Dela via

Hantera klientorganisationer och användarroller i SPF

  • Artikel

Viktigt

Den här versionen av Service Provider Foundation (SPF) har nått slutet av supporten. vi rekommenderar att du uppgraderar till SPF 2022.

System Center – Service Provider Foundation (SPF) skapar inte användarroller eller definierar deras omfång. För att konfigurera klientorganisationer behöver du en offentlig certifikatnyckel som används för att verifiera anspråk som görs för en klientorganisation.

Skapa ett certifikat

Om du inte har ett befintligt CA-certifikat att använda kan du generera ett självsignerat certifikat. Du kan exportera offentliga och privata nycklar från certifikatet och associera den offentliga nyckeln med en klientorganisation.

Skaffa ett självsignerat certifikat

Skapa ett certifikat med ( makecert.exe verktyg för att skapa certifikat).

  1. Öppna en kommandotolk med administratörsbehörighet.

  2. Generera certifikatet genom att köra följande kommando:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

  3. Det här kommandot placerar certifikatet i den aktuella användarens certifikatarkiv. Om du vill komma åt den går du till Start-skärmen, anger certmgr.msc och väljer sedan certmgr.msc i appresultatet. I fönstret certmgr väljer du Mappen Certifikat – Aktuella personliga>användarcertifikat>.

Exportera den offentliga nyckeln

  1. Högerklicka på certifikatet >Exportera alla aktiviteter>.
  2. I Exportera privat nyckel väljer du Nej, exportera inte den privata nyckeln>Nästa.
  3. I Exportera filformat väljer du Base-64-kodad X.509 (. CER)>Nästa.
  4. I Arkiv att exportera anger du en sökväg och ett filnamn för certifikatet >Nästa.
  5. I Guiden Slutför export av certifikat väljer du Slutför.

Om du vill exportera med PowerShell kör du:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

Exportera den privata nyckeln

  1. Högerklicka på certifikatet >Exportera alla aktiviteter>.
  2. I Exportera privat nyckel väljer du Ja, exportera den privata nyckeln>Nästa. Om det här alternativet inte är tillgängligt och du genererade ett självsignerat certifikat kontrollerar du att det innehåller alternativet -pe.
  3. I Exportera filformat väljer du Personal Information Exchange – PKCS #12 (. PFX). Se till att Inkludera alla certifikat i certifieringssökvägen om det är möjligt är valt och välj Nästa.
  4. I Arkiv att exportera anger du en sökväg och ett filnamn för certifikatet >Nästa.
  5. I Guiden Slutför export av certifikat väljer du Slutför.

Skapa klientorganisationen

Service Provider Foundation skapar inte användarroller eller definierar deras omfång (till exempel moln), resurser eller åtgärder. I stället skapar cmdleten New-SCSPFTenantUserRole en association för en klientorganisation med ett användarnamn. När associationen skapas genererar den också ett ID som kan användas för motsvarande ID för att skapa rollen i System Center 2016 – Virtual Machine Manager.

Du kan också skapa användarroller med hjälp av Admin OData-protokolltjänsten med hjälp av utvecklarguiden.

  1. Kör SPF-kommandogränssnittet som administratör.

  2. Ange följande kommando för att skapa klientorganisationen. Det här kommandot förutsätter att variabeln $key innehåller den offentliga nyckeln.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key

  3. Kör det här kommandot för att kontrollera att den offentliga nyckeln för klientorganisationen har importerats:

    PS C:\> Get-SCSPFTrustedIssuer

    Nästa procedur använder variabeln $tenant som du skapade.

Skapa en innehavaradministratörsroll i VMM

  1. Ange följande kommando och godkänn höjningen för Windows PowerShell-kommandogränssnittet:

    PS C:\> Set-Executionpolicy remotesigned

  2. Ange följande kommando för att importera VMM-modulen:

    PS C:\> Import-Module virtualmachinemanager

  3. Använd cmdleten Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole för att skapa användarrollen. Det här kommandot förutsätter variabeln $tenant som skapades enligt beskrivningen i proceduren ovan.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin

    Varning

    Observera att om användarrollen skapades tidigare med hjälp av VMM-administrationskonsolen skulle dess behörigheter skrivas över av de som anges av cmdleten New\-SCSUserRole .

  4. Kontrollera att användarrollen skapades genom att kontrollera att den visas i arbetsytan Användarroller i Inställningar i VMM-administrationskonsolen.

  5. Definiera följande för rollen genom att välja rollen och välja Egenskaper i verktygsfältet:

    • I omfånget väljer du ett eller flera moln.

    • resurserna lägger du till alla resurser, till exempel mallar.

    • I Åtgärder väljer du en eller flera åtgärder.

    Upprepa den här proceduren för varje server som tilldelas klienten.

    Nästa procedur använder variabeln $TARole som du skapade.

Skapa en självbetjäningsanvändarroll för klientorganisation i VMM

  1. Ange följande kommando för att skapa en självbetjäningsanvändare i SPF för den klientorganisation som du skapade:

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. Skapa motsvarande klientanvändarroll i VMM genom att ange följande kommando:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. Kontrollera att användarrollen skapades genom att kontrollera att den visas i arbetsytan Användarroller i Inställningar i VMM-administrationskonsolen. Observera att rollens överordnade roll är klientadministratören.

Upprepa den här proceduren efter behov för varje klientorganisation.