Service Provider Foundation での証明書とユーザー ロールの管理

公開日: 2016年7月

対象: System Center 2012 SP1 - Orchestrator、System Center 2012 R2 Orchestrator

Service Provider Foundation はテナントのサービスおよびリソースへのアクセスにクレーム ベース認証セキュリティ モデルを提供します。 証明書の公開キーと発行者名を発行された証明書から登録し、その情報を信頼されている発行者オブジェクトとして保持します。

セキュリティで保護された複数テナント操作を提供するために、要求はテナントのクレーム トークンをテナント管理者ユーザー ロールまたはテナント セルフサービス ユーザー ロールにマップするユーザー ロールのコンテキストで実行されます。 これらのユーザー ロールは System Center 2012 - Virtual Machine Manager (VMM) でスコープ、リソース、アクションなどを定義する必要があります。

ホスト側管理者は Service Provider Foundation OData サービスを使って必要なインフラストラクチャを作成することができます。 詳しくは、「Service Provider Foundation 開発者向けガイド」を参照してください。

一般的なオンボーディング テナントのシナリオは、次のとおりです。

1. テナント候補が提供されているプランを評価することによって、ホスト側のサービスを調査します。

2. テナント候補がプランをサブスクライブし (Service Provider Foundation でオブジェクトを提供)、これによりポータル アプリケーションで新しいサブスクリプションが生成され、Service Provider Foundation データベースに新しいテナントが作成されます。

   このプロセス中に、テナントは証明書ファイルの公開キーをアップロードします。 これにより、ホストは Virtual Machine Manager でテナントを登録し、ユーザー セキュリティ ロールを構成できます。

3. ポータル アプリケーションとホスト管理者は、秘密キーを含むテナントの証明書を使って確認されたサービス OData プロトコル URL およびトークンにより、テナントのホスト側サービスへの接続を構成します。

ホスト管理者は実際のユーザー ロールを作成する、対応する Service Provider Foundation コマンドレットの ID 値としてテナントまたはテナント ユーザー ロールを作成する VMM コマンドレットによって生成された ID を使うこともできます。Service Provider Foundation コマンドレットは、以下を実行します。

• T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenant コマンドレットを使うことでテナントが作成されたときにテナント管理者ユーザー ロールの ID を生成します。

• T:Microsoft.SystemCenter.Foundation.Cmdlet.New-SCSPFTenantUserRole コマンドレットを使うことでテナント ユーザー ロールが作成されたときにテナント セルフサービス ユーザー ロールの ID を生成します。

マルチテナントは、ネットワーク仮想化などの Windows Server 2012 で利用できる新機能によってさらに支援されます。

• チュートリアル: Service Provider Foundation の証明書とユーザー ロールの作成

  このチュートリアルのトピックでは、証明書を作成してアクセスするための手順、キーを取得するための手順、セキュリティ ユーザー ロールを作成するための手順を示します。

• Windows Azure パック認証の概要

• Service Provider Foundation の TechNet ライブラリ メイン ページ

• Service Provider Foundation の管理

• Service Provider Foundation の展開