Verwalten von Zertifikaten und Benutzerrollen in Service Provider Foundation

Veröffentlicht: Juli 2016

Gilt für: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

Service Provider Foundation bietet ein Sicherheitsmodell mit anspruchsbasierter Authentifizierung für einen Zugriff von Mandanten auf Dienste und Ressourcen. Es registriert den öffentlichen Schlüssel des Zertifikats und den Namen des Ausstellers eines ausgestellten Zertifikats und verwaltet diese Informationen als vertrauenswürdige Ausstellerobjekte.

Um sichere Multi-Tenant-Operationen zu gewährleisten, werden die Anforderungen im Kontext einer Benutzerrolle ausgeführt, die ein Anspruchtstoken von einem Mandanten einer Mandantenadministrator-Benutzerrolle oder einer Mandanten Self-Service-Benutzerrolle zuordnet. Diese Benutzerrollen müssen in System Center 2012 – Virtual Machine Manager (VMM) definiert werden. Zu dieser Definition gehören Umfang, Ressourcen und Aktionen.

Hosteradministratoren können die erforderliche Infrastruktur mithilfe der Service Provider Foundation OData-Dienste erstellen. Weitere Informationen finden Sie im Entwicklerhandbuch für Service Provider Foundation.

Ein typisches Szenario für das On-boarding von Mandanten lautet wie folgt:

1. Ein potenzieller Mandant prüft die Dienste eines Hosters durch Auswerten der angebotenen Pläne.

2. Der potenzielle Mandant abonniert einen Plan (Angebotsobjekte in Service Provider Foundation). Dadurch wird ein neues Abonnement in einer Portalanwendung erzeugt und ein neuer Mandanten in der Service Provider Foundation-Datenbank erstellt.

   Während dieses Vorgangs lädt ein Mandant den öffentlichen Schlüssel für seine Zertifikatdatei hoch. Dadurch kann der Host den Mandanten registrieren und Benutzersicherheitsrollen in Virtual Machine Manager konfigurieren.

3. Die Portalanwendungen und Hosteradministratoren konfigurieren die Verbindungen eines Mandanten zum Hoster-Dienst mithilfe der Dienst-OData-Protokoll-URLs und Tokens, die mit dem Mandanten-Zertifikat überprüft werden, das den privaten Schlüssel enthält.

Hosteradministratoren können auch die von Service Provider Foundation-Cmdlets generierten IDs verwenden. Diese Cmdlets erstellen Mandanten- oder Mandantenbenutzerrollen als ID-Werte für die entsprechenden VMM-Cmdlets, die die eigentlichen Benutzerrollen erstellen. Die Service Provider Foundation-Cmdlets führen Folgendes aus:

• Generieren der ID für eine Mandantenadministrator-Benutzerrolle, wenn ein Mandant mithilfe des T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenant-Cmdlets erstellt wird.

• Generieren der ID für eine Mandanten-Self-Service-Benutzerrolle, wenn eine Mandantenbenuzterrolle mithilfe des T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenantUserRole-Cmdlets erstellt wird.

Zusätzlich wird durch neue Funktionen in Windows Server 2012 und Network Virtualization Mehrinstanzenfähigkeit unterstützt.

• Exemplarische Vorgehensweise: Erstellen eines Zertifikat und von Benutzerrollen für Service Provider Foundation

  Diese exemplarische Vorgehensweise enthält Verfahren zum Erstellen von Zertifikaten und zum Zugriff darauf sowie zum Abrufen von Schlüssel und zum Erstellen von Sicherheitsbenutzerrollen.

• Microsoft Azure Pack-Authentifizierung (Übersicht)

• Hauptseite der TechNet-Bibliothek für Service Provider Foundation

• Verwalten von Service Provider Foundation

• Bereitstellung von Service Provider Foundation