Gerenciar locatários e funções de usuário no SPF
O System Center – SPF (Service Provider Foundation) não cria funções de usuário nem define seu escopo. Para configurar locatários, você precisa de uma chave pública de certificado usada para validar declarações feitas em nome de um locatário.
Criar um certificado
Se você não tiver um certificado de CA existente para usar, poderá gerar um certificado autoassinado. Você pode exportar chaves públicas e privadas do certificado e associar a chave pública a um locatário.
Obter um certificado autoassinado
Crie um certificado usando makecert.exe
(Ferramenta de Criação de Certificado).
Abra um novo prompt de comando como administrador.
Gere o certificado executando o seguinte comando:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
Esse comando coloca o certificado no repositório de certificados do usuário atual. Para acessá-lo, na tela inicial , insira certmgr.msc e, em seguida, nos resultados de aplicativos , selecione certmgr.msc. Na janela certmgr, selecione a pasta Certificados - Certificados Pessoais>do Usuário>Atual.
Exportar a chave pública
- Clique com o botão direito do mouse no certificado >Exportação de Todas as Tarefas>.
- Em Exportar chave privada, escolha Não, não exporte a chave>privada Avançar.
- Em Exportar Formato de Arquivo, selecione X.509 codificado em Base-64 (. CER)>Próximo.
- Em Arquivo a ser exportado, especifique um caminho e um nome de arquivo para o certificado >Avançar.
- Em Concluindo o Assistente de Exportação de Certificado, selecione Concluir.
Para exportar usando o PowerShell, execute:
``S C:\> $path = "C:\Temp\tenant4D.cer"
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``
Exporte a chave particular
- Clique com o botão direito do mouse no certificado >Exportação de Todas as Tarefas>.
- Em Exportar chave privada, escolha Sim, exportar a chave>privada Avançar. Se essa opção não estiver disponível e você tiver gerado um certificado autoassinado, verifique se ela incluiu a opção -pe.
- Em Exportar Formato de Arquivo, selecione Troca de Informações Pessoais - PKCS #12 (. PFX). Verifique se a opção Incluir todos os certificados no caminho de certificação, se possível, está selecionada e selecione Avançar.
- Em Arquivo a ser exportado, especifique um caminho e um nome de arquivo para o certificado >Avançar.
- Em Concluindo o Assistente de Exportação de Certificado, selecione Concluir.
Criar o locatário
O Service Provider Foundation não cria funções de usuário nem define seu escopo (como nuvens), recursos ou ações. Em vez disso, o New-SCSPFTenantUserRole
cmdlet cria uma associação para um locatário com um nome de função de usuário. Quando essa associação é criada, ela também gera uma ID que pode ser usada para a ID correspondente para criar a função no System Center 2016 – Virtual Machine Manager.
Você também pode criar funções de usuário usando o serviço de protocolo OData de administrador usando o guia do desenvolvedor.
Execute o shell de comando SPF como administrador.
Digite o seguinte comando para criar o locatário. Esse comando pressupõe que a
$key
variável contém a chave pública.PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key
Execute este comando para verificar se a chave pública do locatário foi importada com êxito:
PS C:\> Get-SCSPFTrustedIssuer
O próximo procedimento usa a
$tenant
variável que você criou.
Criar uma função de administrador de locatários no VMM
Digite o seguinte comando e concorde com sua elevação para o Shell de Comando do Windows PowerShell:
PS C:\> Set-Executionpolicy remotesigned
Insira o seguinte comando para importar o módulo do VMM:
PS C:\> Import-Module virtualmachinemanager
Use o cmdlet do Windows PowerShell
T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole
para criar a função de usuário. Esse comando pressupõe a$tenant
variável que foi criada conforme descrito no procedimento acima.PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
Cuidado
Observe que, se a função de usuário tiver sido criada anteriormente usando o Console de Administração do VMM, suas permissões serão substituídas por aquelas especificadas pelo
New\-SCSUserRole
cmdlet.Verifique se a função de usuário foi criada verificando se ela está listada no espaço de trabalho Funções de Usuário em Configurações no Console de Administração do VMM.
Defina o seguinte para a função selecionando a função e selecionando Propriedades na barra de ferramentas:
No Escopo, selecione uma ou mais nuvens.
Em Recursos, adicione quaisquer recursos, como modelos.
Em Ações, selecione uma ou mais ações.
Repita este procedimento para cada servidor atribuído ao locatário.
O próximo procedimento usa a
$TARole
variável que você criou.
Criar uma função de usuário de autoatendimento de locatário no VMM
Insira o seguinte comando para criar um usuário de autoatendimento no SPF para o locatário que você criou:
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
Crie a função de usuário de locatário correspondente no VMM inserindo o seguinte comando:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
Verifique se a função de usuário foi criada verificando se ela está listada no espaço de trabalho Funções de Usuário em Configurações no Console de Administração do VMM. Observe que o pai da função é o administrador de locatários.
Repita esse procedimento conforme necessário para cada locatário.