Tenants en gebruikersrollen beheren in SPF

Artikel
03/22/2025

System Center - Service Provider Foundation (SPF) maakt geen gebruikersrollen of definieert hun bereik. Als u tenants wilt instellen, hebt u een openbare certificaatsleutel nodig die wordt gebruikt om claims te valideren die namens een tenant zijn gemaakt.

Een certificaat maken

Als u geen bestaand CA-certificaat hebt om te gebruiken, kunt u een zelfondertekend certificaat genereren. U kunt openbare en persoonlijke sleutels exporteren uit het certificaat en de openbare sleutel koppelen aan een tenant.

Een zelfondertekend certificaat verkrijgen

Maak een certificaat met behulp van makecert.exe (hulpprogramma voor het maken van certificaten).

Open een opdrachtprompt als beheerder.

Genereer het certificaat door de volgende opdracht uit te voeren:

makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

Met deze opdracht wordt het certificaat in het certificaatarchief van de huidige gebruiker geplaatst. Als u deze wilt openen, voert u in het scherm Startcertmgr.msc in en selecteert u certmgr.mscin de Apps. Selecteer in het venster certmgr de map Certificaten - Huidige gebruiker>Persoonlijke>Certificaten.

De openbare sleutel exporteren

Klik met de rechtermuisknop op het certificaat >Alle taken>Exporteren.
In Exporteer persoonlijke sleutel, kies Nee, de persoonlijke sleutel niet exporteren>Volgende.
Selecteer in exportbestandsindelingmet Base-64 gecodeerde X.509 (.CER)>Volgende.
Geef in Bestand omte exporteren een pad en bestandsnaam op voor het certificaat >Volgende.
Selecteer in de wizard Certificaat exporterende optie Voltooien.

Als u wilt exporteren met Behulp van PowerShell, voert u het volgende uit:

``S C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)``

De persoonlijke sleutel exporteren

Klik met de rechtermuisknop op het certificaat >Alle taken>Exporteren.
Kies in Exporteren van persoonlijke sleutelde optie Ja, exporteer de persoonlijke sleutel>Volgende. Als deze optie niet beschikbaar is en u een zelfondertekend certificaat hebt gegenereerd, controleert u of het de optie -pe bevat.
Selecteer in ExportbestandformaatPersonal Information Exchange - PKCS #12 (.PFX). Zorg ervoor dat Alle certificaten in het certificeringspad opnemen indien mogelijk is geselecteerd en selecteer Volgende.
Geef in Bestand omte exporteren een pad en bestandsnaam op voor het certificaat >Volgende.
Selecteer in de wizard Certificaat exporterende optie Voltooien.

De tenant maken

Service Provider Foundation maakt geen gebruikersrollen of definieert hun reikwijdte (zoals clouds), resources en acties. In plaats daarvan maakt de New-SCSPFTenantUserRole-cmdlet een koppeling voor een tenant met een gebruikersrolnaam. Wanneer deze koppeling wordt gemaakt, wordt ook een id gegenereerd die kan worden gebruikt voor de bijbehorende id voor het maken van de rol in System Center 2016 - Virtual Machine Manager.

U kunt ook gebruikersrollen maken met behulp van de Admin OData-protocolservice met behulp van de Developer-handleiding.

Voer de SPF-opdrachtshell uit als beheerder.
Voer de volgende opdracht in om de tenant te maken. Bij deze opdracht wordt ervan uitgegaan dat de $key variabele de openbare sleutel bevat.
```
PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" -Key $key  
```
Voer deze opdracht uit om te controleren of de openbare sleutel voor de tenant is geïmporteerd:
```
PS C:\> Get-SCSPFTrustedIssuer  
```
In de volgende procedure wordt de $tenant variabele gebruikt die u hebt gemaakt.

Een tenantbeheerdersrol maken in VMM

Voer de volgende opdracht in en ga akkoord met deze uitbreiding voor de Windows PowerShell-opdrachtshell:
```
PS C:\> Set-Executionpolicy remotesigned  
```
Voer de volgende opdracht in om de VMM-module te importeren:
```
PS C:\> Import-Module virtualmachinemanager  
```
Gebruik de Windows PowerShell-cmdlet T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New\-SCUserRole om de gebruikersrol te maken. Met deze opdracht wordt aangenomen dat de $tenant-variabele is gemaakt zoals beschreven in de procedure hierboven.
```
PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
```
Voorzichtigheid

Houd er rekening mee dat als de gebruikersrol eerder is gemaakt met behulp van de VMM-beheerconsole, de machtigingen worden overschreven door de machtigingen die zijn opgegeven door de New\-SCSUserRole-cmdlet.
Controleer of de gebruikersrol is gemaakt door te controleren of deze wordt vermeld in de gebruikersrollen in Instellingen werkruimte in de VMM-beheerconsole.
Definieer het volgende voor de rol door de rol te selecteren en Eigenschappen te selecteren op de werkbalk:
- Selecteer een of meer clouds in het bereik.
- Voeg op de Resourcesalle resources, zoals sjablonen, toe.
- Selecteer op de actieseen of meer acties.
Herhaal deze procedure voor elke server die aan de tenant is toegewezen.

In de volgende procedure wordt de $TARole variabele gebruikt die u hebt gemaakt.

Een selfservicegebruikersrol voor tenants maken in VMM

Voer de volgende opdracht in om een selfservicegebruiker te maken in SPF voor de tenant die u hebt gemaakt:
```
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
```

Maak de bijbehorende tenantgebruikersrol in VMM door de volgende opdracht in te voeren:

PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

Controleer of de gebruikersrol is gemaakt door te controleren of deze wordt vermeld in de gebruikersrollen in Instellingen werkruimte in de VMM-beheerconsole. Let op dat de bovenliggende rol van de rol de tenantbeheerder is.

Herhaal deze procedure indien nodig voor elke tenant.

Delen via