Gerenciar locatários e funções de usuário no SPF
Importante
Esta versão do SPF (Service Provider Foundation) chegou ao fim do suporte; recomendamos que você atualize para o SPF 2022.
O System Center – SPF (Service Provider Foundation) não cria funções de usuário nem define seu escopo. Para configurar locatários, você precisa de uma chave pública de certificado usada para validar declarações feitas em nome de um locatário.
Criar um certificado
Se você não tiver um certificado de autoridade de certificação existente para usar, poderá gerar um certificado autoassinado. Você pode exportar chaves públicas e privadas do certificado e associar a chave pública a um locatário.
Obter um certificado autoassinado
Crie um certificado usando makecert.exe
(Ferramenta de Criação de Certificado).
Abra um novo prompt de comando como administrador.
Gere o certificado executando o seguinte comando:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
Esse comando coloca o certificado no repositório de certificados do usuário atual. Para acessá-lo, na tela Inicial , insira certmgr.msc e, em seguida, nos resultados de Aplicativos , selecione certmgr.msc. Na janela do certmgr, selecione a pasta Certificados –CertificadosPessoais> do Usuário > Atual.
Exportar a chave pública
- Clique com o botão direito do mouse no certificado >Todas as Tarefas>Exportar.
- Em Exportar Chave Privada, escolha Não, não exporte a chave> privadaAvançar.
- Em Exportar Formato de Arquivo, selecione X.509 codificado em Base 64 (. CER)>Avançar.
- Em Arquivo a ser Exportado, especifique um caminho e um nome de arquivo para o certificado >Avançar.
- Em Concluindo o Assistente de Exportação de Certificados, selecione Concluir.
Para exportar usando o PowerShell, execute:
``S C:\> $path = "C:\Temp\tenant4D.cer"
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``
Exporte a chave particular
- Clique com o botão direito do mouse no certificado >Todas as Tarefas>Exportar.
- Em Exportar Chave Privada, escolha Sim, exporte a chave> privadaAvançar. Se essa opção não estiver disponível e você tiver gerado um certificado autoassinado, verifique se ela incluiu a opção -pe.
- Em Exportar Formato de Arquivo, selecione Troca de Informações Pessoais – PKCS nº 12 (. PFX). Verifique se Incluir todos os certificados no caminho de certificação, se possível , está selecionado e selecione Avançar.
- Em Arquivo a ser Exportado, especifique um caminho e um nome de arquivo para o certificado >Avançar.
- Em Concluindo o Assistente de Exportação de Certificados, selecione Concluir.
Criar o locatário
O Service Provider Foundation não cria funções de usuário nem define seu escopo (como nuvens), recursos ou ações. Em vez disso, o New-SCSPFTenantUserRole
cmdlet cria uma associação para um locatário com um nome de função de usuário. Quando essa associação é criada, ela também gera uma ID que pode ser usada para a ID correspondente para criar a função no System Center 2016 – Virtual Machine Manager.
Você também pode criar funções de usuário usando o Administração serviço de protocolo OData usando o guia do Desenvolvedor.
Execute o shell de comando SPF como administrador.
Digite o seguinte comando para criar o locatário. Esse comando pressupõe que a
$key
variável contenha a chave pública.PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key
Execute este comando para verificar se a chave pública do locatário foi importada com êxito:
PS C:\> Get-SCSPFTrustedIssuer
O próximo procedimento usa a
$tenant
variável que você criou.
Criar uma função de administrador de locatários no VMM
Digite o seguinte comando e concorde com sua elevação para o Shell de Comando do Windows PowerShell:
PS C:\> Set-Executionpolicy remotesigned
Insira o seguinte comando para importar o módulo do VMM:
PS C:\> Import-Module virtualmachinemanager
Use o cmdlet Windows PowerShell
T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole
para criar a função de usuário. Esse comando pressupõe a$tenant
variável que foi criada conforme descrito no procedimento acima.PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
Cuidado
Observe que, se a função de usuário tiver sido criada anteriormente usando o Console de Administração do VMM, suas permissões serão substituídas por aquelas especificadas pelo
New\-SCSUserRole
cmdlet .Verifique se a função de usuário foi criada verificando se ela está listada no workspace Funções de Usuário em Configurações no Console de Administração do VMM.
Defina o seguinte para a função selecionando a função e selecionando Propriedades na barra de ferramentas:
No Escopo, selecione uma ou mais nuvens.
Em Recursos, adicione todos os recursos, como modelos.
Em Ações, selecione uma ou mais ações.
Repita este procedimento para cada servidor atribuído ao locatário.
O próximo procedimento usa a
$TARole
variável que você criou.
Criar uma função de usuário de autoatendimento de locatário no VMM
Insira o seguinte comando para criar um usuário de autoatendimento no SPF para o locatário que você criou:
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
Crie a função de usuário de locatário correspondente no VMM inserindo o seguinte comando:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
Verifique se a função de usuário foi criada verificando se ela está listada no workspace Funções de Usuário em Configurações no Console de Administração do VMM. Observe que o pai da função é o administrador de locatários.
Repita esse procedimento conforme necessário para cada locatário.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de