Gérer les certificats et les rôles d'utilisateur dans Service Provider Foundation

Date de publication : juillet 2016

S’applique à : System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

Service Provider Foundation fournit un modèle de sécurité d'authentification basée sur les revendications pour l'accès, par un locataire, aux services et aux ressources. Il enregistre la clé publique du certificat et le nom de l'émetteur d'un certificat émis, et tient ces informations à jour en tant qu'objets émetteurs approuvés.

Pour fournir des opérations mutualisées sécurisées, les demandes sont exécutées dans le contexte d'un rôle d'utilisateur qui mappe un jeton de revendication d'un locataire à un rôle d'utilisateur Administrateur client ou à un rôle d'utilisateur Libre-service client. Ces rôles d'utilisateur doivent être définis dans System Center 2012 – Virtual Machine Manager (VMM), notamment leur portée, ressources et actions.

Les administrateurs de l'hébergeur peuvent utiliser les services OData Service Provider Foundation pour créer l'infrastructure nécessaire. Pour plus d'informations, consultez le Guide du développeur de Service Provider Foundation.

Voici un scénario typique d'intégration de locataire :

1. Un locataire potentiel examine les services d'un hébergeur en évaluant les plans offerts.

2. Le locataire potentiel s'abonne à un plan (objets d'offres dans Service Provider Foundation), ce qui génère un nouvel abonnement dans une application de portail et crée un locataire dans la base de données Service Provider Foundation.

   Pendant ce processus, un locataire télécharge la clé publique de son fichier de certificat. Cela permet à l'hôte d'inscrire le locataire et de configurer des rôles de sécurité utilisateur dans Virtual Machine Manager.

3. Les applications de portail et les administrateurs de l'hébergeur configurent les connexions d'un locataire au service de l'hébergeur à l'aide des URL du protocole OData du service et des jetons vérifiés avec le certificat du locataire qui contient la clé privée.

Les administrateurs de l'hébergeur peuvent utiliser les ID générés par les applets de commande Service Provider Foundation qui créent des rôles de locataire ou d'utilisateur locataire comme ID pour les applets de commande VMM correspondantes qui créent les rôles d'utilisateur. Les applets de commande Service Provider Foundation effectuent les opérations suivantes :

• Elles génèrent l'ID pour un rôle d'utilisateur Administrateur client quand un locataire est créé à l'aide de l'applet de commande T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenant.

• Elles génèrent l'ID pour un rôle d'utilisateur Libre-service client quand un rôle d'utilisateur client est créé à l'aide de l'applet de commande T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenantUserRole.

L'architecture mutualisée est simplifiée grâce à de nouvelles fonctionnalités disponibles dans Windows Server 2012, telles que la virtualisation de réseau.

• Procédure pas à pas : Création d'un certificat et de rôles d'utilisateur pour Service Provider Foundation

  Cette rubrique de procédures pas à pas fournit des procédures pour la création et l'accès aux certificats, l'obtention de clés et la création de rôles d'utilisateur de sécurité.

• Vue d'ensemble de l'authentification Windows Azure Pack

• Page principale de la bibliothèque TechNet pour Service fournisseur Foundation

• Administration de Service Provider Foundation

• Déploiement de Service Provider Foundation