在SPF中管理租用戶和使用者角色
System Center - Service Provider Foundation (SPF) 不會建立使用者角色或定義其範圍。 若要設定租使用者,您需要用來驗證代表租使用者提出的宣告的憑證公鑰。
建立憑證
如果您沒有要使用的現有 CA 憑證,您可以產生自我簽署憑證。 您可以從憑證匯出公開和私鑰,並將公鑰與租用戶產生關聯。
取得自我簽署憑證
使用 makecert.exe
[憑證建立工具] 建立憑證。
以系統管理員身分開啟命令提示字元。
執行下列命令以產生憑證:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
這個命令會將憑證放在目前使用者憑證存放區中。 若要存取它,請在 [開始] 畫面上輸入 certmgr.msc,然後在 [應用程式] 結果中選取 certmgr.msc。 在 certmgr 視窗中,選取 [憑證 - 目前使用者>個人>憑證] 資料夾。
匯出公鑰
- 以滑鼠右鍵按兩下憑證>[所有>工作導出]。
- 在 [匯出私鑰] 中,選擇 [否],不要匯出私鑰>[下一步]。
- 在 [導出檔格式] 中,選取 [Base-64 編碼 X.509] (。CER)>下一步。
- 在 [要匯出的檔案] 中,指定 [下一步] 憑證>的路徑和檔名。
- 在 [完成憑證導出精靈] 中,選取 [ 完成]。
若要使用PowerShell匯出,請執行:
``S C:\> $path = "C:\Temp\tenant4D.cer"
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``
匯出私鑰
- 以滑鼠右鍵按兩下憑證>[所有>工作導出]。
- 在 [匯出私鑰] 中,選擇 [是],匯出 [下一步] 私鑰>。 如果此選項無法使用,而且您產生了自我簽署憑證,請確定它包含 -pe 選項。
- 在 [匯出檔格式] 中,選取 [個人信息交換 - PKCS ]#12 (。PFX). 如果可能的話,請確定在認證路徑中包含所有憑證,然後選取 [下一步]。
- 在 [要匯出的檔案] 中,指定 [下一步] 憑證>的路徑和檔名。
- 在 [完成憑證導出精靈] 中,選取 [ 完成]。
建立租使用者
Service Provider Foundation 不會建立使用者角色或定義其範圍(例如雲端)、資源或動作。 相反地 New-SCSPFTenantUserRole
,Cmdlet 會為具有使用者角色名稱的租使用者建立關聯。 建立該關聯時,它也會產生標識符,以用於在 System Center 2016 - Virtual Machine Manager 中建立角色的對應標識符。
您也可以使用開發人員指南,使用管理員 OData 通訊協定服務來建立使用者角色。
以系統管理員身分執行 SPF 命令殼層。
輸入下列命令以建立租用戶。 此命令假設
$key
變數包含公鑰。PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key
執行此命令以確認已成功匯入租使用者的公鑰:
PS C:\> Get-SCSPFTrustedIssuer
下一個程式會使用您所建立的
$tenant
變數。
在 VMM 中建立租用戶系統管理員角色
輸入下列命令,並同意此項 Windows PowerShell 命令殼層提高權限:
PS C:\> Set-Executionpolicy remotesigned
輸入下列命令以匯入 VMM 模組:
PS C:\> Import-Module virtualmachinemanager
使用 Windows PowerShell
T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole
Cmdlet 來建立使用者角色。 此命令假設$tenant
已如上述程式所述建立的變數。PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
警告
請注意,如果先前使用 VMM 管理控制台建立使用者角色,Cmdlet 所
New\-SCSUserRole
指定的角色將會覆寫其許可權。確認使用者角色已建立,方法是確認它列在 VMM 管理控制台中 [設定] 工作區中的 [使用者角色]。
選取角色並選取 工具列上的 [屬性],以定義角色的下列專案 :
在 [ 範圍] 上,選取一或多個雲端。
在 [ 資源] 上,新增任何資源,例如範本。
在 [ 動作] 上,選取一或多個動作。
針對指派給租用戶的每一部伺服器重複執行此程序。
下一個程式會使用您所建立的
$TARole
變數。
在 VMM 中建立租使用者自助使用者角色
輸入下列命令,針對您所建立的租使用者,在SPF中建立自助使用者:
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
輸入下列命令,在 VMM 中建立對應的租用戶使用者角色:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
確認使用者角色已建立,方法是確認它列在 VMM 管理控制台中 [設定] 工作區中的 [使用者角色]。 請注意,該角色的上層是租用戶系統管理員。
視需要為每個租用戶重複此程式。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應