:

   PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
   
   

3. Verifikasi bahwa peran pengguna telah dibuat dengan memastikan bahwa peran tersebut tercantum dalam Peran Pengguna di ruang kerja Pengaturan di Konsol Administrasi VMM. Perhatikan bahwa induk peran adalah administrator penyewa.

Ulangi prosedur ini sesuai kebutuhan untuk setiap penyewa.