Certificaten en gebruikersrollen beheren in Service Provider Foundation

Gepubliceerd: juli 2016

Is van toepassing op: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

Service Provider Foundation biedt een verificatiebeveiligingsmodel op basis van claims voor de toegang van tenants tot services en bronnen. Hiermee worden de openbare sleutel en naam van de uitgever van een uitgegeven certificaat geregistreerd en worden die gegevens bewaard als objecten van een vertrouwde uitgever.

Om veilige bewerkingen voor meerdere tenants te bieden, worden aanvragen uitgevoerd in de context van een gebruikersrol waarmee een claimtoken van een tenant aan een gebruikersrol van het type Tenant Administrator of SSU wordt toegewezen. Deze gebruikersrollen en hun bereik, bronnen en acties moeten worden gedefinieerd in System Center 2012 – Virtual Machine Manager (VMM).

Hosterbeheerders kunnen gebruikmaken van de OData-services van Service Provider Foundation om de vereiste infrastructuur te maken. Zie de Service Provider Foundation Developer's Guide (Ontwikkelaarshandleiding voor Service Provider Foundation) voor meer informatie.

Hier volgt een typisch instapscenario voor tenants:

1. Een potentiële tenant onderzoekt de services van een hoster door de aangeboden abonnementen te evalueren.

2. De potentiële tenant neemt een abonnement (aanbiedingsobjecten in Service Provider Foundation), op basis waarvan een nieuw abonnement in een portaltoepassing wordt gegenereerd en een nieuwe tenant in de Service Provider Foundation-database wordt gemaakt.

   Tijdens dit proces uploadt een tenant de openbare sleutel voor het certificaatbestand. Dit stelt de host in staat de tenant te registreren en beveiligingsrollen voor gebruikers te configureren in Virtual Machine Manager.

3. De portaltoepassingen en hosterbeheerders configureren de verbindingen van een tenant met de hosterservice via de OData-URL's en -tokens die zijn geverifieerd op basis van het tenantcertificaat dat de persoonlijke sleutel bevat.

Hosterbeheerders kunnen ook de id's gegenereerd door Service Provider Foundation-cmdlets waarmee tenants of tenantgebruikersrollen worden gemaakt, gebruiken als de id-waarden voor de bijbehorende VMM-cmdlets waarmee daadwerkelijke gebruikersrollen worden gemaakt. De Service Provider Foundation-cmdlets doen het volgende:

• De id voor een gebruikersrol van het type Tenant Administrator genereren wanneer een tenant wordt gemaakt met de T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenant-cmdlet.

• De id voor een gebruikersrol van het type SSU genereren wanneer een tenantgebruikersrol wordt gemaakt met de T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenantUserRole-cmdlet.

Multitenancy wordt ondersteund door nieuwe mogelijkheden die beschikbaar zijn in Windows Server 2012, zoals Netwerkvirtualisatie.

• Scenario: Een certificaat en gebruikersrollen maken voor Service Provider Foundation

  Dit onderwerp bevat procedures voor het maken en openen van certificaten, het verkrijgen van sleutels en het maken van beveiligingsgebruikersrollen.

• Windows Azure Pack Authentication Overview (Windows Azure Pack-verificatieoverzicht)

• Hoofdpagina voor Service Provider Foundation in de TechNet-bibliotheek

• Beheer van Service Provider Foundation

• Service Provider Foundation implementeren