Управление клиентами и ролями пользователей в SPF

Важно!

Поддержка этой версии Service Provider Foundation (SPF) завершена; Рекомендуется выполнить обновление до SPF 2022.

System Center — Service Provider Foundation (SPF) не создает роли пользователей и не определяет их область. Для настройки клиентов требуется открытый ключ сертификата, который используется для проверки утверждений, сделанных от имени клиента.

Создание сертификата

Если у вас нет сертификата ЦС для использования, можно создать самозаверяющий сертификат. Вы можете экспортировать открытый и закрытый ключи из сертификата и связать открытый ключ с клиентом.

Получите самозаверяющий сертификат

Создайте сертификат с помощью makecert.exe (Средство создания сертификатов).

1. Откройте командную строку с правами администратора.

2. Создайте сертификат с помощью следующей команды:

   makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
   

3. Эта команда помещает сертификат в хранилище сертификатов текущего пользователя. Чтобы получить к нему доступ, на начальном экране введите certmgr.msc , а затем в результатах приложения выберите certmgr.msc. В окне certmgr выберите Сертификаты — папкаЛичные>сертификатытекущего пользователя>.

Экспорт открытого ключа

1. Щелкните правой кнопкой мыши сертификат >Все задачи>Экспорт.
2. В разделе Экспорт закрытого ключа выберите Нет, не экспортировать закрытый ключ>Далее.
3. В поле Формат файла экспорта выберите X.509 в кодировке Base-64 (. CER)>Далее.
4. В поле Файл для экспорта укажите путь и имя файла для сертификата >Далее.
5. В окне Завершение работы мастера экспорта сертификатов нажмите кнопку Готово.

Для экспорта с помощью PowerShell выполните следующую команду:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Экспорт закрытого ключа

1. Щелкните правой кнопкой мыши сертификат >Все задачи>Экспорт.
2. В разделе Экспорт закрытого ключа выберите Да, экспортировать закрытый ключ>Далее. Если этот параметр недоступен и вы создали самозаверяющий сертификат, убедитесь, что он включает параметр -pe.
3. В разделе Формат файла экспорта выберите Обмен личной информацией — PKCS #12 (. PFX). Убедитесь, что выбран параметр Включить все сертификаты в путь сертификации, если это возможно , и нажмите кнопку Далее.
4. В поле Файл для экспорта укажите путь и имя файла для сертификата >Далее.
5. В окне Завершение работы мастера экспорта сертификатов нажмите кнопку Готово.

Создание клиента

Service Provider Foundation не создает роли пользователей и не определяет их область (например, облака), ресурсы или действия. Вместо этого New-SCSPFTenantUserRole командлет создает связь для клиента с именем роли пользователя. При создании этой связи также создается идентификатор, который можно использовать для соответствующего идентификатора для создания роли в System Center 2016 — Virtual Machine Manager.

Вы также можете создать роли пользователей с помощью Администратор службы протокола OData в руководстве разработчика.

1. Запустите командную оболочку SPF от имени администратора.

2. Введите приведенную ниже команду для создания клиента. Эта команда предполагает, что $key переменная содержит открытый ключ.

   PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
   

3. Выполните следующую команду, чтобы убедиться, что открытый ключ клиента успешно импортирован:

   PS C:\> Get-SCSPFTrustedIssuer  
   

   В следующей процедуре используется $tenant созданная переменная.

Создание роли администратора клиента в VMM

1. Введите следующая команда и подтвердите согласие на это повышение прав для командной оболочки Windows PowerShell:

   PS C:\> Set-Executionpolicy remotesigned  
   

2. Введите следующую команду, чтобы импортировать модуль VMM:

   PS C:\> Import-Module virtualmachinemanager  
   

3. Используйте командлет Windows PowerShellT:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole, чтобы создать роль пользователя. Эта команда предполагает переменную $tenant , которая была создана, как описано в процедуре выше.

   PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
   
   

   Внимание!

   Обратите внимание, что если роль пользователя была ранее создана с помощью консоли администрирования VMM, ее разрешения будут перезаписаны разрешениями, указанными в командлете New\-SCSUserRole .

4. Убедитесь, что роль пользователя создана, убедившись, что она указана в списке Роли пользователей в рабочей области Параметры консоли администрирования VMM.

5. Определите следующие параметры для роли, выбрав роль и выбрав Свойства на панели инструментов:

   • В поле Область выберите одно или несколько облаков.

   • В разделе Ресурсы добавьте все ресурсы, например шаблоны.

   • В разделе Действия выберите одно или несколько действий.

   Повторите эту процедуру для всех серверов, привязанных к клиенту.

   В следующей процедуре используется $TARole созданная переменная.

Создание роли пользователя самообслуживания клиента в VMM

1. Введите следующую команду, чтобы создать пользователя самообслуживания в SPF для созданного клиента:

   PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
   

2. Создайте соответствующую роль пользователя клиента в VMM, введя следующую команду:

   PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
   
   

3. Убедитесь, что роль пользователя создана, убедившись, что она указана в списке Роли пользователей в рабочей области Параметры консоли администрирования VMM. Обратите внимание, что родительской ролью для роли является администратор клиента.

При необходимости повторите эту процедуру для каждого клиента.