Gerenciar locatários e funções de usuário no SPF

Importante

Esta versão do SPF (Service Provider Foundation) chegou ao fim do suporte; recomendamos que você atualize para o SPF 2022.

O System Center – SPF (Service Provider Foundation) não cria funções de usuário nem define seu escopo. Para configurar locatários, você precisa de uma chave pública de certificado usada para validar declarações feitas em nome de um locatário.

Criar um certificado

Se você não tiver um certificado de autoridade de certificação existente para usar, poderá gerar um certificado autoassinado. Você pode exportar chaves públicas e privadas do certificado e associar a chave pública a um locatário.

Obter um certificado autoassinado

Crie um certificado usando makecert.exe (Ferramenta de Criação de Certificado).

1. Abra um novo prompt de comando como administrador.

2. Gere o certificado executando o seguinte comando:

   makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
   

3. Esse comando coloca o certificado no repositório de certificados do usuário atual. Para acessá-lo, na tela Inicial , insira certmgr.msc e, em seguida, nos resultados de Aplicativos , selecione certmgr.msc. Na janela do certmgr, selecione a pasta Certificados –CertificadosPessoais> do Usuário > Atual.

Exportar a chave pública

1. Clique com o botão direito do mouse no certificado >Todas as Tarefas>Exportar.
2. Em Exportar Chave Privada, escolha Não, não exporte a chave> privadaAvançar.
3. Em Exportar Formato de Arquivo, selecione X.509 codificado em Base 64 (. CER)>Avançar.
4. Em Arquivo a ser Exportado, especifique um caminho e um nome de arquivo para o certificado >Avançar.
5. Em Concluindo o Assistente de Exportação de Certificados, selecione Concluir.

Para exportar usando o PowerShell, execute:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Exporte a chave particular

1. Clique com o botão direito do mouse no certificado >Todas as Tarefas>Exportar.
2. Em Exportar Chave Privada, escolha Sim, exporte a chave> privadaAvançar. Se essa opção não estiver disponível e você tiver gerado um certificado autoassinado, verifique se ela incluiu a opção -pe.
3. Em Exportar Formato de Arquivo, selecione Troca de Informações Pessoais – PKCS nº 12 (. PFX). Verifique se Incluir todos os certificados no caminho de certificação, se possível , está selecionado e selecione Avançar.
4. Em Arquivo a ser Exportado, especifique um caminho e um nome de arquivo para o certificado >Avançar.
5. Em Concluindo o Assistente de Exportação de Certificados, selecione Concluir.

Criar o locatário

O Service Provider Foundation não cria funções de usuário nem define seu escopo (como nuvens), recursos ou ações. Em vez disso, o New-SCSPFTenantUserRole cmdlet cria uma associação para um locatário com um nome de função de usuário. Quando essa associação é criada, ela também gera uma ID que pode ser usada para a ID correspondente para criar a função no System Center 2016 – Virtual Machine Manager.

Você também pode criar funções de usuário usando o Administração serviço de protocolo OData usando o guia do Desenvolvedor.

1. Execute o shell de comando SPF como administrador.

2. Digite o seguinte comando para criar o locatário. Esse comando pressupõe que a $key variável contenha a chave pública.

   PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
   

3. Execute este comando para verificar se a chave pública do locatário foi importada com êxito:

   PS C:\> Get-SCSPFTrustedIssuer  
   

   O próximo procedimento usa a $tenant variável que você criou.

Criar uma função de administrador de locatários no VMM

1. Digite o seguinte comando e concorde com sua elevação para o Shell de Comando do Windows PowerShell:

   PS C:\> Set-Executionpolicy remotesigned  
   

2. Insira o seguinte comando para importar o módulo do VMM:

   PS C:\> Import-Module virtualmachinemanager  
   

3. Use o cmdlet Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole para criar a função de usuário. Esse comando pressupõe a $tenant variável que foi criada conforme descrito no procedimento acima.

   PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
   
   

   Cuidado

   Observe que, se a função de usuário tiver sido criada anteriormente usando o Console de Administração do VMM, suas permissões serão substituídas por aquelas especificadas pelo New\-SCSUserRole cmdlet .

4. Verifique se a função de usuário foi criada verificando se ela está listada no workspace Funções de Usuário em Configurações no Console de Administração do VMM.

5. Defina o seguinte para a função selecionando a função e selecionando Propriedades na barra de ferramentas:

   • No Escopo, selecione uma ou mais nuvens.

   • Em Recursos, adicione todos os recursos, como modelos.

   • Em Ações, selecione uma ou mais ações.

   Repita este procedimento para cada servidor atribuído ao locatário.

   O próximo procedimento usa a $TARole variável que você criou.

Criar uma função de usuário de autoatendimento de locatário no VMM

1. Insira o seguinte comando para criar um usuário de autoatendimento no SPF para o locatário que você criou:

   PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
   

2. Crie a função de usuário de locatário correspondente no VMM inserindo o seguinte comando:

   PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
   
   

3. Verifique se a função de usuário foi criada verificando se ela está listada no workspace Funções de Usuário em Configurações no Console de Administração do VMM. Observe que o pai da função é o administrador de locatários.

Repita esse procedimento conforme necessário para cada locatário.