Управление сертификатами и ролями пользователей в Service Provider Foundation

 

Опубликовано: Июль 2016

Применимо к: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

Service Provider Foundation предоставляет модель безопасности проверки подлинности на основе утверждений для доступа клиента к службам и ресурсам. Служба регистрирует открытый ключ сертификата и имя издателя из выданного сертификата и сохраняет эту информацию как объекты надежного издателя.

Для обеспечения безопасности многопользовательских операций запросы выполняются в контексте роли пользователя, которая сопоставляет токен утверждения клиента с ролью пользователя администратора клиента или с ролью пользователя самообслуживания клиента. Эти роли пользователей должны быть определены в System Center 2012 — Virtual Machine Manager (VMM), включая их область, ресурсы и действия.

Администраторы поставщиков услуг размещения могут использовать службы OData Service Provider Foundation для создания необходимой инфраструктуры. Дополнительные сведения см. в разделе Руководство разработчика Service Provider Foundation.

Типичный сценарий переноса клиента выглядит следующим образом.

1. Потенциальный клиент исследует службы поставщика услуг размещения, оценивая предлагаемые планы.

2. Потенциальный клиент подписывается на план (объекты предложения в Service Provider Foundation), который создает новую подписку в приложении портала и новый клиент в базе данных Service Provider Foundation.

   Во время этого процесса клиент отправляет открытый ключ для своего файла сертификата. Это позволяет узлу зарегистрировать клиент и настроить роли безопасности пользователя в Virtual Machine Manager.

3. Приложения портала и администраторы поставщиков услуг размещения настраивают подключения клиента к службе поставщика услуг размещения с помощью URL-адресов и токенов протокола службы OData, проверенных сертификатом клиента, который содержит закрытый ключ.

Администраторы поставщиков услуг размещения могут также использовать идентификаторы, созданные командлетами Service Provider Foundation, которые представляют клиент или роли пользователей клиента в виде значений идентификаторов соответствующих командлетов VMM, образующих фактические роли пользователей. Командлеты Service Provider Foundation выполняют следующие действия.

• Создание идентификатора для роли пользователя администратора клиента, если клиент создается с помощью командлета T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenant.

• Создание идентификатора для роли пользователя самообслуживания клиента, если роль пользователя клиента создается с помощью командлета T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenantUserRole.

В многопользовательском режиме дополнительно обеспечиваются новые функции, доступные в Windows Server 2012, например, виртуализация сети.

Разделы по управлению сертификатами и ролями пользователей

• Пошаговое руководство. Создание сертификата и ролей пользователей для Service Provider Foundation

  Этот раздел содержит пошаговые процедуры для создания сертификатов и доступа к ним, получения ключей и создания ролей безопасности пользователей.

Другие ресурсы для данного компонента

• Общие сведения о проверке подлинности пакета Microsoft Azure

• Главная страница библиотеки TechNet для Foundation поставщик услуг

• Администрирование Service Provider Foundation

• Развертывание Service Provider Foundation