Управление клиентами и ролями пользователей в SPF
Важно!
Поддержка этой версии Service Provider Foundation (SPF) завершена; Рекомендуется выполнить обновление до SPF 2022.
System Center — Service Provider Foundation (SPF) не создает роли пользователей и не определяет их область. Для настройки клиентов требуется открытый ключ сертификата, который используется для проверки утверждений, сделанных от имени клиента.
Создание сертификата
Если у вас нет сертификата ЦС для использования, можно создать самозаверяющий сертификат. Вы можете экспортировать открытый и закрытый ключи из сертификата и связать открытый ключ с клиентом.
Получите самозаверяющий сертификат
Создайте сертификат с помощью makecert.exe
(Средство создания сертификатов).
Откройте командную строку с правами администратора.
Создайте сертификат с помощью следующей команды:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
Эта команда помещает сертификат в хранилище сертификатов текущего пользователя. Чтобы получить к нему доступ, на начальном экране введите certmgr.msc , а затем в результатах приложения выберите certmgr.msc. В окне certmgr выберите Сертификаты — папкаЛичные>сертификатытекущего пользователя>.
Экспорт открытого ключа
- Щелкните правой кнопкой мыши сертификат >Все задачи>Экспорт.
- В разделе Экспорт закрытого ключа выберите Нет, не экспортировать закрытый ключ>Далее.
- В поле Формат файла экспорта выберите X.509 в кодировке Base-64 (. CER)>Далее.
- В поле Файл для экспорта укажите путь и имя файла для сертификата >Далее.
- В окне Завершение работы мастера экспорта сертификатов нажмите кнопку Готово.
Для экспорта с помощью PowerShell выполните следующую команду:
``S C:\> $path = "C:\Temp\tenant4D.cer"
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``
Экспорт закрытого ключа
- Щелкните правой кнопкой мыши сертификат >Все задачи>Экспорт.
- В разделе Экспорт закрытого ключа выберите Да, экспортировать закрытый ключ>Далее. Если этот параметр недоступен и вы создали самозаверяющий сертификат, убедитесь, что он включает параметр -pe.
- В разделе Формат файла экспорта выберите Обмен личной информацией — PKCS #12 (. PFX). Убедитесь, что выбран параметр Включить все сертификаты в путь сертификации, если это возможно , и нажмите кнопку Далее.
- В поле Файл для экспорта укажите путь и имя файла для сертификата >Далее.
- В окне Завершение работы мастера экспорта сертификатов нажмите кнопку Готово.
Создание клиента
Service Provider Foundation не создает роли пользователей и не определяет их область (например, облака), ресурсы или действия. Вместо этого New-SCSPFTenantUserRole
командлет создает связь для клиента с именем роли пользователя. При создании этой связи также создается идентификатор, который можно использовать для соответствующего идентификатора для создания роли в System Center 2016 — Virtual Machine Manager.
Вы также можете создать роли пользователей с помощью Администратор службы протокола OData в руководстве разработчика.
Запустите командную оболочку SPF от имени администратора.
Введите приведенную ниже команду для создания клиента. Эта команда предполагает, что
$key
переменная содержит открытый ключ.PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key
Выполните следующую команду, чтобы убедиться, что открытый ключ клиента успешно импортирован:
PS C:\> Get-SCSPFTrustedIssuer
В следующей процедуре используется
$tenant
созданная переменная.
Создание роли администратора клиента в VMM
Введите следующая команда и подтвердите согласие на это повышение прав для командной оболочки Windows PowerShell:
PS C:\> Set-Executionpolicy remotesigned
Введите следующую команду, чтобы импортировать модуль VMM:
PS C:\> Import-Module virtualmachinemanager
Используйте командлет Windows PowerShell
T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole
, чтобы создать роль пользователя. Эта команда предполагает переменную$tenant
, которая была создана, как описано в процедуре выше.PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
Внимание!
Обратите внимание, что если роль пользователя была ранее создана с помощью консоли администрирования VMM, ее разрешения будут перезаписаны разрешениями, указанными в командлете
New\-SCSUserRole
.Убедитесь, что роль пользователя создана, убедившись, что она указана в списке Роли пользователей в рабочей области Параметры консоли администрирования VMM.
Определите следующие параметры для роли, выбрав роль и выбрав Свойства на панели инструментов:
В поле Область выберите одно или несколько облаков.
В разделе Ресурсы добавьте все ресурсы, например шаблоны.
В разделе Действия выберите одно или несколько действий.
Повторите эту процедуру для всех серверов, привязанных к клиенту.
В следующей процедуре используется
$TARole
созданная переменная.
Создание роли пользователя самообслуживания клиента в VMM
Введите следующую команду, чтобы создать пользователя самообслуживания в SPF для созданного клиента:
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
Создайте соответствующую роль пользователя клиента в VMM, введя следующую команду:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
Убедитесь, что роль пользователя создана, убедившись, что она указана в списке Роли пользователей в рабочей области Параметры консоли администрирования VMM. Обратите внимание, что родительской ролью для роли является администратор клиента.
При необходимости повторите эту процедуру для каждого клиента.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по